CERT
News

Botnets

Ordnungsmerkmale

erschienen in: <kes> 2005#1, Seite 88

Rubrik: CERT News

Zusammenfassung: Hacker und Cracker haben heute die Kontrolle über unzählige Fremdrechner. Dies ist nicht nur Zeichen dort bestehender Sicherheitsmängel, sondern auch eine nennenswerte Bedrohung für den Rest der Welt.

Durch Fremde ferngesteuerte Rechner sind ein altes Thema in der Netzwerksicherheit. Selbst als das Internet nur aus 31 Rechnern bestand (heute locker über 300 Millionen mit dementsprechend mehr "Schläfern"), war das schon ein Thema: Unberechtigte erlangten Zugriff auf ein System und machten dort Dinge, die reguläre Benutzer nicht mehr als Spaß ansehen konnten.

Die Menge von Rechnern, die man manuell fernsteuern kann, ist deutlich begrenzt. Viel besser für Angreifer ist es, wenn nicht jeder einzeln, sondern alle zusammen "aufs Wort" gehorchen. Inzwischen gibt es solche Netze, im Fachjargon Botnets genannt, in Größenordnungen von wenigen hundert manipulierten Rechnern bis hinein in den sechsstelligen Bereich.

Sie entwickeln sich zu einer ganz neuen Qualität von Bedrohung: Denn anders als bei Viren und Würmern, wo ein Angreifer schon von Anfang an festlegen muss, was sein bösartiges Programm anrichtet, nistet sich ein Bot auf einem verwundbaren Rechner ein und steht dann – über das Internet ferngesteuert – für quasi beliebige Aktionen zu einem beliebigen Zeitpunkt zur Verfügung. Bots sind quasi nur noch als Trägermedium oder Plattform anzusehen, die bis zu ihrer Aktivität unauffällig bleiben und jederzeit – und aus der Sicht der Verteidiger nicht vorhersehbar – ihre Wirkungsweise ändern oder zuschlagen. Allerdings nicht allein, sondern mit einer Vielzahl von anderen Systemen.

Das "Gesetz der großen Zahl" ist es dann auch, das uns hier vorsichtig werden lässt, denn unsere heutige Netzwerkinfrastruktur ist in vieler Hinsicht fragil. So können Netzwerkanschlüsse großer Provider oder die Server-Farmen großer Anbieter zwar mit hohen Nutzerzahlen zurechtkommen. Allerdings sind auch dort kleine Botnets, die sich mit hunderten oder tausenden aus ihrem "Schlaf" geweckten Bots auf sie "einschießen" bereits zu spüren. Bei kleineren ISPs oder Anbietern kann es bereits dann zu Ausfällen kommen. Und ohne unverhältnismäßig hohe Kosten können sich auch die größten Unternehmen kaum gegen Botnets mit zehn- oder hunderttausenden von Rechnern erwehren.

Jeder Bot weist zudem auf ein grundlegendes Problem hin: Denn Sicherheitslücken, fehlender Anti-Virus-Schutz oder falsches Benutzerverhalten haben dazu geführt, das er sich erst einnisten konnte.

Neben unmittelbar schädigenden Wirkungen wie Distributed-Denial-of-Service-Angriffen, dem Belauschen und Übermitteln von Kommunikationsvorgängen, eingegebenen Passwörtern, PINs et cetera zeigt sich eine zunehmende Tendenz, von Seiten der Angreifer auch indirekt Profit aus "ihren" Bot-Netzen zu schlagen. Eine aktuelle Masche ist dabei die Erpressung von Anwendern und ISPs, denen mit einem Angriff durch Bots gedroht wird – reales Schutzgeld wird hier mit virtuellen Mitteln eingetrieben.

Doch auch für die Allgemeinheit sind Bots relevant: Schätzungen gehen inzwischen davon aus, dass zwei Drittel aller Spam-E-Mails von Bots verschickt werden. Genau wie bei den Angriffen kümmert es den für den Schaden verantwortlichen Angreifer dabei wenig, wenn "seine" Bots identifiziert und die Rechner wieder gesäubert werden; es gibt ja genügend Nachschub.

Einen interessanten Vortrag zu Botnets allgemein und wie man ihnen heute entgegentreten kann, werden übrigens die Kollegen vom RUS-CERT der Universität Stuttgart auf dem nächsten DFN-CERT Workshop halten (s. u.).

DFN-CERT Workshop 2005

Lance Spitzner wird den diesjährigen DFN-CERT Workshop eröffnen, der vom 2.–3. März 2005 in Hamburg stattfindet. Sein Vortrag beschäftigt sich basierend auf den vielfältigen Erfahrungen im Honeynet-Projekt mit der Schnelligkeit, mit der heute neue Angriffe entdeckt und dann analysiert werden können.

Am Nachmittag des zweiten Tages wird es zusätzlich ein Tutorium des DFN-CERT geben, das sich auf sehr technischem Niveau mit den Problemen und Lösungen der Sammlung und Auswertung von Log-Dateien auseinandersetzt. Weitere Informationen liegen auf [externer Link] www.dfn-cert.de/events/ws/2005/ (direkte Anmeldung unter [externer Link] https://www.dfn-cert.de/cgi-bin/registration.pl).

Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ([externer Link] www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ([externer Link] www.first.org) ist.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#1, Seite 88

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.