[Netzwelt] Heftigster DDoS-Angriff der Geschichte auf Brian Krebs' Website

Dienstag und Mittwoch dieser Woche wurde der Sicherheitsexperte und -Journalist Brian Krebs mit seiner Website http://krebsonsecurity.com (Seite aktuell nicht erreichbar) Ziel des bisher größten DDoS-Angriffs in der Geschichte des Internets. Die Angriffe erreichten über einen langen Zeitraum bis zu 665 Gbps, das entspricht in etwa der doppelten Potenz des bisher stärksten gemessenen Angriffs.

Auslöser für diesen Angriff war vermutlich ein Bericht über den israelischen Booter-/Stresser-Service vDos, der aktiv zur Aufdeckung und Verhaftung der Hintermänner geführt hatte (Seite derzeit nicht erreichbar).

Krebs' Anti-DDoS-Dienstleister Akamai, der laut Krebs seine Website bis dato kostenlos geschützt hatte, konnte dem Angriff nichts entgegensetzen und verzichtete in der Folge darauf, die Dienstleistung weiter zu erbringen. Brian Krebs hat nach eigener Aussage völliges Verständnis dafür, er habe schließlich in zwei Nächten mehr Kosten verursacht, als Akamai zuzumuten wäre.

Auf Heise.de wird auf die schiere Größe des dem Angriff zugrunde liegenden Botnets' hingewiesen. Die Existenz eines derartig großen Botnets war bisher völlig unbekannt.

 

[HoneyBadger]

@Novgorod: Also kann man es darauf verkürzen, dass man als zwar vorsichtiger, aber doch mehr oder weniger "normaler" User eigentlich nicht erkennen kann? Sprich selbst, wenn man alle sinnvollen Dinge beachtet, die man beachten sollte? Wie schon beschrieben, nehme ich da mich selbst als Beispiel. Ganz gutes technisches Verständnis und genügend Vorsicht sind zwar da, aber ein Programmierer bin ich dann doch nicht. Ich würde schon gerne mal prüfen, ob ich vielleicht unwissend ein Teil eines Botnetzes bin und dann schauen, wie ich das wieder ändern könnte.

 

[sia]

Dann installier' doch Windows* und deine Anwendungen einfach neu

 

[Metal_Warrior]

Aber irgendwas kann man doch sicherlich machen, diese Angriffe kommen ja von einer IP, und wenn man die hat dann kann man sich ja den PC ansehen und schauen von wem er ferngesteuert wird.

Nein, bei einem DDoS (Distributed Denial of Service) kommen die Angriffe von tausenden und abertausenden IPs gleichzeitig. Deshalb ja Distributed (=verteilt). Da ist nix mehr zu machen.

Ich würde schon gerne mal prüfen, ob ich vielleicht unwissend ein Teil eines Botnetzes bin und dann schauen, wie ich das wieder ändern könnte.

Schwierig bis unmöglich. Klar kannst du mit Wireshark den Netzwerkverkehr mitsniffen, aber Windows ist mittlerweile so kommunikationsfreudig, dass du da ewig brauchst, bis du eventuellen illegitimen Traffic identifiziert hast. Daher ist es wohl sinnvoller, dass wenn du die Vermutung hast, dass was bei dir krumm läuft, einfach das System neu aufsetzt. Malware sauber und rückstandsfrei aus dem System entfernen ist nahezu unmöglich. Daher gilt eigentlich immer die Regel: Ein einmal kompromittiertes System wird nicht mehr vertrauenswürdig, bis man es vollständig neu aufsetzt.

 

[virtus]

Der DDoS wird wahrscheinlich noch etwas dauern, aber danach wieder aufhören. Was hat es gebracht? Nichts.

Wenn der Angriff so groß war, dass Akamai aufgeben musste, dann sind selbst deren Systeme gecrasht.
Da Akamai nicht nur für Brian Krebs tätig ist, sondern auch für diverse andere Kunden, wirkt sich so ein Angriff auch auf die anderen Kunden aus. Die Kunden müssen dann natürlich schauen, wie sie ihre Inhalte ausgeliefert bekommen. Für alle Beteiligten ist das ein enormer personeller Aufwand, der betrieben werden muss und das kostet natürlich sehr viel Geld. Außerdem kosten Traffic Geld, die Kosten müssen natürlich auch beglichen werden.
Kosten und Ärger sind eben nicht schön..

