Online-Games sind Einladung an Cyber-Terroristen

Server für Multiplayer-Games lassen sich von potentiellen Cyber-Terroristen leicht als Verstärker für DDoS-Attacken missbrauchen, warnte das US-Sicherheitsunternehmen Pivx Solutions. Maschinen, auf denen Gamespy-Spiele wie „Quake 3: Arena“, „Unreal Tournament 2003“ oder „Battlefield 1942“ laufen, könnten eine Anfrage um das 400-fache verstärkt an ein Opfer weitersenden.

Bei Denial-of-Service (DoS)-Überfällen greift der Täter mit sehr großen Datenmengen den Computer an. Dieser kann die Flut nicht bewältigen und geht zu Boden. Ein „normaler“ Rechner kann die für DoS-Attacken notwendigen Massen von Anfragen nicht erzeugen. Deshalb nutzen Angreifer unbemerkt die Maschinen ahnungsloser Dritter. Diese werden zu so genannten Zombie-Hosts. Bei einem gleichzeitigen Losschlagen dieser Zombies spricht man von einer Distributed Denial-of-Service-Attacke (DDoS).

„Ein solcher Angriff würde glatt eine ganze Reihe von Firewalls durchdringen“, erklärte Geoff Shively, Sicherheitschef der in Newport Beach, Kalifornien, angesiedelten Firma. „Ein einziger Server könnte theoretisch ein ganzes T-1-Band (1,5 MBit/s) zumachen.“ Als Grund nennt er, dass Server mit Gamespy Networking-Code automatisch eine Antwort an die Queries versenden, ohne die Adresse des Absenders zu überprüfen. Ein Angreifer müsste einfach eine Statusanfrage an den Server richten, als Absender jedoch die Adresse des Opfers angeben. Der Server wird daraufhin den vermeintlichen Absender mit Informationen zuschütten.

Weitere Spiele, die laut Pivx als Datenschleudern dienen können, sind „Quake“, „Quake 2“, „Half-Life“, „Tribes“, „Return to Castle Wolfenstein“, „Medal of Honour: Allied Assault“, „Never Winter Nights“, sowie „America’s Army“. Dabei mache es keinen Unterschied, welches Betriebssystem auf dem Server aufgespielt sei. „Die einfache Regel lautet: Wenn es Gamespy unterstützt, dann ist es auch gefährdet“, so Mike Kristovich von Pivx.

Nach Meinung von David Wright, Cheftechniker bei Gamespy, wird das Problem hochgespielt. Allerdings räumte er ein, dass die Menge an Informationen, die ein einzelner Server erzeugen könnte, „signifikant“ ist. „Das kommt nicht gerade häufig vor. Wenn jemand eine DDoS-Attacke fahren will, wird er sich vorzugsweise eines Servers bedienen, den er vorher unter kontrolle gebracht hat“, so Wright. Man wolle nichts desto weniger Richtlinien an die Kunden und Geschäftspartner ausgeben, um die Möglichkeit eines Missbrauchs eingrenzen zu können. Möglicherweise wird man auch einen Patch bereitstellen, um die Datenmenge zu limitieren, die der Server auf eine Statusabfrage hin versendet.

„Solch ein Fix ist längst überfällig“, erklärte der Sicherheitsexperte Marc Maiffret von Eeye Digital Security. Er berichtete, das Problem der User Datagram Protocol (UDP)-Abfragen sei längst bekannt. Anders als beim meist eingesetzten Transmission Control Protocol (TCP) könnte beim UDP der Absender gefälscht werden.“Es handelt sich nicht gerade um eine neue Technik, das Problem wurde mit den Multiplayer-Spielen quasi wieder entdeckt.“ Seiner Meinung nach ist es an den Spieleentwicklern, das Problem zu beseitigen. „Sie müssen nur ein kleines Update anbieten, und schon war’s das.“