Großangelegter Angriff auf das Internet blieb folgenlos

Ein groß angelegter aber nicht besonders perfider Angriff auf die Rechner, die als Adress-Dateien für das Internet fungieren, ist ohne Folgen geblieben. Seit Montag waren die 13 Domain-Name Service (DNS)-Root Server Opfer einer Denial-of-Service (DoS)-Attacke. Diese sei aber nach einem so simplen Schema erfolgt, dass die Administratoren keine Probleme mit dem Blocken des Datenstroms hatten. Nichts desto weniger gingen bis auf vier Server alle Rechner vorübergehend in die Knie.

Bei DoS-Überfällen greift der Täter mit sehr großen Datenmengen den Computer an. Dieser kann die Flut nicht bewältigen und geht zu Boden. Ein „normaler“ Rechner kann die für DoS-Attacken notwendigen Massen von Anfragen nicht erzeugen. Deshalb nutzen Angreifer unbemerkt die Maschinen ahnungsloser Dritter. Diese werden zu so genannten Zombie-Hosts. Bei einem gleichzeitigen Losschlagen dieser Zombies spricht man von einer Distributed Denial-of-Service-Attacke (DDoS).

Laut Matrix Netsystems, in den USA zuständig für das Vermessen der Internet-Performance, gingen die sieben betroffenen Server für drei Stunden vom Netz. Im Zuge des Angriffs wurden ununterbrochen Internet Control Message Protocol (ICMP)-Packete an die 13 Server geschickt. CMP-Packete dienen im Normalfall für Fehlerberichte oder zum Überprüfen von Netzwerkverbindungen. Zum Glück lässt sich diese Art von Anfrage leicht blockieren.

Nach Angaben von Sicherheitsexperten hätte ein durchdachteres Vorgehen des Angreifers durchaus Auswirkungen auf das Internet haben können. Bei einem Lahmlegen der Server für acht bis zehn Stunden wäre die Zugriffszeit auf Sites signifikant größer geworden, so Craig Labovitz von Arbor Networks. Er ist spezialisiert auf die Abwehr von DDoS-Attacken. „Aber erst wenn jemand die komplette Infrastruktur in seine Hand bekommt, wird es ernst“, so Labovitz.

Nach Angaben von Verisign-Sprecher Brian O’Shaughnessy überprüfe man gerade, ob die firmeneigenen Sicherheitsmaßnahmen auch künftig noch ausreichten. Verisign betreibt den „A“- und „J“-Root-Server sowie über ein Dutzend „.com“-Top Level Domain-Rechner. „Zwei der vier Server, die dem Angriff standhielten, waren unsere“, behauptete O’Shaughnessy.

Auch der Sprecherin des vom US-Präsidenten eingerichteten Critical Infrastructure Board, Tiffany Olsen, sieht finstere Zeiten voraus: „Dieser Angriff hatte kaum Auswirkungen auf das Internet, weil es hart im nehmen ist und die Verantwortlichen schnell reagierten. Aber es werden bedeutend größere Attacken folgen.“ Das Critical Infrastructure Board ist für die National Strategy to Secure Cyberspace der USA verantwortlich. George W. Bush hatte die Gruppe kurz nach den Attentaten vom 11. September eingesetzt. Sie soll das Internet sicherer vor so genannten Cyber-Attacken machen, darunter können sowohl gezielte Hacks als auch besagte DDoS-Angriffe aber auch Viren verstanden werden. Allerdings stieß die im September vorgelegte Strategie auf wenig Gegenliebe bei Sicherheitsexperten. Sie bewerten sie wie berichtet als zu harmlos und zu sehr im Sinne von Microsoft (Börse Frankfurt: MSF).

Mittlerweile hat das FBI die Ermittlungen aufgenommen. Laut Matrix Netsystems ist der Angriff noch nicht ganz ausgestanden. „Nach wie vor prasseln Anfragen auf fünf DNS-Server ein, wenn auch mit verminderter Intensität“, berichtete Firmenchef Bill Palumbo. Den Täter ausfindig zu machen sei nahezu unmöglich, somit könne die Quelle des Übels nicht neutralisiert werden.

Im Internet werden tausende von Zombie-Hosts vermutet. Im Mai dieses Jahres berichtete Dug Song, Mitarbeiter der Sicherheitfirma Arbor, dass sich der Code Red-Virus in den vergangenen neun Monaten auf etwa 18.000 Rechnern weltweit eingenistet habe. Diese Systeme würden nur darauf warten, auf Befehl des Autors hin eine konzertierte Aktion zu starten.

„Wir sind sehr besorgt über die Möglichkeit eines großangelegten Distributed Denial-of-Service (DDoS)-Angriffs über die Code Red-Servers“, sagte Song damals. Bereits Mitte Juli vergangenen Jahres hatte die erste Variante von Code Red 250.000 Microsoft-Betriebssysteme befallen.