Tag 296/2016: Internet of Sh*t, Part II

Gestern gab es wieder große DDoS-Angriffe auf Infrastrukturen, konkret auf den DNS-Dienstleister Dyn. Brian Krebs informiert hier darüber, spezifischer auch hier. Hier die Heise-Meldung. Konkret werden wohl auch wieder zigtausende völlig unsicher programmierte Billiggeräte, die am Netz hängen, für die Angriffe missbraucht. Böse Zungen, nein, realistische Zungen, sprechen deswegen vom Internet of Shit, nicht dem Internet of Things. Erst wenn diese Geräte aus dem Netz genommen werden, sind sie keine Gefahr mehr. Die meist völlig ahnungslosen Besitzer der Geräte werden das aber nicht ohne entsprechende Hinweise von außen tun. In der Praxis merkt man ja auch nicht, ob eine IP-Kamera, ein Telefon oder ein Kühlschrank 1x pro 30 Sekunden irgendeine Adresse im Internet aufruft… Und mehr braucht es ja auch nicht: DDoS bedeutet ja verteilte Angriffe, also koordinierte gemeinsame Angriffe auf das Ziel. Die Summe macht es und zwingt das Ziel in die Knie.

DNS ist ein wesentlicher Grundbestandteil eines funktionierenden Netzes. Wenn große Anbieter wie Dyn angegriffen werden, äußert sich das z.B. darin, dass Websites wie Amazon, Twitter, Tumblr, Reddit, Spotify oder Netflix für viele Nutzer des Dienstes (nicht nur Clients, auch andere Unternehmen die Dyn-Angebote nutzen) nicht oder schlecht erreichbar sind. Zwar ist der konkrete Anbieter wie Amazon nicht von einem Dienstausfall seiner eigenen Infrastruktur betroffen, aber die Besucher seines Angebots „finden“ nicht zu ihm. Wer technisch versiert ist, mag sich mit dem Wechsel zu einem anderen DNS-Anbieter behelfen, solange dieser die Ziel-Adresse noch in seinem Zwischenspeicher (Cache) vorhält. Allerdings ist das auch nur eine kurzfristige Lösung.

Ohne koordinierte Aktionen der großen Netzbetreiber wird man dem Problem wohl nicht Herr. Die Frage ist nur, wie groß der Schmerz noch werden muss, bis in die entsprechende Technik (bzw. Prozesse und Konfigurationen) investiert wird. Die Dimension solcher Angriffe sollte auch denjenigen Politikern ein Denkanstoß sein, die für Hintertüren in kryptographischen Systemen plädieren: Egal ob eine Applikation durch Inkompetenz oder absichtliche Maßnahmen geschwächt wird – am Ende wird die Lücke gefunden und jemand nutzt sie aktiv aus. Und das sind nicht immer die vermeintlich Guten.

Tag 293/2016: Besuch der IT-Security-Messe it-sa in Nürnberg

Um 6:40 Uhr in den Bus Richtung Hauptbahnhof, mit kurzer Zwangspause auf Höhe Bischof-Konrad-Straße, wegen eines Unfalls bei der Kreuzung Galgenbergstraße vor der Mälze. Hoffentlich niemandem was passiert! Jedenfalls noch pünktlich Abfahrt mit Zug Richtung Nürnberg.

Zur Messe geht es easy in 8 Minuten mit der U1. Dort alles perfekt organisiert. Kurz vor dem offiziellen Einlass um 9:00 Uhr bin ich dann auch schon drinnen.

Foto eines Messestands von Akamai auf der IT-Security Messe it-sa in Nürnberg
Mein vorrangiges Interesse auf der Messe galt Web Application Firewalls und DDoS-Schutz. Hier ein Foto vom Akamai-Stand.
Eine wasserdichte Sache, Foto von der IT-Security Messe it-sa in Nürnberg
Ein netter Hingucker, diese wasserdichte Appliance. Auf dem Stand meinem alten Bekannten Richard Hallo gesagt.

Bei irgendeinem Stand haben sie einen DeLorean geparkt. Das Marketing hat bei mir jedenfalls nicht funktioniert – ich habe keinerlei Erinnerung mehr daran, was die eigentlich verkaufen.

Foto mit Blick in die Menge auf der IT-Security Messe it-sa in Nürnberg
Insgesamt: Ordentlich was los.
Und wieder nach Regensburg.
Und tschüss, Nürnberg!

