Sicherheitshinweis, Woche 19, 2006

        

    
Security Information

Einführung - ein kurzer Überblick über die letzten Ereignisse bei Norman

Kurz nach Ostern war einer der Computer von Norman das Ziel eines verteilten Denial-of-Service-(DDOS-)Angriffs (1).

Der betroffene Computer war das Norman Sandbox Information Center - der Webserver, auf dem Statistiken über Malware liegen, die zur automatischen Sandbox-Analyse usw. an Norman geschickt wurde.

Aus der Sicht des Angreifers war der Angriff erfolgreich, da das Norman Sandbox Information Center aufgrund der durch den Angriff ausgelösten großen Auslastung abgeschaltet werden musste.

Das Norman Sandbox Information Center wurde über einen so genannten SYN-Angriff (2). von vielen Computern attackiert. Bei Untersuchungen stellte sich heraus, dass die Computer zu einem BOTNET (3)gehörten.

Norman wandte sich an den Internetdienstanbieter  (Ventelo Comnet) - link Link führt zu einer norwegischen Website), der den Zugriff auf das Sandbox Center auf Perimeterebene stoppte. Norman wandte sich außerdem an die norwegische nationale Sicherheitsbehörde (Nasjonal sikkerhetsmyndighet - Link führt zu einer norwegischen Website) und kontaktierte informell verschiedene Sicherheitsbeauftragte in der ganzen Welt. Alle reagierten äußerst positiv und waren hoch motiviert, den Angriff zu stoppen. So wurden wertvolle Informationen aus verschiedenen Quellen zusammengetragen.

Kurz darauf wurde das angreifende Botnet aufgelöst.

Außerdem erstattete Norman bei der norwegischen Polizei Anzeige, der Fall wird gerade untersucht. Das Ergebnis dieser Untersuchung - die ziemlich sicher auch andere Länder umfassen wird - war zum Zeitpunkt, als dieser Sicherheitshinweis verfasst wurde, noch nicht bekannt.

Das richtige Verhalten in solch einer Situation

Wenn ein Unternehmen so attackiert wird, dass es aus bestimmten Gründen seine Dienste nicht zufrieden stellend anbieten kann, entstehen Bedürfnisse, die unter Umständen miteinander in Konflikt stehen:

  1. Das empfundene Bedürfnis, den Vorfall so gut wie möglich unter Verschluss zu halten, um sich bei den Kunden keinen schlechten Ruf einzuhandeln und die Aufmerksamkeit der Medien wegen mangelnder Sicherheit nicht auf sich zu ziehen.
    Dies ist für einige Zeit (zumindest teilweise) möglich, indem der Grund für die Nichtverfügbarkeit mit Wartungsmeldungen usw. verschleiert wird.
  2. Das Bedürfnis, die Angreifer aufspüren und verfolgen zu können
    Es ist natürlich schwierig, eine Straftat zu melden, wenn der Tatbestand als solcher geleugnet wird.
  3. Das Bedürfnis, mit gutem Beispiel voranzugehen, indem der Vorfall NICHT verschleiert wird
    Jedes Unternehmen in der Sicherheitsbranche sollte anderen mit gutem Beispiel vorangehen, indem es den Vorfall NICHT herunterspielt - auch wenn es verständlicherweise lieber nach Punkt 1 vorgehen möchte.

Die Reaktion von Norman auf den Angriff

Norman entschied sich für den offenen Umgang mit der Tatsache, dass das Unternehmen das Opfer eines DDoS-Angriffs wurde. Sobald die Art des Angriffs ermittelt war, wurden Informationen dazu auf der Norman-Website veröffentlicht (wenn versucht wurde, auf das Sandbox Center zuzugreifen).

Sandbox center unavailable

Diese strategische Entscheidung wurde bewusst von Norman getroffen. Es wurde als wichtig betrachtet, offen über die Geschehnisse zu reden und so andere Unternehmen und Personen zu einem ähnlichen Verhalten zu ermuntern. Norman hält diese Vorgehensweise für die einzig richtige Art, Personen und Unternehmen aufzuhalten, die Angriffe gegen andere initiieren oder dabei mitmachen.

