Zuerst traf es den Sicherheitsforscher und Journalisten Brian Krebs: Am 20. September wurde sein Blog mit derart vielen Anfragen überflutet, dass er kurzzeitig ganz vom Internet genommen werden musste. Der Anbieter, der normalerweise seinen Blog vor zu vielen Anfragen schützt, musste sich geschlagen geben – die «Distributed Denial-of-Servive»-Attacke war einfach zu stark.
Schwachpunkt «Internet der Dinge»
Diese Woche berichtete der französische Webhoster OVH ebenfalls von einer ungewöhnlich starken Attacke, noch stärker als die auf Brian Krebs‘ Blog. DDoS-Attacken sind im Grunde genommen nichts Aussergewöhnliches, auch dass die Intensität der Attacken ansteigt, überrascht nicht. Mittlerweile gibt es auch Unternehmen, die darauf spezialisiert sind, Internetseiten von solchen Attacken zu schützen – wie eben die von Brian Krebs.
Doch beide Attacken zeigen ein neues Muster: Ein grosser Teil der Anfragen stammte von Geräten des «Internet der Dinge», also Alltagsgeräte, die ans Internet angeschlossen sind. In diesem Fall waren es vor allem Sicherheitskameras, Festplattenrekorder und Router, von denen die Anfragen stammten.
Eine Schätzung geht davon aus, dass rund 1.2 Millionen vernetzte Kamers mit verantwortlich für die Attacke auf Krebs' Blog waren. Doch letztlich könnte jedes vernetzte Gerät Teil eines solchen Botnetzes werden: Um eine DDoS-Attacke durchzuführen, werden die Geräte mit einer Schadsoftware infiziert, so dass sie sich danach von den Angreifern fernsteuern lassen.
Vernetzte Kameras liefern Bilder für alle
Der Hauptgrund, weshalb sie so leicht infizierbar sind: Viele Hersteller von vernetzten Geräten stammen ursprünglich nicht aus Branchen, in denen IT-Sicherheitsfragen im Zentrum stehen. Diese Unerfahrenheit kann zum Stolperstein werden – oder gar zur Gefahr, wie letztes Jahr die gehackten Autos von Chrysler demonstrierten.
Die Probleme beginnen schon mit grundlegenden Mängeln: Passwörter, die sozusagen in die Geräte fix eingeschrieben sind und sich nicht ändern lassen. Geräte, die mit einem Standardpasswort ausgeliefert werden und die Käuferin nicht auffordern, es beim Erstgebrauch zu ändern. Im Fall von Überwachungskameras liefern solche Mängel schöne, auch überraschende Ansichten der Schweiz.
Botnetze für alle
Solche starken, gross angelegten DDoS-Attacken werden häufig staatlichen Akteuren zugeschrieben. Doch diese Zeiten sind passé: Heutzutage kann sich jeder und jede ein Botnetz mieten, um das Ziel der Wahl angreifen zu lassen.
Anfang 2015 tauchte der Quellcode einer Schadsoftware im Internet auf, mit der sich vernetzte Geräte infizieren lassen. Damit kann nun jede Person ein eigenes Botnetz aufziehen, um DDoS-Attacken durchzuführen. Kurz bevor der Blog von Brian Krebs attackiert wurde, publizierte er seine Recherchen zum Dienst «vDOS» in mehreren Beiträgen. Und vDOS ist eben ein solcher Dienst: Er verkauft DDoS-Attacken.