DDOS und was wir dagegen tun

Liebe Leser, aktuell kommt es immer mal wieder zu Störungen beim Betrieb von Psiram. Ursache sind DDOS-Angriffe. Was ist das, was tun wir und was könnt Ihr tun?

1. Bei einem DDOS-Angriff kommen extrem viele Anfragen auf einmal zu uns. Diese stammen von einer Unzahl von Computern, die von dem Angreifer kontrolliert werden. Ein Computer kann in diesem Zusammenhang alles mögliche sein – nicht nur ein PC, sondern ein Handy, eine Webcam, ein Drucker, ein DSL-Modem – alles, was mit dem Internet verbunden ist. Der Angreifer betreibt einen oder mehrere Server mit einer (von ihm entwickelten oder gekauften) Software, die diese Sklaven-Computer kontrolliert: Die Angriffe an- und abschaltet, auf Ziele ausrichtet etc. Das ganze System nennt man ein Botnet. Das Botnetz Mirai hatte zu seinen besten Zeiten schätzungsweise 3 Millionen Sklaven.

2. DDOS-Angriffe werden von Kriminellen gegen Bezahlung durchgeführt. Im Darknet gibt es Dienstleister, die „Lasttests“ anbieten. Vorgeblich wird so die Leistungsfähigkeit der Server-Infrastruktur des Käufers getestet. Da der Anbieter aber nicht prüft, ob die getesteten Systeme dem Käufer gehören, kann der Kunde jede beliebigen Website „testen“ lassen. Und wenn der Test die „getesteten“ Website eben ein paar Tage aus dem Netz fegt…

Dass es sich hierbei um Kriminelle handelt, ist nicht unsere Privatmeinung. Die Bereitstellung (als Provider) von Hardware-Infrastruktur, das Angebot solcher Dienstleistungen und die Nutzung solcher Dienste sind Straftaten, die in der Vergangenheit zu Haftstrafen geführt haben – auch in Deutschland. Der Hauptangeklagte wurde zu 5 Jahren und 9 Monaten verurteilt (dabei wurde ihm Beihilfe gar nicht nachgewiesen).

Gegen die Nutzer seiner Infrastruktur laufen über 200 getrennte Verfahren –  alleine in Deutschland. Unmittelbar nach der Razzia gab es 150 Festnahmen weltweit. Die Betreiber von Mirai waren nicht vorbestraft, sehr jung und geständig. Sie kamen dadurch knapp um Knast herum (Link2). Bei 8,6 Millionen Dollar Strafe ist aber vom Lohn der Angst nicht viel übrig. Dazu Vorstrafe, Anwaltskosten etc.

3. Was tun wir? Nichts.
Mirai z.B. wurde von Betreibern eines Minecraft-Servers entwickelt, um lästige Konkurrenz zu stören. Kurze, wiederkehrende Ausfälle genügten, um die zahlenden User von der Konkurrenz zurück in die eigenen Arme zu treiben. Wir dagegen verkaufen nichts. Wir haben durch den Betrieb von Psiram keine Einnahmen. Der Angreifer müsste sein Botnetz permanent, für Tage und Wochen, auf Psiram lenken, um z.B. das Erscheinen für ihn ungünstiger Einträge bei Google zu unterdrücken. Das kostet ihn sehr viel Geld und stellt ein hohes Risiko dar, später einmal zur Rechenschaft gezogen zu werden. Uns kostet es nur ein wenig Geduld.

4. Was könnt ihr tun?
Kauft keine Billighardware. Mirai konnte so viele Sklaven finden, weil diese kaum gesichert war: Typischerweise hatten die Geräte im Auslieferungszustand alle das gleiche Passwort. Viele Käufer belassen es dabei. Wenn man es also kennt, kann man das einfach ausprobieren – und wird oft genug fündig. Normalerweise funktionieren diese Geräte scheinbar normal weiter; der Eigentümer soll nicht mitkriegen, was passiert. Wenn ihr solche Hardware habt, setzt sie zurück und ändert das Passwort.

Haltet eure Geräte aktuell. Ja, Updates nerven uns alle, sind aber leider nötig. Nicht nur, weil die Hersteller Fehler machen, sondern auch, weil Angreifer neue Waffen entwickeln, gegen die neue Gegenmaßnahmen nötig werden.

Belest euch, z.B. bei Brian Krebs (wenn ihr Englisch könnt). Brian ist Journalist, kein ITler, sein Englisch ist daher oft besser zu verstehen als das deutsche Tech-Gebabbel in IT-Blogs.

Schreibe einen Kommentar

css.php