Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Hacker Gesicht ZahlencodeWährend ein potenzieller Hacker früher noch ein Tool herunterladen und sich gegebenenfalls gar mit einem Command Line Interface auseinandersetzen musste, kann er heute eine DoS- oder DDoS-Attacke per Mausklick im Internet beauftragen. Für Unternehmen wächst dadurch die Gefahr, Ziel solcher Angriffe zu werden.

Die Zeit der Script Kiddies ist endgültig vorbei. Das Hacking hat sich seit langem zunehmend professionalisiert, und heute steht eine Vielzahl Cloud-basierter Services zur Verfügung, über die auch technisch völlig unbeleckte User für einen relativ geringen Geldbetrag eine DDoS-Attacke ausführen können. Für die Betreiber von Netzwerken bedeutet dies, dass die Anzahl potentieller Angreifer und die Wahrscheinlichkeit eines Angriffs sich drastisch erhöht haben. Jeder unzufriedene Mitarbeiter, jeder verärgerte Kunde und auch jeder Wettbewerber kann heute praktisch ohne den geringsten Aufwand den Zugang zum Online Shop oder zum Unternehmensnetz beeinträchtigen oder gar unmöglich machen.

Hackergruppen als Anbieter

Angeboten wird DDoS-as-a-Service, auch als Booter Service oder Stresser Service bezeichnet, von vielen notorischen Hackergruppen wie der Lizard Squad, der Poodle Corp oder den New World Hackers, die auf diese Weise ihre bestehende Infrastruktur vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren wie ganz normale Unternehmen nach marktwirtschaftlichen Kriterien. Die Services werden im Darknet, aber auch auf sozialen Medien umfangreich beworben, und ein starker Wettbewerb sorgt für immer niedrigere Preise und senkt so die Eintrittsschwelle für Neukunden. Schon für 15 bis 20 Dollar kann ein Angreifer 30 Tage lang Burst-Angriffe mit Datenraten von meist 10-20 Gbps und im Extremfall sogar bis zu 400 Gbps durchführen. Dabei ermöglichen die meisten Anbieter eine Kombination unterschiedlicher Angriffsvektoren wie DNS, SNMP, SSYN oder langsame GET/POST-DoS-Angriffe auf Anwendungsebene. Auch NTP, SSDP, ACK, XMLRPC, Portmap oder populäre Content Management Systeme wie Joomla stehen oft auf der Karte. Alles, was der Angreifer tun muss, ist einen Account anzulegen, per Bitcoin zu be- zahlen und auf einem Serviceportal das Angriffsziel (IP-Adresse und ggf. Port) sowie die Angriffsmethode festzulegen.

Aufgrund ihrer enormen Effektivität setzen Booter Services in aller Regel primär auf sogenannte Amplification-Attacken. Solche Angriffe sind zudem sehr einfach durchzuführen. Dabei werden Anfragen an einen offenen Service, etwa freie DNS-Server, gesendet, wobei die Absenderadresse gefälscht und durch die Zieladresse des Angriffs ersetzt wird. Das Opfer erhält dann die Antworten auf die Anfragen, die erheblich größer sein können als die Anfrage selbst und so den namensgebenden Verstärkungseffekt hervorrufen. So können Angreifer auch mit einer ausgehenden Datenrate von beispielsweise 100 Mbps über DNS Amplification einen Angriff mit 5 Gbps realisieren. Selbst Spielkonsolen und verbreitete Router für Heimnetzwerke werden benutzt, um Attacken zu verstärken. Zudem bedeuten solche Attacken eine zusätzliche Anonymisierungsschicht, da die Herkunft des Angriffs verschleiert wird.

Die meisten Booter oder Stresser Services nutzen für das Hosting ihrer Skripts heute Clouddienste, um von deren hoher Bandbreite zu profitieren. Die Betreiber der Stresser-Dienste haben dabei nur geringe Ausgaben. Der Hauptteil davon entfällt auf die Backend Server, die erstens IP Spoofing erlauben müssen und zweitens einen schnellen Uplink benötigen. Zudem ist es für den Betreiber vorteilhaft, wenn der Cloud-Anbieter nicht bandbreitenabhängig abrechnet. Einmal im Besitz der Server, muss der Betreiber nur noch die Shell seiner Wahl hochladen, um seinen Service zu starten.

