Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Hacker Gesicht ZahlencodeWährend ein potenzieller Hacker früher noch ein Tool herunterladen und sich gegebenenfalls gar mit einem Command Line Interface auseinandersetzen musste, kann er heute eine DoS- oder DDoS-Attacke per Mausklick im Internet beauftragen. Für Unternehmen wächst dadurch die Gefahr, Ziel solcher Angriffe zu werden.

Die Zeit der Script Kiddies ist endgültig vorbei. Das Hacking hat sich seit langem zunehmend professionalisiert, und heute steht eine Vielzahl Cloud-basierter Services zur Verfügung, über die auch technisch völlig unbeleckte User für einen relativ geringen Geldbetrag eine DDoS-Attacke ausführen können. Für die Betreiber von Netzwerken bedeutet dies, dass die Anzahl potentieller Angreifer und die Wahrscheinlichkeit eines Angriffs sich drastisch erhöht haben. Jeder unzufriedene Mitarbeiter, jeder verärgerte Kunde und auch jeder Wettbewerber kann heute praktisch ohne den geringsten Aufwand den Zugang zum Online Shop oder zum Unternehmensnetz beeinträchtigen oder gar unmöglich machen.

Hackergruppen als Anbieter

Angeboten wird DDoS-as-a-Service, auch als Booter Service oder Stresser Service bezeichnet, von vielen notorischen Hackergruppen wie der Lizard Squad, der Poodle Corp oder den New World Hackers, die auf diese Weise ihre bestehende Infrastruktur vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren wie ganz normale Unternehmen nach marktwirtschaftlichen Kriterien. Die Services werden im Darknet, aber auch auf sozialen Medien umfangreich beworben, und ein starker Wettbewerb sorgt für immer niedrigere Preise und senkt so die Eintrittsschwelle für Neukunden. Schon für 15 bis 20 Dollar kann ein Angreifer 30 Tage lang Burst-Angriffe mit Datenraten von meist 10-20 Gbps und im Extremfall sogar bis zu 400 Gbps durchführen. Dabei ermöglichen die meisten Anbieter eine Kombination unterschiedlicher Angriffsvektoren wie DNS, SNMP, SSYN oder langsame GET/POST-DoS-Angriffe auf Anwendungsebene. Auch NTP, SSDP, ACK, XMLRPC, Portmap oder populäre Content Management Systeme wie Joomla stehen oft auf der Karte. Alles, was der Angreifer tun muss, ist einen Account anzulegen, per Bitcoin zu be- zahlen und auf einem Serviceportal das Angriffsziel (IP-Adresse und ggf. Port) sowie die Angriffsmethode festzulegen.

Aufgrund ihrer enormen Effektivität setzen Booter Services in aller Regel primär auf sogenannte Amplification-Attacken. Solche Angriffe sind zudem sehr einfach durchzuführen. Dabei werden Anfragen an einen offenen Service, etwa freie DNS-Server, gesendet, wobei die Absenderadresse gefälscht und durch die Zieladresse des Angriffs ersetzt wird. Das Opfer erhält dann die Antworten auf die Anfragen, die erheblich größer sein können als die Anfrage selbst und so den namensgebenden Verstärkungseffekt hervorrufen. So können Angreifer auch mit einer ausgehenden Datenrate von beispielsweise 100 Mbps über DNS Amplification einen Angriff mit 5 Gbps realisieren. Selbst Spielkonsolen und verbreitete Router für Heimnetzwerke werden benutzt, um Attacken zu verstärken. Zudem bedeuten solche Attacken eine zusätzliche Anonymisierungsschicht, da die Herkunft des Angriffs verschleiert wird.

Die meisten Booter oder Stresser Services nutzen für das Hosting ihrer Skripts heute Clouddienste, um von deren hoher Bandbreite zu profitieren. Die Betreiber der Stresser-Dienste haben dabei nur geringe Ausgaben. Der Hauptteil davon entfällt auf die Backend Server, die erstens IP Spoofing erlauben müssen und zweitens einen schnellen Uplink benötigen. Zudem ist es für den Betreiber vorteilhaft, wenn der Cloud-Anbieter nicht bandbreitenabhängig abrechnet. Einmal im Besitz der Server, muss der Betreiber nur noch die Shell seiner Wahl hochladen, um seinen Service zu starten.

Die rechtliche Seite

Stresser sind nicht grundsätzlich illegal, und es gibt viele legitime Einsatzszenarien, speziell beim Testen der eigenen Infrastruktur. Die meisten seriösen Dienste verlangen daher auch einen Nachweis darüber, dass die so getesteten Systeme auch tatsächlich dem jeweiligen Kunden gehören und dessen ISP auch mit dem Test einverstanden ist. Allerdings sind diese Dienste in der Unterzahl; die meisten Stresser Services verzichten auf diesen Nachweis. Das Verbot, fremde Systeme zu „testen“, findet sich zwar auch in deren Geschäftsbedingungen, aber vor allem, um jegliche Verantwortung seitens des Anbieters auszuschließen.

In Deutschland geht der böswillige Nutzer solcher Services das Risiko ein, wegen Computersabotage nach § 303b StGB zu maximal drei Jahren Haft oder Geldstrafe verurteilt zu werden. Hinzu kommen gegebenenfalls Schadensersatzforderungen. Auch diese Konsequenzen tragen jedoch zur Popularität von DDoS-as-a-Service bei, da hier ein hohes Maß an Anonymität geboten wird.

Angriffe über Stresser Services sind vielfach belegt, insbesondere auf ISPs, Medienunternehmen, Finanzdienstleister und Online-Spieleplattformen. Doch auch jede andere Branche und praktisch jedes Unternehmen kann durch sie sehr schnell ins Fadenkreuz eines Angreifers geraten. Die Möglichkeit, auch ohne Erfahrung schnell, einfach und mit geringem finanziellem Aufwand sehr wirksame DDoS-Attacken zu initiieren, ist oft einfach zu verlockend. Selbst Schulen wurden so schon Opfer von Schülern, die sich un- gerecht behandelt oder benotet fühlten.

Verteidigung tut not

Grundsätzlich sollte sich daher jedes Unternehmen Gedanken darüber machen, wie man mit DDoS-Attacken umgeht. Es gibt wirksame Schutzsysteme, die im eigenen Rechenzentrum installiert werden und Angriffe zuverlässig erkennen sowie durch Filterung blockieren können. Während diese mit vielen Angriffen gut zurechtkommen, bleiben sie allerdings wirkungslos, wenn allein die Flut der eingehenden Datenpakete die Internetanbindung des Unternehmens saturiert. In diesem Fall muss der Angriff durch einen Cloud Service bereits im Netz bekämpft werden.

Bei solchen Services wird der gesamte eingehende Verkehr über den Anbieter geleitet und dort schon analysiert und gegebenenfalls gefiltert, bevor er die eigene Infrastruktur erreicht. Oft ist eine hybride Lösung die beste Antwort auf die Herausforderung – sie besteht aus einem Onsite-System in Verbindung mit einem Cloud Service, der nur bei Bedarf in Anspruch genommen wird.

Aber auch reine Cloud Services werden angeboten und sind oft für kleinere und mittlere Unternehmen attraktiv. Die für viele nächstliegende Lösung dagegen ist in der Regel keine: eine schnellere Internet-Anbindung. Erstens verursacht diese unter Umständen erhebliche laufende Kosten und erfordert möglicherweise Investitionen in neue Netzwerkgeräte, und zweitens sind Angreifer über Cloud-Plattformen und Stresser Services heute in der Lage, auch die schnellere Anbindung erfolgreich zu attackieren.

www.radware.de

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet