ISPs fürchten Botnetze und Angriffe auf Webserver
DDoS-Angriffe sind über sechs Jahre nach ihrer ersten ernstzunehmenden Erscheinung weiterhin die am meisten gefürchteten Sicherheitsbedrohungen. Dies bestätigt zumindest das aktuelle Ergebnis einer jährlich durchgeführten Umfrage von Arbor Networks - ein internationaler Anbieter für Netzwerksicherheit. Doch die Ergebnisse der Umfrage gelten scheinbar auch für Privatpersonen.
Die Umfrage mit dem Titel "Worldwide Infrastructure Security Report" soll die Sicherheitsbedrohungen, mit denen kommerzielle Netzwerkbetreiber (ISPs) täglich zu kämpfen haben, näher beleuchten. In der Studie wurden insgesamt 65 Fragen gestellt. Sie deckt die zweite Jahreshälfte von 2005 ab und spiegelt die Meinungen 55 internationaler Netzwerkbetreibern.
Verteilte Überlastungsangriffe (DDoS - Distributed Denial Of Service) sind schwer zu orten und zu bekämpfen. Bei dieser Art von Angriffen werden von unzähligen auf der ganzen Welt verstreuten Absendern Unmengen an Daten gleichzeitig an ein Angriffsziel geschickt - mit der Absicht, das Zielsystem unter der hohen Netzwerkbelastung lahm zu legen. Das Zielsystem quittiert nun seinen Dienst und kann nicht mehr im Netzwerk kommunizieren. Um jedoch von unzähligen verstreuten Absendern gleichzeitig Daten abschicken zu können, bedarf es der Fernsteuerung dieser Computer. Genau das ermöglicht ein Botnetz. Ein Botnetz ist ein Zusammenschluss von einigen bis hunderttausenden fernsteuerbarer Computer - sogenannter Zombies oder Nodes. Zombies sind PCs von meist ahnungslosen Heim- oder Firmenanwendern, die mit einer Backdoor infiziert wurden. Diese geheime Hintertür bleibt in der Regel lange Zeit unentdeckt und erlaubt es dem Computerkriminellen, den PC heimlich für seine Zwecke zu nutzen. Diese Steuerung geschieht meistens über IRC-Kanäle (Internet Relay Chat). Sind erstmal genügend PCs mit der Backdoor infiziert, so kann dieser Verbund aus Rechnern gleichzeitig auf effektive Weise für die Durchführung krimineller Aktionen eingesetzt werden.
Neben dem Verschicken von SPAM- und Phishing-Mails ist die DDoS-Attacke bei weitem die beliebteste dieser Aktionen.
Immerhin 46% aller Befragten halten DDoS-Attacken für die größte Sicherheitsbedrohung. Botnetze sind mit 31% auf Platz zwei. Wenn man aber bedenkt, dass DDoS-Attacken fast immer mit Hilfe von Botnetzen ausgeführt werden, kann man sagen, dass 77% der Netzbetreiber das Problem infizierter Einzel-PCs als Hauptbedrohung ansehen. Dafür spricht auch das Whitepaper zum Windows MSRT (Malicious Software Removal Tool): Das Tool sammelt neben dem Entfernen bösartiger Software statistische Daten zu den Schädlingen und hat innerhalb der letzten 15 Monate rund 36000 Malware-Exemplare pro Tag entfernt. Dieses Tool hat ermittelt, dass in 7% aller infizierter Rechner ein Massenmailer und in 62% eine Backdoor gesteckt hatte. Und diese mit Backdoors versehenen Zombies sind schließlich die Elemente, aus denen Botnetze bestehen.
Durch bessere Aufspür-Techniken auf Seiten der Netzbetreiber können nun Botnetze größerer Dimensionen sichtbar gemacht werden. Und so beklagen mittlerweile 11% der Befragten Angriffe von Botnetzen mit 100.000 - 150.000 Zombies. In Einzelfällen wurden sogar noch weit größere Botnetze beobachtet. Der Trend geht jedoch dahin, dass vermehrt kleinere, dafür aber flexiblere Botnetze ins Leben gerufen werden. Diese vielen kleinen Botnetze sind besser zu organisieren und deshalb leichter zu vermarkten. Denn Botnetzbetreiber neigen dazu, die Nutzung ihrer Botnetze an Dritte zu vermieten und für diese angebotenen "Leistungen" (Angriff, Nutzungsdauer, Aktivität) Geld zu verlangen. Es wird sogar mit entsprechenden Emails dafür geworben.
