Jede Firma hat heute ein Augenmerk auf “Security”. Wer die letzten paar Wochen nicht gerade schlafend unter einem Stein verbracht hat weiss, dass trotz allen Security-Massnahmen immer wieder ganze Konzerne über mehrere Tage hinweg durch sogenannte DDOS-Attacken lahm gelegt wurden.
Manche werden sich gefragt haben, wie so etwas möglich ist. Andere wiederum zucken mit den Schultern, weil (nach gängiger Meinung) “gegen DDOS eh kein Kraut gewachsen ist”.
“Wie ist so etwas möglich?”
Ja, wie ist so etwas möglich? Die meisten Firmen setzen durchaus sehr effektive Mittel ein, um die Sicherheit der Daten sowie den Zugriff zu gewährleisten.
In vielen Fällen wird sehr viel Geld in Sicherheitslösungen investiert, welche allerdings nur gegen einen Teil der effektiven Bedrohung wirksam sind. Und zum Teil sind die Lösungen auch vollständig falsch eingesetzt.
Allerdings ist Security kein einmaliger Investitionsposten sondern ein fortlaufender Prozess. Das Beste Tool nützt nichts, wenn nicht fortlaufend die Abdeckung der Schwachstellen überprüft und gegebenenfalls nachgebessert wird.
Was heute gilt ist morgen bereits zu wenig oder sogar falsch.
Beispiel: Eine Verschlüsselte Übertragung alleine bringt nichts, wenn die Daten nachher unverschlüsselt auf einem Server abgelegt werden.
Beispiel 2: Bloss weil man SSL einsetzt heisst das noch lange nicht, dass die Daten wirklich sicher übertragen werden. Siehe auch SHA-1.
Kommt dazu, dass gewisse Lösungen derart mühselig in der Anwendung sind, dass die meisten Mitarbeiter früher oder später “Abkürzungen” finden.
In vielen Fällen werden Sicherheitslösungen implementiert, welche am Ende nur den Mitarbeiter kontrollieren, die eigentliche Gefährdung aber in keiner Weise adressieren.
“Gegen DDOS gibt es keine Abwehr”
Die gängige Meinung, dass gegen DDOS nichts hilft ist so nicht richtig. Sicher, eine DDOS Attacke hat einen Impact auf gewisse Server und Dienste. Die Frage ist nur: Kann man die Attacke so in Schach halten, dass sie einfach ein Versuch einer Denial-of-Service Attacke ist oder nicht?
Die grundsätzliche Frage hierbei lautet: Ist die Infrastruktur so aufgebaut dass eine DDOS Attacke auf einen Teil der Infrastruktur auch andere Unternehmensteile tangiert oder lahm legt?
In jedem Fall gilt: Jede DDOS Attacke folgt einem eigenen ökonomischen Prinzip das da lautet:
- Wie kann man mit möglichst wenig Aufwand möglichst viel herausholen?
- Wie kann man die angegriffene Person / Firma so unter Druck setzen, dass sie unter Umständen sogar bereit ist ein (nicht ganz unerwähnenswertes) Lösegeld zu bezahlen?
Im Fall einiger Onlinehändler in der Schweiz hat der Nutzen (für den Angreifer) offensichtlich den Aufwand gerechtfertigt.
Ohne zu wissen, ob am Ende effektiv Lösegeld bezahlt wurde (wir hoffen schwer, dass dies nicht der Fall war) haben es die Angreifer zudem noch geschafft, ein ganz beachtliches Echo in der Presse auszulösen. Das Thema DDOS wurde plötzlich überall aufgegriffen.
Dadurch, dass die Angriffe ziemlich gezielt auf nahmhafte Firmen erfolgten war auch das Echo ziemlich gross.
Es ist daher unserer Meinung nach nicht ganz abwegig zu behaupten, dass die Angreifer einigermassen gute Kenntnisse des lokalen Marktes haben.
Wie kann man so etwas verhindern?