Kann man denn gar nichts gegen solche Attacken machen?

Bei diesen Dimensionen, nein.

Ist denn nicht klar von wo diese Angriffe kommen?

DDoS ist normalerweise ein Angriff der durch hunderte oder tausende infizierte Systeme ausgeführt wird.
Gehört der einzelne Rechner der am Angriff teilnimmt, in der Regel nicht dem Angreifer, sondern völlig unbeteiligten Personen.
Lies hier: DDoS

 

[Novgorod]

@Novgorod: Also kann man es darauf verkürzen, dass man als zwar vorsichtiger, aber doch mehr oder weniger "normaler" User eigentlich nicht erkennen kann? Sprich selbst, wenn man alle sinnvollen Dinge beachtet, die man beachten sollte?

richtig, du hast praktisch keine chance, den virtus zu entdecken, wenn er gut programmiert ist - selbst wenn man "ahnung" hat, und als "normaler" user schon garnicht.. der einzige wirklich wirkungsvolle schutz ist, sich sowas garnicht erst einzufangen! das bekommt man mit ein bisschen aufmerksamkeit und verstand auch als "normaler" user hin, wenn man nicht gerade ziel von geheimdiensten ist, die z.b. die eigenen sozialen kontakte kompromittieren, alle möglichen 0days auf dich loslassen oder simpel bei dir einbrechen und den rechner präparieren.. keine sorge, den aufwand bist du denen nicht wert .. wenn du aber bereits grund hast zu vermuten, dass irgendwas im argen liegt, hast du keinerlei chance, das gegenteil zweifelsfrei zu beweisen - es könnte immernoch einer der "guten" trojaner sein, die systemprozesse befallen und extrem wenig und unauffällig kommunizieren.. in solchen fällen ist es praktisch immer weniger aufwand, einfach das system komplett neu aufzusetzen - das dauert vielleicht ein paar stunden, aber so einen mossad-trojaner auf dem system ausfindig zu machen kann wochen dauern und zudem musst du dir alle auswerte-tools selber machen ..

es ist sowieso nicht verkehrt, sein system hin und wieder mal pophylaktisch neu aufzusetzen (gerade wenn es windows ist), das bringt auch noch andere vorteile neben der sicherheit, (erstmal ) virenfrei zu sein..

 

[sia]

es ist sowieso nicht verkehrt, sein system hin und wieder mal pophylaktisch neu aufzusetzen (gerade wenn es windows ist), das bringt auch noch andere vorteile neben der sicherheit, (erstmal ) virenfrei zu sein..

Genau, empfehlen wir doch einfach weiterhin Dinge, die bei Windows 2000 vor 16 Jahren mal aktuell waren…

Welche Vorteile bringt es denn noch, deiner Meinung nach? Neuere Windows-Versionen werden mit der Zeit nicht immer langsamer, dieser Mythos wurde schon vor Jahren widerlegt. Der Grund für die Langsamkeit ist eher, dass die Benutzer das System mit unnötigen Programmen zumüllen, die dann im Hintergrund laufen.

Auch mit Admin-Rechten kann man auf modernen Systemen ohne Privilege Escalation (die bei Windows 7+ sehr, sehr selten wurde) keine Systemdateien einfach so ersetzen, da diese dem Systembenutzer gehören. Eine einfache manuelle Überprüfung des Autostarts und ein Check der Systemdateien ([kw]sfc /scannow[/kw]) sollte somit eigentlich ausreichen, um ein Botnet auszuschließen – falls es nicht das NSA-Botnet ist.

Im Falle von extrem spezialisierten Angriffen würde ich statt Windows eher Linux mit IDS (z.B. Tripwire) zur täglichen Nutzung und TAILS für "Geheimsachen" empfehlen. Windows ist viel zu unübersichtlich. Das neu Aufsetzen habe ich nur empfohlen, wenn man ohne viel Ahnung halbwegs sicher sein möchte, dass sein PC nicht zu einem Botnet gehört.
Dann sollte man die Programme aber auch nicht von CHIP, SourceForge oder anderen dubiosen Seiten herunterladen, sondern bspw. Chocolatey nutzen, um das Risiko einer neuen Infektion zu verringern.

