Der Blog des Computer-Journalisten Brian Krebs war Ziel eines der größten Angriffe aller Zeiten im Internet. Krebs’ Blog hat tausende Leser und er selbst nicht nur Freunde. Das liegt daran, dass er gerne im Darknet recherchiert und seine Erkenntnisse ebenso gerne mit der Polizei teilt. Der unabhängige Journalist hat schon so manchen Drogendealer in den Knast gebracht und letztens auch zwei junge Israelis, die nach eigenen Angaben eine Firma betrieben, mit der man die Robustheit (s)eines Internetauftritts testen kann. Krebs wies ihnen nach, dass sie in Wirklichkeit für die meisten dDOS-Angriffe der jüngeren Geschichte verantwortlich sind. dDOS-Attacken sind Angriffe, bei denen meist tausende durch Viren gekaperte Rechner unsinnige Anfrage an den Server des Opfers stellen – und ihn damit komplett lahmlegen.
Selbst Akamai gibt auf
Der Blog von Brian Krebs wird – kostenlos – von der Firma Akamai gegen derartige dDOS Attacken geschützt. Akamai ist einer der größten und besten Schutzschilde gegen dDOS auf der Welt. Sympathisanten der festgenommenen Israelis haben jetzt aber zum Angriff auf Krebs Blog geblasen. Und zwar mit einer derartigen Wucht, dass sogar Akamai die weiße Fahne hissen musste. Krebs Webseite war offline – bis Google freiwillig und kostenlos den Schutz der Seite übernahm.
Der Angriff ist deswegen so beängstigend, weil die Angreifer Akamai an seine Grenzen brachten, selbst aber noch viel Luft nach oben zu haben scheinen. Wie ein Formel-Eins-Wagen in der 30er-Zone. Normalerweise kommen dDOS-Angriffe von tausenden Computern, die ihre Anfragen trickreich durch sog. Reflection verstärken. Der Angriff auf Krebs wurde einfach von viel mehr Geräten als üblich durchgeführt. Diese – und das ist das außergewöhnliche – waren nicht nur PCs, sondern Geräte des Internet-der-Dinge.
Das Internet der Dinge greift an
Das wiederum sind online erreichbare Überwachungskameras, Kühlschränke, Fernseher, Fahrkartenautomaten oder Spielzeuge. Es waren mehr als eine Million Geräte, so viele, dass sie sich nicht einmal des Reflections bedienen mussten und trotzdem mit 620 Gigabit pro Sekunde doppelt so viel Traffic auf den Server von Brian Krebs erzeugten, wie beim bisher stärksten dDOS-Angriff. (Nachtrag: wenige Tage später war eine französische Firma Opfer einer dDOS Attacke mit 1,1 Terabit, als 2x soviel Traffic wie bei Krebs)
Diese unendlich vielen Geräte des Internet-der-Dinge werden – und das predige ich seit Jahren – zu einem massiven Problem. Jetzt ist es erstmals passiert. Viel zu viele Hersteller, insbesondere bei Billigware, machen keine IT-Sicherheitstest und stellen schon gar keine Updates bereit. Das muss sich ändern. Wir müssen uns aber dann darauf einstellen, dutzende Geräte bei uns im Haushalt regelmäßig mit diesen Updates zu versorgen. Denn wer will schon, dass sein Mixer bei einer virtuellen Attacke auf einen unabhängigen Journalisten mitmixt. Ich jedenfalls nicht.
Bildnachweis: (c) Yannick Schrödel
tolle Vorstellung: ich werde zum Sysadmin, weil ich ständig aktualisierte Firmware in meine Abilight-Bulbs mit WLan-Steuerung einspielen muss. Wir werden zum 7×24 Sklaven unseres Besitzes ;). Die Geister, die ich rief, ….
Die Liste der Geräte, die meine FW blocken muss, damit diese nicht nach Hause telefonieren wird immer länger …
Ich warte auf den Tag, an dem ich am Display meiner Toilette zweimal bestägigen muss, dass ich wirklich muss und sich erst nach einem Werbevideo für plätscherndes gesundes Wasser der Deckel dann auch wirklich öffnen läßt – so lange zumindest eine Internetverbindung besteht :-)
ich musste spontan an diesen Handtuchspender am Frankfurter Flughafen denken:
http://ich-glaube-es-hackt.de/guckst-du/
Den gibt es übrigens immer noch, hab erst letzte Woche nachgeschaut – da war er allerdings „under maintenance“.
Ich vermag es mir nicht vorzustellen, dass die Hersteller die Software meiner Waschmaschine, Kühlschrank und anderen Haushaltsgeräten kostenfrei für 10 oder 15 Jahre auf dem aktuellen Stand halten und Sicherheitslücken patchen. Das Problem scheint mit zu sein, dass die Schäden aus veralteter Software für die Hersteller im Internet-of things derzeit praktisch keine straf- oder zivilrechtlichen Konsequenzen haben. Die Hersteller haben daher kein Interesse an Softwarepflege, sondern nur am Verkauf von neuen Geräten.