Geld oder Netz!

Es sieht ganz so aus, als habe das organisierte Verbrechen ein neues Geschäftsfeld entdeckt. Pünktlich zum EM-Start erhielten Online-Wettbüros Forderungen nach dem Motto: „Zahlt oder wir machen den Laden dicht“.

34

28.06.2004, 00:00 Uhr

Lesezeit: 6 Min.

c't Magazin

Von

Patrick Brauch

Hi! Wir werden bald einen Angriff gegen Eure Seite starten. Unser Team braucht Geld. Eure Webseite bringt hohe Einnahmen. Wir wollen, dass Ihr uns bezahlt. Wir denken, dass 15 000 US-Dollar ein angemessener Betrag für Euch wäre. Wenn Ihr nicht bezahlt, werden wir Eure Webseite für eine lange Zeit angreifen. Wir wollen niemandem etwas Böses tun, es ist nur unsere Arbeit. Viel Glück!“

Dieser Text traf vor drei Wochen als anonyme E-Mail beim Online-Wettbüro mybet.com ein. Dort hat man das zunächst als schlechten Scherz aufgefasst, zumal die E-Mail in ziemlich holprigem Englisch verfasst war. Doch als um 19.30 Uhr die Internet-Präsenz des Wettbüros mit einem gezielten Distributed-Denial-of-Service-Angriff lahm gelegt wurde, lachte niemand mehr. Der Angriff dauerte 16 Stunden an, die Internet-Präsenz war für den kompletten Zeitraum von außen nicht zu erreichen.

Die Erpresser haben sich einen günstigen Zeitpunkt für ihre Aktion ausgesucht. Vor und während der Fußball-Europameisterschaft herrscht Hochbetrieb in den Wettbüros. Der Ausfall der Server bedeutet Umsatzausfälle, die 15 000 Dollar schnell als das kleinere Übel erscheinen lassen. Und nicht nur mybet.com war von der Erpressung betroffen: Unsere Recherche ergab, dass mindestens zwei große britische Wettbüros wortgleiche Mails erhalten haben.

Ganz neu ist diese Masche allerdings nicht: In den USA gab es Anfang des Jahres zum Superbowl bereits eine ähnliche Erpressungswelle. Pünktlich zur Fußball-EM ist sie offensichtlich über den großen Teich geschwappt.

Der gegen mybet.com gerichtete Angriff bestand aus UDP- und SYN-Paketen, die insgesamt eine Netzlast von 1 GBit/s verursachten. Offenbar wurde der Angriff mit Hilfe eines Botnets realisiert; tausende mit Trojanischen Pferden infizierter Windows-Rechner schicken dabei die Pakete an die gleiche Zieladresse. Von der reinen Netzlast abgesehen entsteht dabei noch ein anderes Problem: SYN-Pakete blockieren bestimmte Netzwerkfunktionen auf den Servern, sodass diese keine Verbindungen mehr annehmen können. Und anders als UDP-Pakete lassen sie sich nicht ohne weiteres aus dem Datenstrom ausfiltern, da sie auch bei normalen Verbindungen zu Webservern auftreten.

SYN-Pakete - Synchronisierungsanfragen eines Clients - sind Teil des TCP-Handshake, der für jede Verbindung zu einem (Web-) Server durchgeführt werden muss. Bei einem eintreffenden SYN-Paket registriert der Server den Synchronisierungswunsch des Clients, legt einen Eintrag in seinen Tabellen (Backlog-Queue) dafür an und bestätigt die Anfrage mit einem eigenen Synchronisierungspaket (SYN/ACK). Bei einem normalen Verbindungsaufbau bestätigt der Client dieses ebenfalls mit einem ACK-Paket und komplettiert damit den so genannten Drei-Weg-Handshake einer TCP-Verbindung.

Bei einer SYN-Flood antwortet der Client aber nicht mehr und lässt den Server mit seiner halboffenen Verbindung einfach hängen. Bis der Server einen einmal angelegten Eintrag in der Backlog-Queue wieder löscht, weil er keine Antwort bekommt, können mehrere Minuten vergehen. Nach einem ersten Timeout, typischerweise nach drei Sekunden, nimmt der Server an, sein SYN/ACK-Paket sei verloren gegangen und schickt es erneut auf die Reise. Dieser Vorgang wiederholt sich mit immer längeren Timeouts mehrfach (Retransmissions). Der Angreifer hat also mehr als genug Zeit, diese mit seinen Einträgen zu füllen.

Verteidigung

Bei mybet.com konnte man sich zunächst gegen den Angriff nicht verteidigen. Zwar gibt es Methoden, Server gegen SYN-Flut-Angriffe zu härten, indem man etwa die Backlog-Queue vergrößert und die Anzahl der Retransmissions heruntersetzt [1|#literatur] . Doch ab einer gewissen Bandbreite des Angriffs hilft auch das nicht mehr.

Trotzdem war man bei mybet.com nicht gewillt, sich den Erpressern zu fügen. Stattdessen suchte man Hilfe bei einem externen Dienstleister. Das Unternehmen Digidefense hat sich seit der letzten Erpresserwelle zum Superbowl auf die Verteidigung gegen DDoS-Attacken spezialisiert.

Digidefense routet jetzt allen für mybet.com bestimmten Traffic über ihr eigenes Netz (wie auch für andere Online-Wettbörsen) und fängt die unerwünschten SYN-Pakete ab. Nach Aussage von mybet.com funktioniert das bislang reibungslos: Angriffe würden zwar immer noch stattfinden, aber es beeinträchtigt den Internet-Auftritt des Unternehmens nicht mehr, die Seiten sind wieder erreichbar.

Allerdings gibt es auch hier Grenzen: Ein Angriff mit einer Bandbreite von 1 Gigabit/s ist nicht sonderlich viel, ein Botnet mit rund 5000 Drohnen würde dafür schon ausreichen. Mittlerweise existieren aber Botnets mit zehn- oder gar hundertausenden von Drohnen, die mit einem Distributed-Denial-of-Service-Angriff problemlos eine Netzlast im Terabit-Bereich verursachen können. Dann würde auch das geschickteste Routing und Load-Balancing kaum noch helfen.

Natürlich haben auch ermittelnde Behörden die Erpresser im Visier. Um die Verantwortlichen dingfest zu machen, bedarf es jedoch einer internationalen Kooperation, da nicht auszuschließen ist, dass die Angreifer aus verschiedenen Ländern stammen. Gerüchten zu Folge stammen solche Erpresserversuche von rivalisierenden Gruppen, die DDoS-Angriffe wurden angeblich zu großen Teilen aus Ost-Europa und Latein-Amerika lanciert.

Eine Lösung für dieses Problem drängt, denn die Anbieter stehen mit dem Rücken zur Wand. Selbst das Eingehen auf die Erpressung hilft ihnen nichts, meistens kommt wenige Zeit später eine noch höhere Geldforderung - wie das halt bei Erpressung üblich ist.

Und nicht nur das organisierte Verbrechen hat die Möglichkeit, solche Erpressungen durchzuführen: Fälle wie Randex [2|#literatur] oder Phatbot [3|#literatur] zeigen, dass diverse Scriptkiddie-Gruppen über riesige Botnets verfügen. Dass sich damit Geld verdienen lässt, wissen sie auch, allerdings beschränkten sie sich bislang auf die Vermietung der Botnets an Spammer. (pab)