IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Hacker Gesicht ZahlencodeWährend ein potenzieller Hacker früher noch ein Tool herunterladen und sich gegebenenfalls gar mit einem Command Line Interface auseinandersetzen musste, kann er heute eine DoS- oder DDoS-Attacke per Mausklick im Internet beauftragen. Für Unternehmen wächst dadurch die Gefahr, Ziel solcher Angriffe zu werden.

Die Zeit der Script Kiddies ist endgültig vorbei. Das Hacking hat sich seit langem zunehmend professionalisiert, und heute steht eine Vielzahl Cloud-basierter Services zur Verfügung, über die auch technisch völlig unbeleckte User für einen relativ geringen Geldbetrag eine DDoS-Attacke ausführen können. Für die Betreiber von Netzwerken bedeutet dies, dass die Anzahl potentieller Angreifer und die Wahrscheinlichkeit eines Angriffs sich drastisch erhöht haben. Jeder unzufriedene Mitarbeiter, jeder verärgerte Kunde und auch jeder Wettbewerber kann heute praktisch ohne den geringsten Aufwand den Zugang zum Online Shop oder zum Unternehmensnetz beeinträchtigen oder gar unmöglich machen.

Hackergruppen als Anbieter

Angeboten wird DDoS-as-a-Service, auch als Booter Service oder Stresser Service bezeichnet, von vielen notorischen Hackergruppen wie der Lizard Squad, der Poodle Corp oder den New World Hackers, die auf diese Weise ihre bestehende Infrastruktur vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren wie ganz normale Unternehmen nach marktwirtschaftlichen Kriterien. Die Services werden im Darknet, aber auch auf sozialen Medien umfangreich beworben, und ein starker Wettbewerb sorgt für immer niedrigere Preise und senkt so die Eintrittsschwelle für Neukunden. Schon für 15 bis 20 Dollar kann ein Angreifer 30 Tage lang Burst-Angriffe mit Datenraten von meist 10-20 Gbps und im Extremfall sogar bis zu 400 Gbps durchführen. Dabei ermöglichen die meisten Anbieter eine Kombination unterschiedlicher Angriffsvektoren wie DNS, SNMP, SSYN oder langsame GET/POST-DoS-Angriffe auf Anwendungsebene. Auch NTP, SSDP, ACK, XMLRPC, Portmap oder populäre Content Management Systeme wie Joomla stehen oft auf der Karte. Alles, was der Angreifer tun muss, ist einen Account anzulegen, per Bitcoin zu be- zahlen und auf einem Serviceportal das Angriffsziel (IP-Adresse und ggf. Port) sowie die Angriffsmethode festzulegen.

Aufgrund ihrer enormen Effektivität setzen Booter Services in aller Regel primär auf sogenannte Amplification-Attacken. Solche Angriffe sind zudem sehr einfach durchzuführen. Dabei werden Anfragen an einen offenen Service, etwa freie DNS-Server, gesendet, wobei die Absenderadresse gefälscht und durch die Zieladresse des Angriffs ersetzt wird. Das Opfer erhält dann die Antworten auf die Anfragen, die erheblich größer sein können als die Anfrage selbst und so den namensgebenden Verstärkungseffekt hervorrufen. So können Angreifer auch mit einer ausgehenden Datenrate von beispielsweise 100 Mbps über DNS Amplification einen Angriff mit 5 Gbps realisieren. Selbst Spielkonsolen und verbreitete Router für Heimnetzwerke werden benutzt, um Attacken zu verstärken. Zudem bedeuten solche Attacken eine zusätzliche Anonymisierungsschicht, da die Herkunft des Angriffs verschleiert wird.

Die meisten Booter oder Stresser Services nutzen für das Hosting ihrer Skripts heute Clouddienste, um von deren hoher Bandbreite zu profitieren. Die Betreiber der Stresser-Dienste haben dabei nur geringe Ausgaben. Der Hauptteil davon entfällt auf die Backend Server, die erstens IP Spoofing erlauben müssen und zweitens einen schnellen Uplink benötigen. Zudem ist es für den Betreiber vorteilhaft, wenn der Cloud-Anbieter nicht bandbreitenabhängig abrechnet. Einmal im Besitz der Server, muss der Betreiber nur noch die Shell seiner Wahl hochladen, um seinen Service zu starten.

Die rechtliche Seite

Stresser sind nicht grundsätzlich illegal, und es gibt viele legitime Einsatzszenarien, speziell beim Testen der eigenen Infrastruktur. Die meisten seriösen Dienste verlangen daher auch einen Nachweis darüber, dass die so getesteten Systeme auch tatsächlich dem jeweiligen Kunden gehören und dessen ISP auch mit dem Test einverstanden ist. Allerdings sind diese Dienste in der Unterzahl; die meisten Stresser Services verzichten auf diesen Nachweis. Das Verbot, fremde Systeme zu „testen“, findet sich zwar auch in deren Geschäftsbedingungen, aber vor allem, um jegliche Verantwortung seitens des Anbieters auszuschließen.

In Deutschland geht der böswillige Nutzer solcher Services das Risiko ein, wegen Computersabotage nach § 303b StGB zu maximal drei Jahren Haft oder Geldstrafe verurteilt zu werden. Hinzu kommen gegebenenfalls Schadensersatzforderungen. Auch diese Konsequenzen tragen jedoch zur Popularität von DDoS-as-a-Service bei, da hier ein hohes Maß an Anonymität geboten wird.

Angriffe über Stresser Services sind vielfach belegt, insbesondere auf ISPs, Medienunternehmen, Finanzdienstleister und Online-Spieleplattformen. Doch auch jede andere Branche und praktisch jedes Unternehmen kann durch sie sehr schnell ins Fadenkreuz eines Angreifers geraten. Die Möglichkeit, auch ohne Erfahrung schnell, einfach und mit geringem finanziellem Aufwand sehr wirksame DDoS-Attacken zu initiieren, ist oft einfach zu verlockend. Selbst Schulen wurden so schon Opfer von Schülern, die sich un- gerecht behandelt oder benotet fühlten.

Verteidigung tut not

Grundsätzlich sollte sich daher jedes Unternehmen Gedanken darüber machen, wie man mit DDoS-Attacken umgeht. Es gibt wirksame Schutzsysteme, die im eigenen Rechenzentrum installiert werden und Angriffe zuverlässig erkennen sowie durch Filterung blockieren können. Während diese mit vielen Angriffen gut zurechtkommen, bleiben sie allerdings wirkungslos, wenn allein die Flut der eingehenden Datenpakete die Internetanbindung des Unternehmens saturiert. In diesem Fall muss der Angriff durch einen Cloud Service bereits im Netz bekämpft werden.

Bei solchen Services wird der gesamte eingehende Verkehr über den Anbieter geleitet und dort schon analysiert und gegebenenfalls gefiltert, bevor er die eigene Infrastruktur erreicht. Oft ist eine hybride Lösung die beste Antwort auf die Herausforderung – sie besteht aus einem Onsite-System in Verbindung mit einem Cloud Service, der nur bei Bedarf in Anspruch genommen wird.

Aber auch reine Cloud Services werden angeboten und sind oft für kleinere und mittlere Unternehmen attraktiv. Die für viele nächstliegende Lösung dagegen ist in der Regel keine: eine schnellere Internet-Anbindung. Erstens verursacht diese unter Umständen erhebliche laufende Kosten und erfordert möglicherweise Investitionen in neue Netzwerkgeräte, und zweitens sind Angreifer über Cloud-Plattformen und Stresser Services heute in der Lage, auch die schnellere Anbindung erfolgreich zu attackieren.

www.radware.de

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet