re:publica 2018 – Christoph Boecken: The Internet of shitty Things goes POP
Aggressive Netzwerkprotokolle, die immer noch von nahezu jedem mit dem Internet verbundenen Gerät verwendet werden, werden von Hackern für DDoS-Angriffe (Distributed Denial-of-Service) missbraucht.
Der Sicherheitsanbieter Prolexic hat festgestellt, dass Angreifer zunehmend die Protokolle für das, was es als "verteilte Reflektions-Denial-of-Service-Attacken" (DrDos) bezeichnet, wobei ein Gerät dazu verleitet wird, ein hohes Datenaufkommen an das Netzwerk eines Opfers zu senden.
"DrDos-Protokoll-Reflektionsangriffe sind aufgrund der inhärenten Design der ursprünglichen Architektur ", schrieb Prolexic in einem White Paper. "Als diese Protokolle entwickelt wurden, stand die Funktionalität im Vordergrund, nicht die Sicherheit."
[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]Regierungsorganisationen, Banken und Unternehmen werden von DDoS-Angriffen für eine Vielzahl angegriffen von Gründen. Hacker nutzen DDoS-Attacken manchmal, um von anderen Unfugs abzulenken oder um eine Organisation aus politischen oder philosophischen Gründen zu stören.
Eines der zielgerichteten Protokolle, bekannt als Network Time Protocol (NTP), wird in allen gängigen Betriebssystemen verwendet, Netzwerkinfrastruktur und eingebettete Geräte, schrieb Prolexic. Es wird verwendet, um Uhren zwischen Computern und Servern zu synchronisieren.
Ein Hacker kann bei Angriffen auf NTP starten, indem er viele Anfragen nach Updates sendet. Durch das Spoofen der Herkunft der Anfragen können die NTP-Antworten an einen Opfer-Host gerichtet werden.
Es scheint, dass die Angreifer eine Überwachungsfunktion im Protokoll NTP-Modus 7 (Monlist) missbrauchen. Die Spieleindustrie wurde von dieser Angriffsform angegriffen, sagte Prolexic.
Andere Netzwerkgeräte wie Drucker, Router, IP-Videokameras und eine Vielzahl anderer mit dem Internet verbundener Geräte verwenden ein Protokoll der Anwendungsebene namens Simple Network Management Protocol (SNMP).
SNMP kommuniziert Daten über Gerätekomponenten, die Prolexic geschrieben hat, wie zB Messungen oder Sensorablesungen. SNMP-Geräte geben dreimal so viele Daten zurück, als wenn sie gepingt werden, was sie zu einer effektiven Angriffsmethode macht. Wiederum sendet ein Angreifer eine gefälschte IP-Anfrage an einen SNMP-Host und leitet die Antwort an ein Opfer weiter.
Prolex hat geschrieben, dass es zahlreiche Möglichkeiten gibt, einen Angriff zu mildern. Der beste Rat ist, SNMP zu deaktivieren, wenn es nicht benötigt wird.
Das US Computer Emergency Readiness Team warnte 1996 Administratoren vor einem möglichen Angriffsszenario mit einem anderen Protokoll, Character Generator Protocol oder CHARGEN.
Es wird als verwendet Debugging-Tool, da es unabhängig von der Eingabe Daten zurücksendet. Aber Prolexic schrieb, dass es "Angreifern ermöglichen könnte, bösartige Netzwerk-Nutzlasten zu erstellen und sie zu reflektieren, indem sie die Übertragungsquelle manipulieren, um sie effektiv auf ein Ziel zu richten. Dies kann zu Verkehrsschleifen und Dienstverschlechterungen bei großem Netzwerkverkehr führen. "
CERT wurde zu diesem Zeitpunkt empfohlen, um alle UDP-Dienste (User Datagram Protocol) wie CHARGEN zu deaktivieren, wenn sie nicht benötigt werden.
Georgiens Website des Präsidenten fällt unter DDOS-Angriff
Die Website des Präsidenten von Georgia wurde durch einen verteilten Denial-of-Service-Angriff offline geschaltet am Wochenende.
Zwei Europäer wegen DDOS-Attacken in USA angeklagt
Laut DOJ sind zwei europäische Männer wegen angeblicher Cyberangriffe auf zwei Websites angeklagt worden
Aktualisiert MyDoom verantwortlich für DDOS-Angriffe, sagt AhnLab
Eine aktualisierte Version des MyDoom-Virus ist verantwortlich für eine große Denial-of-Service-Angriff auf US-amerikanische und koreanische Websites, sagte Computer-Sicherheitsfirma AhnLab.