Die rechtliche Seite

Stresser sind nicht grundsätzlich illegal, und es gibt viele legitime Einsatzszenarien, speziell beim Testen der eigenen Infrastruktur. Die meisten seriösen Dienste verlangen daher auch einen Nachweis darüber, dass die so getesteten Systeme auch tatsächlich dem jeweiligen Kunden gehören und dessen ISP auch mit dem Test einverstanden ist. Allerdings sind diese Dienste in der Unterzahl; die meisten Stresser Services verzichten auf diesen Nachweis. Das Verbot, fremde Systeme zu „testen“, findet sich zwar auch in deren Geschäftsbedingungen, aber vor allem, um jegliche Verantwortung seitens des Anbieters auszuschließen.

In Deutschland geht der böswillige Nutzer solcher Services das Risiko ein, wegen Computersabotage nach § 303b StGB zu maximal drei Jahren Haft oder Geldstrafe verurteilt zu werden. Hinzu kommen gegebenenfalls Schadensersatzforderungen. Auch diese Konsequenzen tragen jedoch zur Popularität von DDoS-as-a-Service bei, da hier ein hohes Maß an Anonymität geboten wird.

Angriffe über Stresser Services sind vielfach belegt, insbesondere auf ISPs, Medienunternehmen, Finanzdienstleister und Online-Spieleplattformen. Doch auch jede andere Branche und praktisch jedes Unternehmen kann durch sie sehr schnell ins Fadenkreuz eines Angreifers geraten. Die Möglichkeit, auch ohne Erfahrung schnell, einfach und mit geringem finanziellem Aufwand sehr wirksame DDoS-Attacken zu initiieren, ist oft einfach zu verlockend. Selbst Schulen wurden so schon Opfer von Schülern, die sich un- gerecht behandelt oder benotet fühlten.

Verteidigung tut not

Grundsätzlich sollte sich daher jedes Unternehmen Gedanken darüber machen, wie man mit DDoS-Attacken umgeht. Es gibt wirksame Schutzsysteme, die im eigenen Rechenzentrum installiert werden und Angriffe zuverlässig erkennen sowie durch Filterung blockieren können. Während diese mit vielen Angriffen gut zurechtkommen, bleiben sie allerdings wirkungslos, wenn allein die Flut der eingehenden Datenpakete die Internetanbindung des Unternehmens saturiert. In diesem Fall muss der Angriff durch einen Cloud Service bereits im Netz bekämpft werden.

Bei solchen Services wird der gesamte eingehende Verkehr über den Anbieter geleitet und dort schon analysiert und gegebenenfalls gefiltert, bevor er die eigene Infrastruktur erreicht. Oft ist eine hybride Lösung die beste Antwort auf die Herausforderung – sie besteht aus einem Onsite-System in Verbindung mit einem Cloud Service, der nur bei Bedarf in Anspruch genommen wird.

Aber auch reine Cloud Services werden angeboten und sind oft für kleinere und mittlere Unternehmen attraktiv. Die für viele nächstliegende Lösung dagegen ist in der Regel keine: eine schnellere Internet-Anbindung. Erstens verursacht diese unter Umständen erhebliche laufende Kosten und erfordert möglicherweise Investitionen in neue Netzwerkgeräte, und zweitens sind Angreifer über Cloud-Plattformen und Stresser Services heute in der Lage, auch die schnellere Anbindung erfolgreich zu attackieren.

www.radware.de

GRID LIST
Tb W190 H80 Crop Int 28773ce6ebccd9323162fd11c9fd7dd5

Was erwartet uns im neuen Jahr?

Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse…
Tb W190 H80 Crop Int B34a63b800b442247f4ef4c805db59d1

IT-Risiken an die niemand denkt

NTT Security (Germany) warnt vor den Gefahren, die den Unternehmensnetzen durch…
Hacker

DarkVishnya: Beispiellose Cyberüberfälle auf Banken

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen…
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Malware

Emotet-Malware verursacht hohe Schäden in Unternehmensnetzen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und mehrere…
Trojaner

Neuer Mining-Trojaner für Linux entdeckt

Das verdeckte Schürfen von Kryptowährungen gehört heute zu den weltweit am meist…
Smarte News aus der IT-Welt