Inside-it.ch under Attack

Screenshot von der Webseite von Arbor Networks vom 14. März 2016
Was die DDoS-Attacken auf inside-it.ch ausgelöst haben – ausser Panik. Zum Beispiel Eifersüchteleien unter Cybervandalen.
 
Montag, 14. März, Neun Uhr Abends. Man ist zu Hause, schaut TV, hatte das Smartphone weggelegt, wirft jetzt aber mal einen Blick auf Twitter. Wie bitte? inside-it.ch ist weg, sagt @Slartbart? Vermutet Zusammenhang mit unserem Bericht über DDoS-Attacken auf Online-Shops? Kann doch nicht sein. Nachschauen – "Der Server braucht zu lange, um eine Antwort zu senden". Mist. Und ja, unser Site-Überwachungsservice Pingdom hat schon um 20 Uhr 02 ein Alarmmail geschickt. Nachfragen bei unserem Serveradministrator: Nein, der Server ist komplett gesund, erhält aber seit acht Uhr keinen Traffic mehr. Nachfragen beim Provider, bei dem unser Server steht – in diesem Moment, es ist gerade zehn Uhr, ist die Site plötzlich wieder erreichbar. Aber ja: Es scheint eine DDoS-Attacke gewesen zu sein, sagt der Support. Ausser uns waren keine anderen Kunden betroffen.
 
Wer war's? Warum wir?
Am nächsten Morgen ist die grosse Frage in der Redaktion: Wer hat uns attackiert? Die gleichen, die die Online-Shops angegriffen haben? Wenn ja warum? Aber es gibt keine Antworten. In unserem Mail und allen anderen Kommunikationskanälen herrscht Funkstille. Niemand verlangt Geld, niemand droht. Bei uns herrscht Ratlosigkeit.
 
Seit elf Jahren sind wir online, haben gelegentlich über DDoS-Attacken berichtet, waren aber selbst nie das Ziel. Wir haben uns in der Sicherheit gewiegt, zu klein zu sein als potentielles Opfer. Und ehrlich gesagt haben wir uns kaum je Gedanken über Gegenmassnahmen gemacht. Also erstmal etwas surfen. Man findet vieles – aber versteht, als Laie, nicht wirklich viel. Ratgeber wie der von Melani (PDF) geben zumindest einige Antworten. Aber die Hauptfrage wird schnell klar: Man kann einiges machen, aber was können, beziehungsweise wollen wir uns leisten? Wann kommt der nächste Angriff? Morgen? In elf Jahren?
 
Mittwoch, 17:30 Uhr: Die letzte Frage ist beantwortet: Der nächste Angriff ist bereits da. Wieder hektische Telefonate mit dem Serveradministrator, dem Provider-Support. Kann man unmittelbar etwas machen? Leider Nein. Man könnte versuchen, Firewall-Einstellungen zu ändern – dummerweise ist die während des DDoS-Sturms gar nicht erreichbar. Also abwarten, Däumchen drehen, hoffen, dass der Angriff nach zwei Stunden wieder endet. Was er auch tut.
 
Am nächsten Tag. Gegenmassnahmen, das ist jetzt klar, sind unerlässlich und dringend. Unser RZ-Betreiber verspricht, dass er in Kürze die Firewall aufrüsten wird. Das neue, stärkere Gerät wird einige Arten von DDoS-Angriffen eher abwehren können, als das alte. Allerdings war es gar nicht die Firewall, die unter den zwei vorangegangenen Attacken zusammengebrochen ist: Wie es sich herausgestellt hat, handelte es sich dabei um sogenannte reine "Volumenattacken". Sie erreichten eine Stärke von 2Gbit pro Sekunde und verstopften schlicht unsere Internet-Leitung. 2Gbps sind auch mehr, als unser Provider für im RZ untergebrachte Server bietet.
 
DDoS-Schutz fürs Volk
Ein Aufbohren der Bandbreite ist also kurzfristig nicht möglich, und es ist gleichzeitig klar, dass wir einen zusätzlichen Schutzmechanismus brauchen. Ein Experte findet, dass eigentlich nur der Sprung in eine der Megaclouds, beispielsweise Amazon Web Services, Sicherheit vor fast allen DDoS-Angriffen geben könnte. Aber für uns ist das nicht von heute auf morgen möglich.
 
Von vielen Seiten wird uns jedoch ein Webservice namens Cloudflare empfohlen, eine Art DDoS-Schutz fürs Volk, den sich auch kleinere Sites leisten können und der einfach einzurichten sei. Cloudflare ist ein sogenanntes Content-Delivery-Netzwerk. Eine Site bleibt dabei auf dem eigenen Server, wird aber gleichzeitig auch auf dem globalen Netzwerk von Cloudflare-Servern gelagert. Zugriffe erfolgen auf diese Server, der eigene Server wird weitgehend entlastet und kann nicht mehr zum direkten Ziel von DDoS-Angriffen werden. Unsere Partner sagten viel Gutes zu Cloudflare, aber wir haben trotzdem ein mulmiges Gefühl: Im Web wird von Einbussen beim Suchmaschinenranking gemunkelt, wenn man Cloudflare benützt. Hin und wieder auch von verärgerten legitimen Usern, die abgeblockt werden. Und gratis ist die Sache auch nicht: Die Servicestufe, die DDoS-Schutz beinhaltet, würde uns knapp 5000 Franken pro Jahr kosten. Erschwinglich, aber für uns doch kein Klacks.
 
