Manfred Kloiber: Wie funktionieren verteilte Denial-of-Service-Attackten? - Informationen von Achim Killer. Mit ihm bin ich in München verbunden. Herr Killer, in Ihrem Beitrag sagte ja der Internetaktivist Jacob Appelbaum, diese dDOS-Attacken seien so etwas Ähnliches wie digitale Sit-ins. Sind sie das wirklich?
Achim Killer: Schwer zu sagen. Juristen jedenfalls sehen das anders. Sit-ins, also Sitzblockaden, werden meist mit einer Geldbuße geahndet. Das Landgericht Düsseldorf aber hat im letzten Jahr einen dDos-Angreifer ins Gefängnis geschickt. Die Richter haben ihn wegen Computer-Sabotage verurteilt. Dafür gibt’s bis zu zwei Jahren. Und wenn’s geklappt hat, noch ein Jahr oben drauf. Der Verurteilte von Düsseldorf war aber kein Hacktivist, sondern ein Krimineller.
Kloiber: Und dann hat der vermutlich ein Bot-Netz für diesen Angriff eingesetzt?
Killer: Ja, das machen Cyberkriminelle fast immer. Sowas geht ganz einfach. Bot-Netze kann man mieten. Vitali Kamlyuk von den Kaspersky Labs hat mir nach dem Interview erzählt, dass er grade so eine Seite auf hätte, wo so etwas angeboten wird. Demnach kosten die Dienste von ein paar tausend Zombies zehn Dollar in der Stunde, 45 Dollar am Tag. Und einen zehnminütigen Testangriff, den gibt’s gratis.
Kloiber: Und setzen Hacktivisten solche Bot-Netze auch ein?
Killer: Also die Angreifer auf Estland im Jahr 2007 haben das gemacht. Aber das war ja eigentlich keine Demonstration in dem Sinne, dass Leute zeigen wollen, dass sie viele sind und dass alle gegen eine bestimmte Sache sind. Sondern den Angreifern damals ging’s damals darum, Macht zu demonstrieren. Aber Hacktivisten im eigentlichen Sinn setzen Bot-Netze nicht ein. Das wäre ja sonst wie eine Demonstration, bei der die Demonstranten bezahlt sind.
Kloiber: Wie bekommen denn die Hacktivisten diese Rechenleistung zusammen, die notwendig ist, um eine Website lahmzulegen? Es sind ja schließlich schon Unternehmen angegriffen worden, die über wirklich große Rechenzentren verfügen.
Killer: Das wird wie alles in der IT heute sehr benutzerfreundlich gemacht. Anonymous beispielsweise setzt ein Programm mit einem – muss man sagen – sehr hübschen grafischen User-Interface ein. Das heißt etwas martialisch, aber so ist es wohl auch gemeint "Low Orbit Ion Cannon". Das laden sich die Leute, die an einer dDos-Attacke teilnehmen wollen, aus dem Netz. Man kann das Programm auch in einem sogenannten hive-Mode betreiben, im Schwarm-Modus. Dann lässt es sich auf allen Rechnern, auf denen es installiert ist und auf denen es im hive-Mode läuft, zentral steuern. Gut, bei der neusten Version kann es durchaus passieren, dass auch jemand mitmacht, der das eigentlich gar nicht will, also wie jemand, dessen Rechner mit Bot-Software infiziert ist. Diese Version ist in Java Script geschrieben, um die ablaufen zu lassen, muss nur eine Web-Seite aufgerufen werden. Dann läuft das Angriffsprogramm im Browser. Und auf so eine Seite können natürlich auch Unbeteiligte gelockt werden. Ein paar tausend Leute bekommt Anonymous meistens für ihre Aktionen zusammen, wovon aber sicherlich die allermeisten wissen, was sie tun. Ja, und die Polizei weiß das auch, beziehungsweise sie kann es leicht herausfinden. Denn bei keiner Version von der "Low Orbit Ion Cannon", da lässt sich die IP-Adresse verbergen.
Kloiber: Wie können sich eigentlich Website-Betreiber gegen diese dDoS-Attacken schützen?
Killer: Die müssen gegebenenfalls ihre Server entsprechend konfigurieren, also so dass Verbindungen zu verdächtigen IP-Adressen überhaupt nicht angenommen werden oder nur eine bestimmte Anzahl von Anfragen einer IP-Adresse innerhalb eines Zeitfensters. Das ist eine Konfigurationsfrage von Server, Router und Firewall. Auf jeden Fall aber braucht ein Unternehmen einen guten Internet-Service-Provider.
Kloiber: Aha, warum das?
Killer: Naja, der Internet-Zugang ist ein Flaschenhals. Und wenn ein Angreifer über so viel Rechenleistung verfügt, dass er den verstopfen kann, dann nützt es nichts, nach dem Flaschenhals Datenpakete ausfiltern zu wollen. Da muss dann schon – zuvor – der Internet-Service-Provider tun.
Kloiber: Herr Killer, sind eigentlich diese DoS-Angriffe Ihrer Ansicht nach so eine Art Vorstufe zu einem Cyberwar?
Killer: Also eher nicht. Das klingt zwar alles recht militärisch, so mit Angriff und so und Nuke - also Atombombe – heißt eine spezielle Angriffsart. Aber praktisch werden da ja bloß ein paar Stunden oder wenn’s hoch kommt ein paar Tage lang Websites blockiert. Und dann ist wieder alles vorbei. Was in einem Cyberwar passiert, das stelle ich mir eher so vor wie das, was Stuxnet gemacht hat, also wenn ein Schädling Steuerungsanlagen manipuliert und dadurch physisch Schäden anrichtet.
