Angriff aus der Wolke

Der "WPA-Cracker", ein Cloud-Computing-basierter Dienst zum Auffinden von WLAN-Passwörtern, gibt die Richtung vor: Gute wie böse Hacker nutzen verstärkt verteilte Infrastrukturen.

Sie wollen testen, wie gut der Zugangsschutz zu Ihrem drahtlosen Netzwerk (oder dem Ihres Nachbarn) ist? Für 34 Dollar kann das jeder seit letzter Woche ausprobieren: Mit einem neuen Dienst, der das Knacken von WLAN-Passwörtern in die "Cloud", sprich: auf kostengünstige Serverparks im Internet, verlagert. Eigentlich wendet sich der Dienst namens "WPA-Cracker" vor allem an professionelle IT-Security-Experten, die so genannte Penetrationstests durchführen wollen, um die Sicherheit der Netze ihrer Kunden zu testen. Nutzen darf ihn aber jeder, vorausgesetzt, er oder sie besitzt eine Kreditkarte.

Das Angebot, einer der ersten Hacking-Dienste, der auf Cloud-Computing-Innfrastrukturen aufsetzt, nutzt minutenweise gemietete Rechenkapazität, um einen Datenschnipsel aus dem zu knackenden Drahtlosnetz auf schwache Passwörter abzuklopfen. Dabei wird eine WLAN-Kennung nach dem aktuell gebräuchlichen WPA-Standard (Wi-Fi Protected Access) auf 135 Millionen verschiedene Möglichkeiten durchprobiert. Das vom bekannten Hacker Moxie Marlinspike gestartete Projekt ist deshalb interessant, weil beispielsweise ein ausgesperrter Kunde sehr viel Zeit sparen kann, um sein Passwort wiederzufinden. Wofür ein einzelner Rechner fünf Tage benötigt, reichen dem WPA-Cracker mit seinen 400 virtuellen Maschinen und Techniken aus dem High-Performance-Computing-Bereich schlappe 20 Minuten.

"Sicherheit bewegt sich in die Cloud – entsprechend werden sich auch Angriffe dorthin verlagern", sagt Marlinspike. Das Knacken von Passwörtern sei da nur das Problem, das am naheliegendsten sei: "Normalerweise verhindern es die Kosten, dass eine Einzelperson solche CPU-intensiven Aufgaben durchführt. In der Wolke ist das aber viel billiger."

Im Kern bieten Cloud-Computig-Dienste mächtige Infrastrukturen durch das Internet an, die sich sehr leicht an die Bedürfnisse der Kunden anpassen lassen. Online-Riesen wie Amazon, Google oder Microsoft spielen auf dem Markt mit. Wer möchte, kann seine Einzelanwendung auf einem riesigen Rechnerpark laufen lassen. Leistung lässt sich so deutlich effizienter abrufen – ganz nach Bedarf.

Sicherheitsexperten zufolge interessieren sich auch Cyber-Kriminelle längst für die Kostenvorteile und technischen Möglichkeiten dieser Services. "Wir haben bereits Angriffe gesehen, die aus Internet-Adress-Bereichen kamen, die Cloud-basierten Diensten gehörten", sagt Tom Cross, Forschungsmanager beim "X-Force"-Sicherheitsteam des IT-Konzerns IBM. Welche Anbieter das waren, wollte er allerdings nicht sagen.

Es gab jedoch schon zuvor bekannte Beispiele für den Missbrauch großer Cloud-Dienste. Eines davon stammt aus dem Jahr 2008: Damals nutzte ein Spammer den Amazon-Service Elastic Compute Cloud (EC2), um eine gigantische Porno-Müllmail-Lawine loszutreten. Vergangenen Monat meldete der Netzwerksicherheitsspezialist Arbor Networks dann, dass eine Cloud-Anwendung, die auf Googles AppEngine-Plattform vorgehalten wurde, ein kleines Botnetz aus Zombie-PCs kontrollierte, gehackten Maschinen, die sich jederzeit für Angriffe und Spam nutzen lassen. Das Programm wurde zwar schnell abgeschaltet und Google zufolge war die Software wohl nicht aus konkreten kriminellen Absichten vorgehalten worden. Doch selbst wenn das stimmt – das Beispiel zeigt, dass böswillige Programmierer ihren Code durchaus in der Cloud laufen können, ohne groß aufzufallen, wie Arbor Networks-Sicherheitschef Danny MacPherson sagt. "Je mehr Menschen die Cloud-Infrastruktur nutzen, desto mehr Missbrauch wird es auch geben, da bin ich mir sicher. Ich würde jedem raten, Sicherheit nicht mehr wie eine Art Pflaster zu sehen, das man nachträglich aufpappen kann."

Eigentlich ist die Nutzung verteilter Ressourcen für Online-Gauner sowieso nichts Neues: Sie bauten sich schon früher quasi ihre eigene Cloud auf, indem sie zahllose Rechner einfacherer Nutzer unter ihre Kontrolle brachten und sie dann zentral kontrollierten. Diese Botnetze lassen sich dann für die verschiedensten Aufgaben nutzen – vom Spam-Versand über das Verteilen von Viren bis hin zu zentral gesteuerten Denial-of-Service-Angriffen, die selbst große Server ins Schwitzen bringen. Es gibt sogar "Unternehmer" in der Cyber-Kriminellen-Szene, die einen Markt für solche Botnetze aufgebaut haben, über den sich eine beliebige Anzahl von Opfer-Rechnern gegen Bezahlung "mieten" lässt.

Cloud-Dienste, deren Netzwerkaktivität nicht genau genug kontrolliert wird, könnten bald ähnlich missbraucht werden. "Wenn man ein Botnet aufbaut, versucht man, eine große Anzahl von Rechnern für einen bestimmten Zweck zu missbrauchen. Wer eine Kreditkarte besitzt, kann ähnliches nun bei einem Cloud-Anbieter bestellen", sagt IBM-Sicherheitsmann Cross.

Lücken in Cloud-Diensten tauchen inzwischen regelmäßig auf. Im vergangenen Sommer zeigte die IT-Security-Firma SensePost eine Anzahl verschiedener Techniken, mit der sich die Services großer Anbieter missbrauchen lassen. So konnten die Sicherheitsforscher mit einem Trick das Limit von 20 Rechnern, das Amazon derzeit pro Kunde vorsieht, umgehen und deutlich mehr Maschinen unter ihre Kontrolle bringen. Angreifer konnten außerdem leicht virtuelle Rechner erstellen, die Rootkits oder anderen Schadcode enthielten, so SensePost. Würden diese dann von einem anderen Amazon-Kunden als Vorlage verwendet, was grundsätzlich vorgesehen sei, könnte die Infrastruktur auf fremde Kosten missbraucht werden.

"Die Cloud wird professionellen Kriminellen jede Menge Rechenleistung auf Abruf bieten – mit zahlreichen "interessanten" Anwendungen", warnt Haroon Meer, Forschungsdirektor bei SensePost. "Dass das einige Sicherheitsmodelle durcheinander bringen wird, ist noch das kleinste." (bsc)