Vergangene Woche, am Freitag (21.10.2016) lief eine massive DDoS Welle durch das Internet. Manche große Dienste, von denen man bisher dachte, sie wären immun gegen DDoS funktionierten nicht oder schlecht. Ausgelöst wurde dies durch einen Angriff auf die DNS-Dienste des Unternehmens Dyn (bekannt von DynDNS, allerdings machen die auch DNS-Dienste für Unternehmen wie Netflix oder Amazon). Dyn hat 10 Millionen verschiedene IP-Adressen gesehen, die an diesem Angriff beteiligt waren (Statement von Dyn dazu).
Der Angriff war massiv und funktionierte wohl über die Ausnutzung vieler Botrechner, wobei vermutlich auch ungesicherte IP-Kameras, Router und andere Geräte einbezogen waren. Insgesamt entstand eine Angriffsgröße , die den bisher größten dokumentierten Angriff (auf den Hoster OVH, Frankreich, mit 1,1 Terabit pro Sekunde) übertraf, berichtet Heise online und beruft sich auf Angaben des Gründers von Ovh (auf Twitter: https://twitter.com/olesovhcom/status/778019962036314112) .
we got 2 huge multi DDoS: 1156Gbps then 901Gbps pic.twitter.com/NyFTr6KLCC
— Octave Klaba (@olesovhcom) September 19, 2016
Angeblich hätten diverse Firmen gleichlautende Erpressermails erhalten. Man solle 2 Bitcoins überweisen, um nicht angegriffen zu werden, später würde das 5 Bitcoins kosten und weitere 5 für jeden Tag des Angriffs. Man weiß natürlich nicht, ob das ein Trittbrettfahrer ist. Die „Welt“ vermutet einen Testlauf für eine „Cyberwaffe“.
Zur Zeit sieht es so aus als wäre man gegen solche Attacken recht machtlos. Auf der Website krebsonsecurity.com steht, dass das Muster auf die Schadsoftware „Mirai“ hindeutet, die auch in früheren Angriffen verwendet wurde und deren Sourcecode inzwischen öffentlich ist. So konnte nun jeder seine Mirai-basierte Attacksoftware herstellen. Mirai durchsucht im Internet IP-Adressen und checkt dahinterstehende Geräte auf einfache Zugangsmöglichkeit. Viele Geräte, die man dem Bereich „Internet of Things“ („IoT“) zuordnet, sind einfach nur durch ein werkseitig voreingestelltes Passwort gesichert. In diesem Blogbeitrag fällt der Name der chinesichen Firma XiongMai Technologies, die IP-Kamera und Festplattenrekorder herstellt (Produkte dieses Unternehmens sind in vielen anders benannten Produkten unter anderer Marke verbaut). Dummerweise lassen sich solche IoT-Geräte schlecht updaten und die Änderung von Zugangsdaten ist nur über Telnet oder SSH möglich, was viele Nutzer davon abhält, die werkseitig eingestellten Zugangsdaten zu ändern.
Die „Zeit“ zitiert einen Blogbeitrag von Sicherheitsforscher Bruce Schneier, der hinter den Attacken ein Land vermutet, namentlich China oder Russland. Es wird die Befürchtung geäußert, dass solche Angriffe auch die Präsidentenwahl im November stören könnten, da einige Bundesstaaten auch die Wahl über das Internet ermöglichen.
Wie auch in den Vorjahren deuten sich in der zweiten Jahreshälfe deutliche Zunahmen von Cyberangriffen an. DDoS ist eines der beliebtesten Mittel, um Konkurrenten zumindest zeitweise aus dem Netz zu kicken oder von Unternehmen, die auf Onlineverkaufsprozesse angewiesen sind,
