Am Freitag dem 21. Oktober 2016 führte eine Serie von Distributed Denial of Service (DDoS-Attacke) zu flächendeckenden Störungen bei Internet Services in den USA. Da sich die Attacken gegen ein Domain Name System (DNS) wandten, konnten normale Internetaktivitäten wie Online-Shopping, Social Media Accounts oder das Streamen von Musik nicht mehr betrieben werden. Die Länge der Einschränkungen variierte, doch in einigen Fällen waren bestimmte Services über Stunden nicht erreichbar.
Hier sind 10 Dinge, die wir aus der IoT-DDoS-Attacke lernen können:
- Die Angriffe am 21. Oktober wurden durch Bündelung massiven Traffics auf Server hervorgerufen. Cyber-Kriminelle nahmen das Unternehmen Dyn ins Visier, welches hauptsächlich DNS Services für andere Unternehmen bereitstellt. Einige User hatten Schwierigkeiten bestimmte Online-Dienste zu erreichen. Betroffen waren unter anderen Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast, und das Playstation Network. Neben der Unerreichbarkeit dieser Dienste wurden auch etliche Online-Transaktionen gestört.
- Die Angriffe am 21. Oktober wurden vor allem auch durch eine große Anzahl an unsicheren, mit dem Internet verbundenen, digitalen Endgeräten wie Routern und Überwachungskameras ermöglicht. Cyber-Kriminelle konnten tausende Geräte unter ihre Kontrolle bringen, die durch einen Schadcode über ein Botnet aus kompromittiert wurden. Es gibt frei verfügbare Software im Internet, die selbiges nach ungesicherten Geräten durchsucht. Selbst wenn das nicht immer leistungsfähige Computer sind, können sie doch Server mit ihrem schädlichen Traffic überschwemmen. Das klappt vor allem dann gut, wenn viele Geräte gleichzeitig auf einen Server zielen.
- Der eigentlichen DDoS-Attacke gingen Kompromittierungen voraus, welche durch das Nicht-Ändern des Standard-Passworts von z.B. Routern hervorgerufen wurden. Rein theoretisch hat an der Cyber-Attacke in den USA jeder dazu beigetragen, der ein internetfähiges Endgerät mit Werkseinstellungen betreibt. Erst neulich hat ein ESET-Forschungsbericht ergeben, dass fast jeder siebte Router nicht ausreichend gegen Angriffe von außen gesichert ist. Das betrifft mehrere hundert Millionen solcher Geräte weltweit.
- Das Ausnutzen von unsicheren Routern oder Webcams im Internet durch Schadprogramme kann im alltäglichen Leben ernsthafte Einschränkungen hervorrufen, wie wir in den USA erleben durften. Zum Beispiel gehen bei solchen Angriffen Millionen von Dollar durch nicht getätigte Umsätze verloren. Viele Unternehmen müssen nun Ressourcen umleiten, um den Einfluss der Attacke auf Kunden und Angestellte zu überprüfen und darauf reagieren zu können.
- Es gibt ein paar Menschen, die wollen und versuchen, dass das tägliche Leben und die wirtschaftliche Aktivität der USA durch Schadprogramme eingeschränkt werden. Sie kümmern sich nicht um die negativen Auswirkungen auf zehntausende Unternehmen oder hundert Millionen Konsumenten.
- Ein Konzept zur Verringerung der Wahrscheinlichkeit für zukünftige Störungen setzt vor allem bei denjenigen an, die der Überzeugung sind, dass es eine gute Idee wäre, andere Geräte für die eigenen Zwecke zu missbrauchen.
- Es gibt ein lohnenswertes Ziel: Die Reduzierung von unzureichend gesicherten Routern, Webcams oder anderen IoT-Geräten gibt Cyber-Kriminellen weniger Angriffsfläche für eine DDoS-Attacke. Davon profitieren alle. Folgende vier Schritte empfiehlt das US CERT, um einer DDoS-Attacke wie der vergangenen vorzubeugen:
- Sichergehen, dass alle Standardpasswörter umgehend durch starke ersetzt werden.
- IoT-Geräte (Router, Webcams, etc.) sollten auf den neuesten Stand gebracht werden.
- Universal Plug and Play (UPnP) sollte auf allen Routern abgeschaltet werden, insofern es nicht absolut notwendig ist.
- Wir empfehlen, IoT-Geräte von Unternehmen zu kaufen, die Wert auf Sicherheit legen.
- Schädlicher Code befällt immer häufiger auch Router, wie ein Bericht von ESET im Jahr 2015 zeigte. Der Hinweis, das Standardpasswort in Routern zu ändern, ist nicht neu und wird immer wieder gegeben. Aber auch Webcams können betroffen sein. Im Jahr 2014 veröffentlichten wir einen Artikel über 73.000 Sicherheitskameras, die öffentlich über das Internet eingesehen werden konnten.
- Die massive Anzahl an ungesicherten IoT-Geräten heben die DDoS-Attacke auf ein nie dagewesenes Level. IoT-Geräte stehen aber auch in Sachen Privatsphäre in der Kritik. Erst kürzlich ergab eine Umfrage unter Amerikanern, dass etwa 40% die Geräte für nicht sicher halten. Circa die Hälfte davon gab an, dass sie von einem Kauf aus Gründen der Informationssicherheit absehen werden.
- Was lernen wir aus einer Attacke wie der am 21.10.2016? Man könnte sagen, dass wir einmal mehr sahen, welche Möglichkeiten Cyber-Kriminelle haben, um das tägliche Leben vieler Menschen zu beeinflussen. Solche Ereignisse werfen ihre Schatten voraus und lassen die Zukunft des Internets in keinem guten Licht stehen.