 

[cokeZ]

@phre4k: Mit Windows + brain.exe bin ich genauso sicher wie unter Linux.

Und ich fast jede Softwarw die man mal so getestet hat von Chip. Keine Viren und nichts.

 

[sia]

Ja, unter Windows bist du als Normalanwender auch halbwegs sicher, unter Linux hast du unbestritten mehr Kontrolle über das System, z.B. grsecurity.

Lies meinen Beitrag doch einfach mal ganz. Ich redete von spezialisierten Angriffen, nicht vom gemeinen Botnet-Trojaner.

Ich würde jeden, der das liest, bitten, das nicht schon wieder in eine Diskussion Windows vs Linux ausarten zu lassen. Gerne kann man das per PN mit mir weiter diskutieren oder einen entsprechenden Thread dafür nutzen.

Dass man von Chip und Sourceforge nichts herunterladen sollte, da dort Adware über deren eigene Installer verteilt wird, ist auch schon des Öfteren hier behandelt worden.

 

[cokeZ]

@phre4k: Man nimmt ja auch nicht den hauseigenen DL-Manager + Installer! Das mein ich eben mit Brain.exe

Mich pisst es halt an, dass Linux immer als Allerheilmittel dargestellt wird. Das wsr vllt um die Jahrtausendwende rum, solangsam hat sich das aber auch gegessen.

 

[sia]

Ich sehe Linux nicht als Allheilmittel, aber es gibt keine Windows-Alternative zu TAILS und Kernelfunktionen unter Windows sind genauso wenig offengelegt wie die Dienste selbst.

Was hat das jetzt mit DDoS zu tun?

 

[HoneyBadger]

wenn du aber bereits grund hast zu vermuten, dass irgendwas im argen liegt, hast du keinerlei chance, das gegenteil zweifelsfrei zu beweisen - es könnte immernoch einer der "guten" trojaner sein, die systemprozesse befallen und extrem wenig und unauffällig kommunizieren.. in solchen fällen ist es praktisch immer weniger aufwand, einfach das system komplett neu aufzusetzen - das dauert vielleicht ein paar stunden, aber so einen mossad-trojaner auf dem system ausfindig zu machen kann wochen dauern und zudem musst du dir alle auswerte-tools selber machen ..

Konkrete Vermutungen habe ich nicht. Irgendwelche Auffälligkeiten sind mir auch nicht aufgefallen. Es ist einfach nur so, dass sich mein Bedürfnis ziemlich in Grenzen hält, meinen PC für solche Spielchen von dritten ausnutzen zu lassen. Mir geht das immer gläserner werden und diese permanenten Angriffe von "draußen" (Viren, Trojaner, Maleware, Cryptoscheiße und weiß der Geier was) nur ziemlich gegen den Strich. Ich stelle mir die ganze Technik ja nicht für den Nutzen von Dritten bei mir daheim hin. Daher mein Interesse, was ich dagegen tun kann bzw. wie ich präventiv dagegen vorgehen kann.

 

[Novgorod]

Welche Vorteile bringt es denn noch, deiner Meinung nach? Neuere Windows-Versionen werden mit der Zeit nicht immer langsamer, dieser Mythos wurde schon vor Jahren widerlegt. Der Grund für die Langsamkeit ist eher, dass die Benutzer das System mit unnötigen Programmen zumüllen, die dann im Hintergrund laufen.

auch wenn's völlig OT ist: die garbage collection von windows war schon immer mist, so dass sich manche dinge über längere zeit aufblähen (registry, drivercache, appdata etc.) - es richtet zwar nicht mehr so viel schaden an wie früher (was wohl eher an generell schnellerer hardware liegt, die auch sehr große enumerierungen [enumerationen?] verkraftet), aber das system wird dennoch zugemüllt.. zum anderen sind es auch die (schrott-)programme, die sich eben nicht rückstandsfrei deinstallieren lassen, was vielleicht nicht so sehr die schuld von windows ist, aber trotzdem muss man damit leben.. gerade der "normaluser", von dem hier so oft die rede ist, ist wohl eher nicht in der lage, eine manuelle wartung durchzuführen, um ein mehrere jahre altes system zu entschlacken, von daher ist auch hier neuaufsetzen weniger aufwand..

