Zombie-Abwehr bei Online-Wahlen
Um Internet-Wahlen gegen Angriffe abzusichern, können bei österreichischen Dimensionen schon zehn Millionen Dollar fällig werden, sagte Sicherheitsexperte Jose Nazario zu ORF.at. Ein Bot-Net zur Attacke auf eine Online-Wahl sei hingegen um einen Bruchteil dieser Summe zu mieten.
"Eine Online-Wahl erfolgreich anzugreifen, ist leider sehr billig", sagte Jose Nazario am Rande der Sicherheitskonferenz DeepSec, die am Freitag zu Ende ging, zu ORF.at.
Ein "nicht besonders umfangreiches Bot-Net von vielleicht ein paar tausend Rechnern würde schon reichen", meinte der Sicherheitsexperte, um den Online-Wahlvorgang in einem Land von der Größe Österreichs zu sabotieren. Wenn nämlich nur die üblichen Sicherungsmaßnahmen getroffen worden seien, nicht aber jene, die gegen "Distributed Denial of Service Attacks" (DDoS) nötig sind.
Estland und Österreich
In den USA, China und Russland hat "asymmetrische" Kriegsführung via Internet Einzug in die jeweilige Militärdoktrin gefunden.
Ein knappes Monat, nachdem in Estland die ersten Wahlen mit Internet-Stimmabgabe durchgeführt worden waren, holte ein konzertierter Angriff mehrerer Bot-Nets von der Regierung angefangen alle wichtigen Websites teilweise für Tage vom Netz.
Ganz ähnlich spielte sich der Ablauf des russisch-georgischen Konflikts auf der Internet-Ebene ein Jahr danach ab. Georgische Nachrichtenmedien, Präsidenten-Website usw. gingen alsbald in die Knie und mussten nach Estland und in die USA übersiedelt werden, weil in Georgien offenbar nicht genug Bandbreite zur Verfügung stand.
In Österreich ist ein Testlauf für die Abstimmung über das Internet bei den ÖH-Wahlen im April 2009 geplant, gegen den Willen der Studentenvertreter.
- Rüstungswettlauf im Cyber-Krieg
Konzertierter Saugangriff
Gegen diese DDoS - eine Art konzertierter "Saugangriff" durch ferngesteuerte, gekaperte Rechner ahnungsloser Besitzer - wiederum ist gerade ein zeitlich genau eingrenzbarer Vorgang von hohem Öffentlichkeitsprofil wie etwa eine Online-Wahl zwar technisch abzusichern.
"Leider ist das nicht ganz billig", sagte Nazario, denn mit einer Vervielfachung der zur Verfügung stehenden Bandbreite um mindestens den Faktor 100 sei es nicht getan.
"Dispersion" sei die erste Verteidigungslinie, das heißt, die Bandbreite müsse auf verschiedene leistungsfähige Carrier verteilt werden.
"Wirkliche Herausforderung"
Dazu kämen Upgrades von Routern, Web- und DNS-Servern, um mit dem im Angriffsfall vervielfachten Datenverkehr fertig zu werden, so der Sicherheitsexperte weiter.
"Die wirkliche Herausforderung" sei es freilich, die angreifenden Rechner zu identifizieren und dazu bedürfe es nicht nur des geeigneten Equipments, wie es etwa Arbor Networks liefere. Diese Analysewerkzeuge müssten obendrein von Fachleuten bedient werden, zumal die Absicherung des Wahlvorgangs in Echtzeit funktionieren müsse.
Identifikationsprobleme
Viele Carrier, deren Netze im Laufe der vergangen Jahre angegriffen worden seien, hätten zwar über die nötige Bandbreite verfügt, die Attacken abzufedern, sagte Nazario.
Dass es dennoch zu schweren Beeinträchtigungen teils über Tage kam, sei daran gelegen, dass man Stunden gebraucht hatte, um die angreifenden Zombie-Rechner unter dem normalen Verkehr zu identifizieren, sodass sie geblockt werden konnten.
Für einen Online-Wahlvorgang müsste demnach ein Team vom Experten im Einsatz sein, um im Ernstfall rasch reagieren zu können, "sonst ist die Wahl vorbei, bevor das System wieder funktioniert."
Jose Nazario, eigentlich Doktor der Biochemie, ist Leiter der Sicherheitsforschung bei Arbor Networks. Nazario beschäftigt sich mit der Analyse von DDoS-Attacken, Botnets, Würmern, Tools zur Anaylse von Quellcode und Datamining. Dazu verfasst Nazario Bücher wie "Defense and Detection Strategies against Internet Worms".
Arbor Networks liefert Lösungen zur Netzwerkanalyse, zur Früherkennung von Anomalien wie Angriffen auf die Infrastruktruktur oder den Ausbruch einer Verbeitungswelle von Schadsoftware. Zwecks Früherkennung wurde die "Fingerprint Sharing Alliance" gegründet, innerhalb derer nicht menschenliche Fingerabdrücke sondern angreifende Bot-Nets identifiziert und Cyber-Attacken schneller und wirkungsvoller bekämpft werden können.
- Die DeepSEC 2008
Angreifer und Verteidiger
DDoS-Attacken werden in der Regel über denselben Port 80 gefahren wie der WWW-Verkehr und sind diesem zum Verwechseln ähnlich. Es ist nämlich normaler WWW-Verkehr, also Seitenabrufe, die freilich in einem aberwitzigen Tempo vor sich gehen können. Für die Verteidiger gilt es, das Angriffsmuster möglich schnell zu erkennen, um die über die halbe Welt verstreuten Zombie-Rechner zu blockieren.
Zehn Millionen
Mit all den oben erwähnten Maßnahmen käme man zum Schutz eines österreichweiten Online-Wahlvorgangs auf eine Summe zwischen fünf und zehn Millionen Dollar.
Danach sei es zwar ohnehin sehr angeraten, das gute Equipment von Arbor Networks für alle Fälle bereit zu haben, sagte Nazario und grinste. Wie sich das mit der erforderlichen, sehr hohen Bandbreite rechne, die ja nicht für einen Tag auf- und wieder abgebaut werden könne, sei eine andere Sache.
"Ab ein paar tausend Dollar"
Auf der Seite potenzieller Angreifer gehe es leider beträchtlich billiger zu. "Wie wir beobachtet haben, werden Bot-Nets in der erwähnten Größe bereits ab ein paar tausend Dollar zur Miete angeboten", sagte Nazario. Die oberste Kategorie sei mit Kosten von maximal 100.000 Dollar "verglichen mit einer PR-Kampagne extrem billig".
Die noch schlechtere Nachricht sei allerdings, dass es längst keinerlei technischer Kenntnisse für solche Angriffe bedürfe, da die Bot-Nets eben zu mieten seien.
"Man in the middle"
"Für wahrscheinlicher als DDoS-Angriffe halten wir 'man-in the middle attacks' bei Online-Wahlen", sagte Nazario abschließend.
Der Grund dafür, warum wohl Manipulation des Wahlvorgangs vorerst das wahrscheinlichere Delikt sein wird, wenn tatsächlich Online-Wahlen abgehalten werden, liegt auf der Hand. Zum "Kerngeschäft" der Betreiber von Bot-Nets gehört es, Schadsoftware wie Trojaner auf möglichst vielen Rechnern zu platzieren und diese dann fernzusteuern.
Damit gefährdet man den wichtigsten Geschäftszweig nicht, nämlich die Spam-Verbreitung, da eine DDoS-Attacke stets mit dem "Verlust" eines Teils der Zombie-Rechner verbunden ist.
(futurezone/Erich Moechel)