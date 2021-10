Ein Trierer Forscher will helfen, Cyberangreifer aufzuspüren. Dazu gaukelt seine Software Computersystemen vor, ihnen beim Angriff helfen zu wollen, um den Bösewicht stattdessen aber zu umzingeln und unschädlich zu machen. Das scheint sinnvoll, denn die Verluste, die durch Schadsoftware verursacht werden, treffen nicht nur ein Opfer, sondern oft auch dessen Kontaktpersonen. Manchmal ganze Städte.

Über zwei Stunden lang ploppten auf den Rechnern von US-Nutzern Fehlermeldungen auf, als sie an einem Tag im Oktober 2016 versuchten, Onlinedienste wie Twitter, Spotify, Ebay und Netflix zu erreichen. Ein massiver DDoS-Angriff (Distributed-Denial-of-Service-Angriff) auf einen Serviceprovider, den die Unternehmen nutzten, hatte die Dienste in den USA vorübergehend komplett lahmgelegt.

Solche Attacken, bei denen Netze gezielt mit unnötigen Daten überlastet werden, gibt es regelmäßig. Sie treffen aber meist eher kleinere Online-Shops oder Computerspieler und schlagen deshalb in der Öffentlichkeit nicht ganz so hohe Wellen. Versierte Angreifer können verschleiern, woher die Attacke kommt, und so vielfach unerkannt bleiben. Johannes Krupp vom CISPA Helmholtz Center for Information Security, einem Zentrum für Informationssicherheit, verfolgt mit seinem neuen Programm nun einen anderen Ansatz zur Verfolgung solcher DDoS-Angriffe.

Denial-of-Service-Attacken – übersetzt etwa Dienstverweigerungs-Attacken – beschäftigen IT-Sicherheitsforscher seit mehr als 20 Jahren. Im Kern geht es bei solchen Angriffen darum, ein Netz so sehr mit Daten zu fluten, dass es letztlich komplett überlastet seinen Dienst einstellen muss. Bei DDoS-Attacken, das weitere „D“ steht für Distributed, kommen – statt einzelnen – mehrere unterschiedliche Systeme in einem koordinierten Angriff zum Einsatz.

Netz des Opfers bricht unter der Last zusammen

Bei einer Variante des Angriffs schicken Angreifer, um die benötigte Datenflut zu produzieren, zum Beispiel massenhaft Anfragen an Internetdienste. Als Absender geben sie die IP-Adresse des Opfers an. Sobald Antworten zurückkommen, wird das Netz des Opfers überlastet und bricht innerhalb kürzester Zeit zusammen. Auf diese Weise können Online-Shops und Webseiten für eine gewisse Zeit außer Betrieb gesetzt und so zum Beispiel Wettbewerber geschädigt werden. Solche Angriffe können sich aber letztlich auf jeden Internet-Nutzer auswirken, denn die Kollateralschäden sind groß, wie Johannes Krupp erklärt. „Meist sind auch alle Nachbarn und Menschen im weiteren Umkreis, die an derselben Internetleitung hängen, betroffen.“

Eigentlich sollten Internetdienste – bevor sie antworten – prüfen, woher die Anfragen kommen. Bei den beschriebenen Attacken machen sich die Angreifer allerdings zunutze, dass es noch immer Kommunikationsprotokolle gibt, die sich Anfragen ungeprüft unterschieben lassen, sagt Krupp. „Leider gehört dazu auch zum Beispiel das wichtige und viel genutzte Domain-Name-Service-Protokoll, das nicht so einfach abgeschaltet oder ersetzt werden kann.“

Sicherheitsforscher geben sich als Reflektor aus

Um eine Attacke vorzubereiten, müssen Angreifer zunächst Internetdienste finden, die – ohne deren Herkunft zu prüfen – auf Anfragen antworten und sich damit als sogenannter Reflektor für einen Angriff eignen. Mit sogenannten Honeypots (übersetzt Honigtöpfe), das sind simulierte Computersysteme, spiegeln IT-Sicherheitsforscher vor, ein solcher Reflektor zu sein, und sammeln, statt ihnen zu helfen, Informationen über die Angreifer.

„Mit Hilfe eines Honeypots können wir zum Beispiel herausfinden, wer angegriffen wird, wie lange der Angriff dauert und wann er aufhört. Wir können oft auch noch sagen, ob zwei Angriffe vom selben oder von zwei unterschiedlichen Angreifern kommen – allerdings wissen wir damit noch nichts über dessen Identität“, erläutert der IT-Sicherheitsexperte Krupp.

Internet ein Netzwerk aus Netzwerken

Bislang, denn sein neuer Ansatz könnte die Angreifer künftig aus ihrer Deckung locken. Krupp macht sich damit bei der Suche nach dem Angreifer zunutze, wie das Routing im Internet funktioniert. „Das Internet wird oft als ,Netzwerk von Netzwerken’ bezeichnet, denn darin zusammengeschlossen sind zirka 70.000 sogenannte autonome Systeme. Das sind Netzwerke unter der Kontrolle eines gemeinsamen Administrators. Darunter fallen zum Beispiel Internetanbieter wie die Telekom oder Vodafone“, erklärt der 29-Jährige.

Wollen diese autonomen Systeme Datenpakete in ein anderes Netz schicken, müssen sie wissen, auf welchem Weg das möglich ist und am schnellsten geht. „Benachbarte Netzwerke können miteinander kommunizieren und tauschen sich darüber aus, welche die schnellste Route zum Ziel-Netzwerk ist“, sagt Krupp. Dabei müssen sie einander auch informieren, falls ein Netz auf der Route ausgefallen ist. Passiert das nicht oder nicht schnell genug, kann es zu Routing-Schleifen kommen, bei denen das Paket wieder am eigentlichen Ausgangsort landet.

Neuer Ansatz enttarnt 60 Prozent der Angreifer

Um solche Schleifen zu verhindern, prüfen Router bevor sie die Datenpakete weiterleiten, ob sie selbst auf der Ausweichroute liegen. Trifft das zu, wird diese verworfen. Dieser Mechanismus nennt sich „loop detection“ und wird von Krupps Programm ausgenutzt. Mithilfe des Honeypots werden falsche Routeninformationen ausgegeben und behauptet, es lägen Systeme auf der Route, die es in Wahrheit jedoch nicht gibt. Durch diese Manipulation lassen sich nach und nach alle Wege abschneiden. Wenn keine Datenpakete mehr beim Honeypot ankommen, lässt sich eingrenzen, wer den falschen Datenverkehr erzeugt und welche Systeme ihn ungeprüft weiterleiten. In Simulationen ließen sich mit diesem neuen Ansatz in 60 Prozent der Fälle die Angreifer aufspüren. „Vorher lag die Trefferquote bei null“, sagt Krupp, der einen möglichen Einsatz des Programms bei Strafverfolgungsbehörden sieht. idw