Auch mit Admin-Rechten kann man auf modernen Systemen ohne Privilege Escalation (die bei Windows 7+ sehr, sehr selten wurde) keine Systemdateien einfach so ersetzen, da diese dem Systembenutzer gehören.

ich denke nicht, dass moderne "stealth"-trojaner tatsächlich systemdateien ersetzen/manipulieren (das bemerkt windows ja auch automatisch, schon seit win2k), viel eher wird das über code injection mittels sicherheitslücken in bestehenden systemdateien (auch "API" genannt ) laufen..

Es ist einfach nur so, dass sich mein Bedürfnis ziemlich in Grenzen hält, meinen PC für solche Spielchen von dritten ausnutzen zu lassen.

ich glaube kaum, dass irgendjemand dieses bedürfnis hat .. nur letztendlich hast du nie absolute sicherheit, so wie du dir nicht sicher sein kannst, ob bill gates nicht doch deine pornosammlung kopieren könnte.. wenn du keinen grund zur annahme hast, dir irgendwas eingefangen zu haben (z.b. dubiose email-anhänge öffnen, sich ohne noscript auf warez- und pornoseiten rumtreiben, "keygens" ohne sandbox ausführen usw.), dann wirst du mit größter wahrscheinlichkeit auch nichts haben.. aber wie gesagt, es gibt keine absolute sicherheit, du könntest dir auch sofort nach dem neuaufsetzen was einfangen, wenn du jegliche daten von außen auf deinen rechner lässt - da muss im zweifel die brain.exe die verhältnismäßigkeit abwägen..
du könntest aber beispielsweise den netzwerktraffic permanent loggen (oder zumindest den up/down speed + anwendung mit momentan meistem traffic + zielhost für diese) und auf automatische aktivität achten, die nicht von irgendwelchen programmupdates kommt - das könnte helfen einen botnet-client zu entlarven, wenn er tatsächlich mal was aktiv angreift (aber keine chance, wenn er nur idlet, wie gesagt).. wenn die quelle ein windows-dienst und das ziel irgendeine komische webseite und kein microsoft-server ist, ist das ein gutes indiz ..

 

[HoneyBadger]

...ohne sandbox ausführen usw.)...

Da sagst Du was. Das wollte ich mir immer noch mal einrichten. Habe mal bei SemperVideo eine gesehen, wo sich jedes Programm ohne große Probleme per Rechtsklick --> in Sandbox öffnen, starten lassen soll. Habe den Namen nur leider vergessen. Ist wohl auch jetzt kostenpflichtig. Da muss ich mir nochmal was gutes suchen.

 

[Novgorod]

nennt sich sandboxie und selbst ohne crack reicht die "gratis"-version für alles, was der "normal"-user damit vorhat (sprich keygens ausführen )..
damit lässt sich auch recht gut nachvollziehen, was das programm an daten im system ändern will (bzw. ohne sandbox geändert hätte).. aber ehrlichgesagt ist mir in den vielen jahren bisher kein einziger keygen untergekommen, der tatsächlich dubiose registry-einträge und daten schreiben wollte, wo sie nicht hingehören (d.h. außerhalb des zu crackenden programms) - trotzdem ist ungeschütztes ausführen von dateien aus solchen quellen ziemlich fahrlässig, ich würd's nie ohne tun ..

 

[godlike]

Ich kenne ihn auch nicht persönlich, aber jeder, der in den letzten 10 Jahren auch nur am Rande mit IT-Sicherheit zu tun hat(te), hat seinen Namen wohl schon mal gehört.

Nun ja, jetzt kenne ich, dank dem DDoS-Angriff, den Typen auch bzw. weiß mit dem Namen zumindest was anzufangen. Ist doch fast schon ganz praktisch diese kostenlose Publicity Un mei, jetzt war seine Seite halt paar Tage weg, dafür kennen ihn am Ende nicht nur IT-Sicherheitsprofis

 

[Jester]

Der Punkt ist weder die Story um Brian Krebs, noch die Geschehnisse um vDos. Hier geht es darum, dass gerade das größte Botnet der Welt offen in Erscheinung getreten ist. Die 665 Gbps waren ein Angriff _ohne_ Reflection, d.h. die Potenz ist geschätzt bis zu Faktor 70 (!) höher - das ist eine Hausnummer, über die man erstmal eine Sekunde nachdenken muss.