Den einen Fall haben wir uns etwas genauer angesehen und festgestellt, dass die gesamte Kommunikation auf der hauseigenen Datenleitung (mutmasslich zusammen mit der gesamten Firmenkommunikaton) betrieben wurde. Dies ist insofern fatal als dass auch die Koordination zwischen den einzelnen Standorten bei einer DDOS Attacke betroffen ist. Die gesamte Firma steht somit bei einer DDOS-Attacke still. Im extremfall hat dies Auswirkungen auf die Lagerbewirtschaftung und die Shop-Systeme.
Kurz gesagt: Durch den Angriff auf den Onlineshop wurden auch die “Offlineshops” lahmgelegt. Als Angreifer würde mich eine derart unvorhergesehene Effizienzsteigerung überaus erfreut stimmen. Als IT-Chef eher weniger.
Ein grundsätzliches Problem dieses Settings ist, dass die eigene Leitung (auch wenn sie noch so redundant ausgelegt ist) hier einen Single Point of Failure darstellt.
Es ist ein Fakt, dass ein einzelner Server mit relativ geringen Mitteln lahmgelegt werden kann. Im Extremfall reichen 10 gekaperte Rechner, welche ein derart massives Verkehrsaufkommen generieren, dass ein einzelner Server bereits in die Knie geht.
Im hier vorliegenden Fall wurde die Attacke vermutlich von 2’000-10’000 sogenannten “Bots” durchgeführt.
Für die Angreifer waren die Kosten vermutlich in der Gegend von €500 bis €1’500, der Schaden für den Shop dürfte massiv höher gewesen sein.
Wie können wir helfen?
Compination GmbH hat über die letzten zehn Jahre diverse DDOS Attacken “überlebt” – und ja, auch wir haben am Anfang Lehrgeld bezahlt.
Allerdings haben wir nach der ersten Attacke begonnen, sämtliche Dienste so aufzustellen dass ein Angriff auf einen unserer Services im Prinzip nur den Ausfall des Servers – nicht aber des Dienstes zur Folge hat. Sämtliche Systeme sind indirekt durch sogenannte “Attack-Absorber” geschützt.
Diese “Attack-Absorber” können innerhalb kürzester Zeit dazugeschaltet werden.
Während normalerweise zwischen zwei und fünf Attack-Absorber in Betrieb sind können wir im Notfall bis zu 1500 solcher Attack-Absorber zuschalten.
Und hier kommt der “Effect of Scale” zum Tragen. Während es für einen Angreifer relativ einfach ist, zwei, drei oder vier Server aufs Korn zu nehmen wird die Sache bei 500 Servern bereits schwieriger. Zumal wir die Server nach Belieben zu- und wegschalten können.
Dadurch, dass wir das Spielfeld plötzlich massiv vergrössern zwingen wir den Angreifer auf seiner Seite ebenfalls viel massiveres Gerät zu mobilisieren – was für ihn allerdings auch höhere Kosten bedeutet.
Irgendwann ist der Punkt dann erreicht, an dem der Angreifer seine Segel streichen muss – einfach aus dem Grund, weil ein Weiterführen des Angriffs schlicht und einfach nicht mehr ökonomisch vertretbar ist – oder aber der Schutz der Anonymität irgendwann nicht mehr gegeben ist.
Kommt dazu, dass es für den Angreifer in vielen Fällen technisch schwierig wird, wenn er plötzlich statt zwei Server Systemen 500 Server Systeme in die Knie zwingen muss.
Gerade auch dann, wenn plötzlich “Attack Absorber” in unterschiedlichen Ländern “auftauchen”.
Effekt: Der Impact für die Kunden ist nicht da, das Ziel des Angreifers (den Shop lahm zu legen) nicht erreicht. Somit ist das Druckmittel für den Angreifer ebenfalls verschwunden.
Eigentlich ganz einfach. Allerdings in der Praxis nicht immer so einfach umsetzbar.
Fragen? Kontaktieren Sie uns. Wir helfen Ihnen gerne bei der Analyse und Implementation.