Zum Themenportal "Risiko Internet"
Achim Killer: Schwer zu sagen. Juristen jedenfalls sehen das anders. Sit-ins, also Sitzblockaden, werden meist mit einer Geldbuße geahndet. Das Landgericht Düsseldorf aber hat im letzten Jahr einen dDos-Angreifer ins Gefängnis geschickt. Die Richter haben ihn wegen Computer-Sabotage verurteilt. Dafür gibt’s bis zu zwei Jahren. Und wenn’s geklappt hat, noch ein Jahr oben drauf. Der Verurteilte von Düsseldorf war aber kein Hacktivist, sondern ein Krimineller.
Kloiber: Und dann hat der vermutlich ein Bot-Netz für diesen Angriff eingesetzt?
Killer: Ja, das machen Cyberkriminelle fast immer. Sowas geht ganz einfach. Bot-Netze kann man mieten. Vitali Kamlyuk von den Kaspersky Labs hat mir nach dem Interview erzählt, dass er grade so eine Seite auf hätte, wo so etwas angeboten wird. Demnach kosten die Dienste von ein paar tausend Zombies zehn Dollar in der Stunde, 45 Dollar am Tag. Und einen zehnminütigen Testangriff, den gibt’s gratis.
Kloiber: Und setzen Hacktivisten solche Bot-Netze auch ein?
Killer: Also die Angreifer auf Estland im Jahr 2007 haben das gemacht. Aber das war ja eigentlich keine Demonstration in dem Sinne, dass Leute zeigen wollen, dass sie viele sind und dass alle gegen eine bestimmte Sache sind. Sondern den Angreifern damals ging’s damals darum, Macht zu demonstrieren. Aber Hacktivisten im eigentlichen Sinn setzen Bot-Netze nicht ein. Das wäre ja sonst wie eine Demonstration, bei der die Demonstranten bezahlt sind.
Kloiber: Wie bekommen denn die Hacktivisten diese Rechenleistung zusammen, die notwendig ist, um eine Website lahmzulegen? Es sind ja schließlich schon Unternehmen angegriffen worden, die über wirklich große Rechenzentren verfügen.
Killer: Das wird wie alles in der IT heute sehr benutzerfreundlich gemacht. Anonymous beispielsweise setzt ein Programm mit einem – muss man sagen – sehr hübschen grafischen User-Interface ein. Das heißt etwas martialisch, aber so ist es wohl auch gemeint "Low Orbit Ion Cannon". Das laden sich die Leute, die an einer dDos-Attacke teilnehmen wollen, aus dem Netz. Man kann das Programm auch in einem sogenannten hive-Mode betreiben, im Schwarm-Modus. Dann lässt es sich auf allen Rechnern, auf denen es installiert ist und auf denen es im hive-Mode läuft, zentral steuern. Gut, bei der neusten Version kann es durchaus passieren, dass auch jemand mitmacht, der das eigentlich gar nicht will, also wie jemand, dessen Rechner mit Bot-Software infiziert ist. Diese Version ist in Java Script geschrieben, um die ablaufen zu lassen, muss nur eine Web-Seite aufgerufen werden. Dann läuft das Angriffsprogramm im Browser. Und auf so eine Seite können natürlich auch Unbeteiligte gelockt werden. Ein paar tausend Leute bekommt Anonymous meistens für ihre Aktionen zusammen, wovon aber sicherlich die allermeisten wissen, was sie tun. Ja, und die Polizei weiß das auch, beziehungsweise sie kann es leicht herausfinden. Denn bei keiner Version von der "Low Orbit Ion Cannon", da lässt sich die IP-Adresse verbergen.
Kloiber: Wie können sich eigentlich Website-Betreiber gegen diese dDoS-Attacken schützen?
Killer: Die müssen gegebenenfalls ihre Server entsprechend konfigurieren, also so dass Verbindungen zu verdächtigen IP-Adressen überhaupt nicht angenommen werden oder nur eine bestimmte Anzahl von Anfragen einer IP-Adresse innerhalb eines Zeitfensters. Das ist eine Konfigurationsfrage von Server, Router und Firewall. Auf jeden Fall aber braucht ein Unternehmen einen guten Internet-Service-Provider.
Kloiber: Aha, warum das?
Killer: Naja, der Internet-Zugang ist ein Flaschenhals. Und wenn ein Angreifer über so viel Rechenleistung verfügt, dass er den verstopfen kann, dann nützt es nichts, nach dem Flaschenhals Datenpakete ausfiltern zu wollen. Da muss dann schon – zuvor – der Internet-Service-Provider tun.
Kloiber: Herr Killer, sind eigentlich diese DoS-Angriffe Ihrer Ansicht nach so eine Art Vorstufe zu einem Cyberwar?
Killer: Also eher nicht. Das klingt zwar alles recht militärisch, so mit Angriff und so und Nuke - also Atombombe – heißt eine spezielle Angriffsart. Aber praktisch werden da ja bloß ein paar Stunden oder wenn’s hoch kommt ein paar Tage lang Websites blockiert. Und dann ist wieder alles vorbei. Was in einem Cyberwar passiert, das stelle ich mir eher so vor wie das, was Stuxnet gemacht hat, also wenn ein Schädling Steuerungsanlagen manipuliert und dadurch physisch Schäden anrichtet.
Zum Themenportal "Risiko Internet"