Die darin enthaltene Frage ist: hat es eine Malware geschafft, wie ein APT unbemerkt auf 100-tausende bis Millionen Rechner und Geräte zu kommen und dort auf Befehle zu warten?

Das Potential wäre so immens, dass es mit diesem Botnet theoretisch möglich wäre, relevante Bereiche des Internets lahmzulegen, sprich: unter Umständen große Teile der Infrastruktur eines Landes.

Taktisch gesehen war es sicher nicht allzu klug, sich mit dem Angriff auf Krebs' Website zu offenbaren. Ein unvorbereiteter Treffer mit diesem Ding an der richtigen Stelle hätte womoglich schlimme Folgen gehabt. Hier rückt der Aufruf unser Regierung zur Bevorratung von Nahrung und Trinkwasser für 10 Tage in ein völlig neues Licht, auch wenn ein Zusammenhang nicht wirklich gegeben sein muss.

J.

PS: Brian Krebs ist im Security-Bereich seit Jahren eine Institution, ähnlich wie Bruce Schneier. Klar muss man ihn nicht kennen, wenn man sich für die Materie nicht interessiert. Als IT'ler sollte man aber ^^

 

[godlike]

Naja, als ITler würde ich mich jetzt nicht bezeichnen. Ich weiß aber was ein DDoS ist und das man damit Schaden anrichten kann. Großartige Vergleichswerte habe ich natürlich nicht im Kopf bzw. hab ich mich darüber nie informiert. Das auf einer Million Rechner aber Maleware vorhanden ist, die den PC zum Angriff eines Bot-Netzes werden lässt, hätte ich jetzt einfach mal mit "Ja" beantwortet. Nur weil so was noch nie passiert ist muss das ja nichts heißen. In der heutigen Zeit, wo einfach Jeder in der Lage ist sich Software zu installieren und sich evtl dabei was einzufangen, auch nicht weiter verwunderlich. Das war für 15 Jahren, als das Internet noch "neu" was und man wenigstens etwas Ahnung haben musste um sich darin überhaupt zurecht zu finden, wohl noch anders. Schätze daher das da noch weit krassere Angriffe möglich wären die halt aber noch nie stattgefunden haben.

Das ist aber wie gesagt nur meine Sicht als IT-Laie.

Und wer ist Bruce Schneier

 

[Jester]

@godlike: schneier.com, Wikipedia (en). Der hat so unwichtige Dinge gemacht, wie z.B. 2007 darauf hinzuweisen, dass im Dual EC DRGB (einem von vier vom NIST veröffentlichten Zufallszahlengeneratoren für kryptographische Verfahren, enthalten in Win Vista SP1) vermutlich eine NSA-Backdoor enthalten ist, was Snowdens geleakte Dokumente 2013 später bestätigten

Er war außerdem an der Entwicklung von Blowfish, Twofish, Yarrow Randoms und Skein Hash beteiligt, ist Vorstandsmitglied der EFF und seit neuem im director's board des Tor-Projekts. *hust* ^^

 

[Metal_Warrior]

@godlike: Ums Kurz zu machen: Bruce Schneier ist ne Krypto-Legende. Wo immer es um Krypto geht, hat sein Wort Gewicht.

 

[d235]

Viel interessanter ist dieses riesige Botnetz und wie es überhaupt entstehen konnte.
Ich bin gespannt wenn es den, im Zuge von IoT, vernetzten Toaster gibt, der Regierungsserver und andere Einrichtungen lahmlegt. 600 Gbit/s wird in Zukunft dann Standard sein.

Für Interessierte hier die Quelle: http://www.darkreading.com/attacks-breaches/ipv6-and-the-growing-ddos-danger/a/d-id/1322942

Und wer ist Bruce Schneier

Dieser Link wird dir weiterhelfen: https://www.schneierfacts.com/