Darüber hinaus wird der Netzverkehr zwischen Zombies und Botnetzbetreibern oftmals verschlüsselt. Beängstigend ist auch, dass heutige Botnetze mittlerweile so ausgereift sind, dass sie mehrere kriminelle Aktionen gleichzeitig ausführen können, ohne, dass es der vor dem Computer sitzende Benutzer bemerkt. Sie verfügen über ausgeklügelte Multitasking-Techniken. Diese Verbesserungen erlauben es den Botnetzbetreibern, ihre gekaperten Maschinen immer komfortabler zu bedienen - und im Gegenzug erschweren sie den Betroffenen zunehmend die Möglichkeit, sie aufzuspüren. Egal welche Arten von Malware - ob Spam-Proxy, Rootkit oder Spyware - eine Backdoor kann alles auf den infizierten PC überspielen.
Ein von einem Botnet ausgeführter DDoS-Angriff hat bei den meisten der Befragten eine Bandbreite von 1-4 Gbps (Gigabit pro Sekunde) verschlungen. Aber auch Angriffe mit über 10 Gbps wurden beobachtet. Dies sind Größenordnungen, bei denen selbst Core Backbones in die Knie gezwungen werden. Es werden pro Monat durchschnittlich mehr als 40 Angriffe verzeichnet, die direkte Auswirkungen auf die Kunden haben.
Die Netzwerkbetreiber können sich gegen diese Bedrohung kaum wehren. Ein Fünftel der befragten Unternehmen bieten zwar selbst die Erkennung und Milderung von DDoS-Angriffen an. Die Filterung des gesamten Netzwerkverkehrs würde die Angriffe auch abschwächen - ist aber durch die dauerhaften Geschwindigkeitseinbußen, die eine Filterung auf Anwendungsebene mit sich bringt, fast schlimmer als ein einmaliger DDoS-Angriff. Auch die Justiz scheint für die Unternehmen keine Lösung zu sein. Rund 70% aller Befragten verzichten darauf, sich nach einem erlittenen Angriff an die Behörden zu wenden. Wenn man die Anzahl der Angriffe der letzten sechs Monate durch die Anzahl der polizeilich gemeldeten Angriffe dividiert, kommt man zu dem Ergebnis, dass nur bei ca. 1,5% aller entdeckten Angriffe die Behörden konsultiert wurden.
Als Gründe dafür gaben die Firmen an, die Polizei könne ihnen sowieso nicht helfen. Außerdem seien nicht genügend beweiskräftige Informationen über den Angriff vorhanden oder die Informationen unterlägen den Datenschutzbestimmungen. Beim Schutz vor DDoS-Angriffen setzen viele der befragten Netzwerkbetreiber hauptsächlich auf kommerzielle Software. Aber auch OpenSource Software wird eingesetzt und selbst die Anrufe von Kunden werden im Ernstfall als Schutzfunktion angesehen.
Das größte Problem in der Bekämpfung dieser Angriffe ist für die Netzbetreiber der Spagat zwischen Preis und Sicherheit. Die Mehrheit der Kunden wählt den Internetprovider nämlich allein wegen des günstigsten Preises aus - es wird kein Wert auf die Investition in Sicherheit gelegt. Da das Geschäft der ISPs (Internet Service Provider) heutzutage nur noch knappe Margen erwirtschaftet, kann in vielen Fällen eine vernünftige Sicherheitspolitik aus Kostengründen nicht umgesetzt werden. Und im Fall eines Angriffes wird die Schuld grundsätzlich den Providern in die Schuhe geschoben.
Um der Lage Herr zu werden, müsste man also entweder die Betreiber von Botnetzen aufspüren oder sämtliche Computerbenutzer dazu bewegen, die Sicherheit ihres Computers zu erhöhen und etwaige Backdoors zu entfernen. Beide dieser Wege scheinen steinig zu sein, denn zum einen schlafen die Computerkriminellen nicht auf Bäumen: Sie denken sich ständig neue Strategien aus, um die Existenz ihrer Botnetze zu verschleiern und die benutzten Kommando- und Kontrollmechanismen zu perfektionieren. Und zum anderen sehen viele Computerbenutzer nicht ein, für die Sicherheit ihres eigenen PCs investieren zu müssen. Dabei gibt es bereits effektive Lösungen, wie zum Beispiel das G DATA OutbreakShield. Diese Technik überwacht weltweit den E-Mailverkehr mit Sonden und schützt so nach wenigen Minuten vor Spam und Massenmails mit Trojanischen Pferden. Auch Privatpersonen sollten für den Sicherheitsbereich sensibilisiert werden. Schließlich ist jeder infizierte PC daran beteiligt, wenn eine DDoS-Attacke auch den Datenverkehr beim Provider stört. Prüfen Sie Ihren PC und entfernen Sie schädliche Software von Ihrem PC.
Weitere Informationen:
© 2007 - 2012 G Data Software AG. Tous droits réservés.
