Der Feind im Netz
Bot-Netze als Gefahr für die Gesellschaft
Bot-Netze sind die wichtigste Ressource der Cyber-Kriminellen. Es sind feindliche Armeen in unserem Netz – Hunderttausende von infizierten Systemen unter der Kontrolle von asozialen Elementen, die diese Macht ohne Skrupel nutzen. Mit IoT- und Social-Media-Bots bekommt diese Gefahr eine neue Qualität.
Zu den etablierten Geschäftsmodellen der Cyber-Gangster gehört die Verbreitung von Spam und Schad-Programmen wie den gefürchteten Online-Banking- und Erpressungs-Trojanern. Aber auch der unscheinbare Anzeigenbetrug, der sich bei näherer Betrachtung als Milliardengeschäft entpuppt, wäre ohne die fremdgesteuerten Zombies nicht realisierbar (siehe „Der Goldesel der Cybercrime“, S. 92).
Schlagzeilen machen Bot-Netze vor allem mit Distributed-Denial-of-Service-Angriffen (DDoS), bei denen die geballte Power tausender Angreifer das Gegenüber so überlastet, dass nichts mehr geht. Diese Angriffe haben in den letzten Monaten eine neue Qualität angenommen. So pusteten Kriminelle, denen offenbar kritische Berichte über Waffen- und Drogengeschäfte ein Dorn im Auge waren, den bekannten Journalisten und Blogger Brian Krebs aus dem Netz. Dabei kamen nie zuvor gesehene Bandbreiten zum Einsatz.
Eine Paket-Flut mit bis zu 620 GBit/s rollte in Richtung seines Servers. Typische Heim- und Firmennetze haben 100 MBit/s; die Angreifer mobilisierten das 6000-fache davon. Die Angriffe entfalteten eine solche Wucht, dass selbst die Content-Delivery-Plattform Akamai kapitulierte. „Wir könnten das zwar noch verteidigen, aber es kommt uns zu teuer“, argumentierte die Firma mit der weltweit größten Anti-DDoS-Infrastruktur, als sie ihren Schutzschirm abschaltete und Krebs’ Server offline ging.
Das war nur das Vorspiel. Einige Wochen später machten die Cyber-Kriminellen Ernst und legten Netflix, Twitter, Spotify und Paypal lahm. Sie attackierten dazu den von diesen Anbietern genutzten DNS-Provider Dyn, mit dem Resultat, dass in den USA über Stunden Video- und Musik-Streaming, Social Media und Bezahldienste nicht mehr funktionierten.
Die Analyse der Vorfälle zeigte, dass die Angriffe nicht etwa von einer ausgeklügelten Schad-Software auf PCs ausgingen. Das verantwortliche Bot-Netz Mirai bestand hauptsächlich aus einfachen Geräten: Die Angreifer hatten Router, Kameras, Drucker, Smart-TVs und Video-Rekorder gekapert – und zwar über eine halbe Million davon.
Der kurze Zeit später veröffentlichte Quellcode des Mirai-Bot-Netzes belegt, dass es sich keineswegs um das Werk von Genies handelt. Vielmehr setzen Mirai und seine mittlerweile aktiven Nachfolger darauf, dass viele Geräte des sich materialisierenden Internet der Dinge (Internet of Things, IoT) in Bezug auf Sicherheit absolute Nullnummern sind.
Millionen der Geräte sind direkt aus dem Internet zu erreichen. Zwischen einem Einbrecher und der vollen Kontrolle über das System stehen oftmals lediglich Standard-Passwörter, die sich leicht ergoogeln lassen. Das „Internet of Shitty Things“, wie es kürzlich Clemens Gleich in einem Kommentar auf heise online bezeichnet hat, bietet damit noch leichtere Opfer, als noch so schlampig eingerichtete Windows-PCs.
Das Wort Mirai ist japanisch und bedeutet Zukunft. Das so benannte Bot-Netz gewährt uns einen Ausblick auf eine wahrlich finstere Zukunft: Wenn Kameras, Staubsauger, Videorekorder, Waschmaschinen, Thermostate und sogar Haarbürsten mit dem Internet sprechen, wird die Zahl der „Dinge“ im Internet die der richtigen Computer bald um ein Vielfaches übersteigen. Und jeder gewissenlose Dödel, der ein wenig skripten kann, kann sich im Handumdrehen seine Privat-Armee aus ein paar Millionen Bots zusammenstellen, deren Angriffen kein Server mehr gewachsen ist.
Und das Schlimmste dabei: Derzeit spricht nichts dafür, dass sich an der Sicherheit der IoT-Geräte in absehbarer Zeit etwas verbessern wird. Standard-Passwörter sind nach wie vor weit verbreitet. Vor zwanzig Jahren eigentlich schon beerdigte, weil unsichere Protokolle wie Telnet kommen wieder zum Einsatz und Sicherheits-Updates sind ein Fremdwort.
Bots erobern soziale Netze
Besorgniserregend ist auch die Kreativität, mit der die Kriminellen diese Bot-Netze nutzen. So verwandeln sich beispielsweise mit Linux/Moose infizierte Geräte in eifrige Besucher sozialer Netze wie Instagram oder Twitter. Wer einen Ego-Boost in Form von Likes oder Followern benötigt, kann sich die bei deren Herrn und Meister gegen eine kleine Gebühr kaufen.
