Teile des Internets waren vergangene Woche unbenutzbar – Twitter, Netflix, Amazon, Paypal, alle down bzw. nur schwer erreichbar. Schuld daran war ein massiver DDoS-Angriff von IoT-Geräten auf DynDNS. Die Attacke ist überstanden, was bleibt, sind Forderungen nach mehr Ausfallsicherheit, besser DDoS Proection und mehr Sicherheit für das Internet der Dinge.
Vielleicht hat der eine oder andere Ende letzter Woche auch die Ausfälle bzw. Störungen bekannter Webdienste wie PayPal, Amazon, Netflix, Spotify oder Twitter mitbekommen. Netflix war am Donnerstag bei uns absolut nicht nutzbar. Am Freitag ging es dann wieder. Was war geschehen? Der DNS-Anbieter Dyn hatte mit schweren DDoS-Angriffen auf seine Services zu kämpfen. Mittlerweile wurde bestätigt, dass auch das Mirai-Botnet involviert war. Der Sicherheitsforscher Brian Krebs hatte dieses Botnetz, bestehend aus zahlreichen IoT-Geräten, identifiziert und dessen Macht selbst erlebt. Inzwischen funktionieren alle Dienste wieder reibungslos, allerdings stimmt mich dieser Angriff im Nachhinein nachdenklich.
Die Vorahnung von Bruce Schneier bewahrheitet sich
Bruce Schneier erklärte Ende September, dass in den letzten Jahren die Verteidigungsmechanismen von Unternehmen mit kritischen Netzinfrastrukturen abgeklopft wurden. Vielleicht auch die von DynDNS? Denn ein Dienst, der für die Namensauflösung von Domains verantwortlich ist, zählt in meinen Augen sehr wohl zu den kritischen Infrastrukturen. Bislang ungeklärt ist, wer den Angriff inszeniert hat. War es am Ende ein staatlicher Akteur oder doch eine Hackergruppe? Darüber kann man derzeit nur wilde Vermutungen anstellen. An Schneiers Aussagen habe ich zu keiner Zeit gezweifelt, allerdings hätte ich nicht so bald mit einem solchen „Ernstfall“ gerechnet.
Am Ende waren die Angriffe vielleicht nur ein Test, um die Stärke des Mirai-Botnets zu demonstrieren. Das Internet der Dinge hat ein echtes Sicherheitsproblem, welches uns nun zum Verhängnis wird. Jahrelange Fehler, die sich nun bitter böse rächen. Der chinesische Hersteller Xiongmai etwa rief nach dem Angriff seine Überwachungskameras zurück. Da helfen dann auch die Forderungen des BSI nach der Zwangsänderung aller identischen Herstellerkennwörter im erstem Moment wenig. Langfristig betrachtet ein wichtiger Schritt, genauso wie die weitere Absicherung von IoT-Geräte, um zumindest in der Zukunft den Missbrauch für solche Angriffe zu reduzieren.
Netflix & Co. sind quasi selbst schuld an den Ausfällen
Tja, Pornhub wäre das nicht passiert, wie eine Diskussion bei Hacker News zeigt. In dem Punkt können Netflix & Co. noch einiges in Sachen Ausfallsicherheit von Pornoseiten lernen. Denn Pornhub hat nicht weniger als 8 Nameserver. Dazu gesagt sei noch: Je vier Nameserver vom selben Anbieter. Falls also ein Anbieter ausfällt, haben sie noch ein Backup und es können bis zu sieben Server ausfallen und die Besucher finden immer noch den richtigen Weg. Bei Netflix schaut das schon ganz anders aus. Hier sind vier Nameserver von einem Anbieter vorhanden. Zufälligerweise sind die eingesetzten Nameserver von Amazon Web Services (AWS) und diese wiederum haben sich auf DynDNS verlassen.
Somit war der ganze Schlamassel vorprogrammiert. Störungen und Ausfälle waren demnach also unvermeidlich. Man hätte zwar schnell noch weitere Nameserver einsetzen können, allerdings hätte die vollständige Änderung bis zu 24 Stunden andauern können. Entsprechend ist das keine Kleinigkeit für Zwischendurch, sondern möchte im Vorfeld gut überlegt sein. Wenn dies der Fall gewesen wäre, dann hätte man diesen Angriff als Internetnutzer wohl weniger bis kaum gespürt.
Klare Forderung: Das Web braucht mehr Ausfallsicherheit
Der DynDNS-Angriff hat gezeigt, dass viele Seitenbetreiber und allen voran die großen Anbieter wie Amazon, Netflix, PayPal, Twitter usw. ihre Infrastrukturen besser gegen Ausfälle jeglicher Art absichern müssen. Denn so ein Vorfall wie vergangene Woche darf sich auf keinen Fall wiederholen. Es kann nicht sein, dass ein DNS-Anbieter mit Anfragen bombardiert wird und daraufhin weite bzw. relevante Teile des Internets unbenutzbar sind. Solche Anfälligkeiten dürfen die großen Webdienste keinesfalls aufweisen.
DDoS-Angriffe dieser Größenordnung werden wir in nächster Zeit noch häufiger erleben, da das Internet der Dinge sich nicht von heute auf morgen sicher machen lässt. Folglich müssen auch Dienstleister von DDoS Protection Lösungen gegen derartige Attacken besser gewappnet sein. Selbst wenn IoT-Geräte eines Tages nicht mehr an DDoS-Attacken beteiligt sind, finden Hacker mit Sicherheit neue Angriffsvektoren, gegen die man sich dann effektiv schützen muss. Auch die Intensität solcher Attacken könnte weiter steigen.
Auch interessant: DDoS-Erpressung: Wenn Angreifer deine Webseite lahmlegen (+ 5 Tipps dagegen) und Internet der Dinge: Von immer neuen Sicherheitslücken und anderen Problemen