Zudem wird schnell klar: Cloudflare einzurichten ist wohl tatsächlich einfach – wenn man sich mit DNS-Einträgen, Zertifikaten usw. auskennt. Laien wir wir brauchen Hilfe von Experten. Mittlerweile haben wir uns aber durchgerungen, und seit dem letzten Freitag sind inside-it.ch und inside-channels.ch "cloudflarisiert".
 
Eifersüchteleien unter (vermeintlichen) DDoS-Gruppen
Nachträglich haben uns übrigens doch noch "Bekennermails" zu den DDoS-Angriffen erreicht. Am 17.März erhielt inside-it.ch, wie wir bereits berichteten, ein anonymes Mail einer Gruppierung die sich "NSHC" nannte und die sich dazu bekannte, die Datenbank von svp.ch geknackt zu haben. Angesichts der Daten, welche uns diese Gruppe zukommen liess sind wir überzeugt, dass dieser Anspruch stimmt. Gleichzeitig sagte NSHC, dass sie für DDoS-Angriffe auf Interdiscount, Microspot und die SBB verantwortlich gewesen sei.
 
"Wir warens!" – "Nein wir!"
Einige Tage später folgte ein Mail einer weiteren Gruppe, über das wir bisher nicht geschrieben haben, weil der Inhalt unglaubwürdig ist. Diese Leute erklären, "an den DDoS-Attacken auf sämtliche Online-Shops beteiligt" gewesen zu sein – und auch inside-it.ch angegriffen zu haben. Der Grund sei, dass wir die ersten DDoS-Angriffe in früheren Berichten mit dem Armada Collective in Zusammenhang gebracht haben.
Gleichzeitig erklärte diese namenlose Gruppe, sie habe auch die Systeme eines grossen Schweizer Online-Händlers gehackt: "Wir haben sämtliche Daten von ihren Servern sowie Backend-Server aka ERP System."
 
Diese Behauptung ist allerdings wohl völlig aus der Luft gegriffen. Im Mail wurden uns als Beweis für den Hack eine Liste mit knapp 600 Mailadressen und Passwörtern, die angeblich aus der Kundendatenbank des Online-Shops stammen, zugesandt. Wie uns die Melde- und Analysestelle Informationssicherung MELANI bestätigte, sind sämtliche dieser Adressen auch in einer Liste von 6000 E-Mail-Konten und dazugehörigen gehackten Passwörtern vorhanden, die Melani Anfang März zugespielt wurde. Die uns zugesandten Login-Daten wurden also wahrscheinlich irgendwo von Hackersites aus dem Internet heruntergeladen oder möglicherweise sogar gekauft. Dies macht auch die anderen Behauptungen unglaubwürdig.
 
Wie das Mail auch zeigt, gibt es offensichtlich Reibereien und Eifersüchteleien unter Cybervandalen. Man kenne die NSHC-Gruppe, so die zweiten "Bekenner", distanziere sich aber von ihr. Dies seien "lediglich Trittbrettfahrer", die nicht für die DDoS-Angriffe verantwortlich gewesen seien. Dann sprechen die Namenlosen der anderen Gruppe auch noch das wahre Können ab, denn "SVP zu hacken, war nicht schwer." Das von der SVP verwendete CMS sei sehr anfällig auf gewisse Angriffe.
 
Wir sind die wahren DDoSler
Die Urheberschaft für ein Eindringen in ein System kann ein Angreifer einigermassen belegen, durch Daten, die mit hoher Wahrscheinlichkeit daraus stammen. Deshalb betrachtete inside-it.ch es als sehr wahrscheinlich, dass NSHC tatsächlich in SVP-Systeme eingedrungen ist – auch wenn die SVP dies weiterhin abstreitet.
 
Anders steht es mit DDoS-Angriffen: Es ist nicht nur äusserst schwierig für Strafverfolger und Security-Spezialisten, die Urheber zu eruieren, sondern genau so schwierig für die Angreifer, ihre Täterschaft zu beweisen, ohne die Polizei wiederum auf ihre Spur zu lenken. Den oben erwähnten grossen Online-Händler erreichten übrigens nicht nur eines sondern mehrere Bekennermails, teilweise mit Geldforderungen, von verschiedenen Seiten, die alle behaupteten, sie seien die wahren Angreifer. Auch darum ist es ziemlich sinnlos, den Forderungen eines Erpressers nachzukommen. (Hans Jörg Maron)