Tag 267/2016: DDoS-Fluten

Heute gemeldet: DDoS-Angriffe auf den unabhängigen Journalist Brian Krebs (krebsonsecurity.com). Bis zu 620 GBit/s. CDN-Anbieter Akamai hatte den Blog von Krebs Pro bono unterstützt, dann aber nach anhaltenden Angriffen vorerst offline genommen (Link 1 von Heise.de, Link 2 von Heise.de).

Snapshots seiner Seite bzw. einzelner Artikel kann man aktuell z.B. noch über archive.org einsehen, hier der Link.

Bizarre Größenordnungen.

[Update 28.09.2016] Mittlerweile hat Google die Seite von Brian Krebs unter sein Schutzschild gestellt („Project Shield“). Brian schildert die Problematik, dass unliebsame Informationen mittlerweile gezielt unterdrückt werden können, in einem aktuellen Blog-Post.

Tag 235/2016: Under attack

Diesmal hat es den Provider uberspace erwischt: Es findet aktuell ein DDoS-Angriff auf deren Netzbereich bzw. Server statt. Auch mein Blog ist hier gehostet.

Genaue Details verrät Jonas in diesem Blog-Post. Von bis zu 24-GBit/s ist die Rede – uff! Eine Menge, die man als kleinerer Provider nicht einfach so wegstecken kann. Es braucht nämlich nicht nur geeignete Hardware zur Filterung von gutem und bösem Traffic, die entsprechend teuer ist. Es ist schlicht eine Sache der Leitungskapazität. Ist die Infrastruktur verstopft, alle Router, Switches, Netzkarten etc. überlastet, geht einfach nichts mehr.

Ich wünsche den Jungs geduldige Kunden und dass der Spuk ASAP aufhört!

Tag 160/2016: Und weg!

Heise berichtet, dass DDoS-Angriffe immer heftiger und billiger werden. Resultat dieser absichtlich herbeigeführten Server-Überlastungen ist beispielsweise, dass Webauftritte nicht mehr erreichbar sind, die Internet- und Telefonie-Anbindung ganzer Unternehmen wegbricht oder kleine Rechenzentren mit allen Diensten dahinter nicht mehr stabil erreichbar sind.

Allein im ersten Quartal 2016 habe Akamai 19 DDoS-Angriffe verzeichnet, die ein Datenvolumen mit mehr als 100 Gbps überschritten. Eine unvorstellbare Menge Daten pro Sekunde, die auf dem Weg vom Angreifer zum Ziel Leitungen verstopfen und die Geräte wie Router und Server komplett auslasten und unbrauchbar machen.

Es gibt von solchen Vorfällen Visualisierungen, ein bekanntes Beispiel ist die Digital Attack Map, eine Kooperation zwischen Google und Arbor Networks.

Screenshot of the Digital Attack Map a project of Google Ideas and Arbor Networks

Dort gibt es lesenswerte grundsätzliche Infos zum Thema DDoS, welche Arten von böswilligen Angriffen es gibt und was diese bewirken. Es muss auch nicht immer die schiere Masse an verteiltem Müll sein, der die Ziele verschwinden lässt – manchmal sind es auch spezifisch auf einen Dienst (Webseite, Shop, E-Mail, Game-Server, Telefonie etc.) zugeschnittene Angriffe, die Protokollschwächen ausnutzen und zur Überlastung führen. Da reichen dann oft schon ganz wenige verteilte angreifende Systeme aus oder gar nur ein einfacher Rechner. Bekanntes Beispiel hierzu ist die Slowloris-Attacke.

Ein bisschen in die Richtung geht auch die Cyberthreat Real-Time Map von Kaspersky, insbesondere wenn man sich nur die Bot-Netze anzeigen lässt.

Screenshot der Cyberthreat Real-Time Map von Kaspersky

Für die Zukunft kleinerer Provider und Netzwerke sind das insgesamt keine guten Aussichten. Denn nur, wer ständig Bandbreite und mehrfach redundante Anbindungen an große Netzwerkpartner hinzukauft, gepaart mit spezialisierter Hardware die Müll-Verkehrsdaten in Echtzeit aussortieren kann, wird sich im Falle eines Angriffs noch einigermaßen behaupten können. Meiner Einschätzung nach gibt es da derzeit noch viel zu viele Provider, die nach dem Prinzip Hoffnung arbeiten.

Auf den Seiten der Digital Attack Map wird erwähnt, dass es auf dem Schwarzmarkt nur ca. 150$ kostet, eine Seite eine Woche durchgehend angreifen zu lassen.

Prost Mahlzeit.