Schließlich ist einigen der größten Unternehmen weltweit dasselbe passiert. Wenn jemand mit böswilligen Absichten bereit ist, genügend Zeit und Ressourcen in solch einen Angriff zu investieren, ist die Verteidigung dagegen von vornherein fast unmöglich.

In einem solchen Fall ist es jedoch am wichtigsten, Protokolle aufzutreiben, anhand derer die Ursache und der Ausgangsort des Angriffs bestimmt werden können. Das ist entscheidend, um den Angriff vorübergehend zu stoppen, die angreifenden Computer zu finden und anzuhalten, den Angriff permanent zu unterbinden und schließlich rechtliche Schritte gegen die verantwortlichen Personen oder Unternehmen einleiten zu können.

Weshalb das Norman Sandbox Information Center?

Wir können nur darüber spekulieren, warum gerade das Norman Sandbox Information Center das Ziel eines solchen Angriffs wurde.

Es ist jedoch eine Tatsache, dass das Sandbox Information Center ein von Sicherheitsunternehmen und -beauftragten weltweit genutztes Tool ist, um schädliche Programme und deren Verhalten automatisch zu analysieren. Daher liegt der Verdacht nahe, dass einer der Hersteller von Malware verärgert war und aus diesem Grund den Angriff durchführte.

Dasselbe Verhalten kann bei Straftaten außerhalb der virtuellen Welt beobachtet werden, wenn Täter versuchen, vor der eigentlichen Straftat die schützenden Geräte außer Kraft zu setzen.

Vermutlich gehören Sicherheitsressourcen im Internet zu den Zielen der meisten ernsthaften Angriffe, also Angriffe von professionelleren Unternehmen als von so genannten „Script Kiddies“ - z. B. Unternehmen, die das Internet nutzen, um durch verschiedene illegale und halblegale Aktivitäten große Geldsummen zu verdienen.

Da die Malwaresituation immer komplexer wird und hinter immer mehr Angriffen organisiertes Verbrechen steckt, wird diese Tendenz wahrscheinlich zunehmen.

Eine kurze Erläuterung einiger in diesem Sicherheitshinweis verwendeten Begriffe

(1) Verteilter Denial-of-Service-(DDoS-)Angriff
Ein Angriff, bei dem mehrere - möglicherweise Millionen - Computer an einem simultanen Angriff gegen einen anderen Computer oder ein anderes Netzwerk beteiligt sind. Das Ziel des Angriffs ist, den attackierten Computer bzw. das Netzwerk daran zu hindern, die normalen Dienste durchzuführen.

(2) SYN-Angriff
Ein Angriff, bei dem ein Computer mit manipulierter IP-Adresse eine Synchronisierungs-(SYN)-Anforderung an einen anderen Computer (Server) sendet. Der Server antwortet, indem er eine Anerkennung (SYN-ACK) sendet und auf die entsprechende ACK vom initiierenden Computer wartet. Die IP-ACK dieses Computers kommt jedoch nie (z. B., weil die ursprüngliche IP-Adresse manipuliert wurde).

(3) BOTNET
Computer in einem von einem oder mehreren „Bots“ (Robots) gesteuerten Netzwerk. Von den Computern in einem Botnet ist üblicherweise nicht bekannt, dass sie Teil eines Botnets sind, da sie auf irgendeine Art manipuliert wurden. Solch ein ungeschützter Computer kann im Prinzip zu allen Aufgaben verwendet werden, z. B. zum Senden von Spam und/oder für Angriffe auf andere Computer.

Die Person, die das Botnet steuert, verwendet oft Internet Relay Chat (IRC)-Server, um die Computer (auch bekannt als „Zombies“) zu steuern. Es ist nicht unüblich, dass dieser IRC-Server ein weiterer ungeschützter Computer ist. Da in der Kette viele unterschiedliche Schleifen (Loops) enthalten sein können, ist es normalerweise nicht einfach, die Personen hinter dem Botnet zu finden.