Damaschkes Daily abonnieren (RSS 2.0)
Kleines Wörterbuch der Malware (7)
Vor wenigen Tagen machte eine erstaunliche Meldung die Runde: “Cyberkrieg gegen Estland” hieß es da, oder “Online-Attacken gegen Estland”.Seit Ende April wurden die Server von Behörden und zentralen Unternehmen in Estland mit so genanten DDoS-Attacken überzogen, wodurch die Server teilweise wegen Überlastung zusammenbrachen.
Die estländischen Provider wussten sich zum Teil nicht mehr anders zu helfen, als sämtliche Anfragen aus dem Ausland abzublocken. So konnte man zwar in Estland ein funktionierendes Netz erhalten, war aber von außen überhaupt nicht mehr zu erreichen. Die estländische Regierung beschuldigte Russland als Drahtzieher im Hintergrund. Angeblich sollten die Angriffe vom Kreml aus gestartet worden sein. Die estländische Regierung sprach gar von Cyberterrorismus aus Russland.
Ein paar Tage später ruderte man allerdings zurück und hielt die Beschuldigungen nicht weiter aufrecht. Die Angriffe, so wurde inzwischen wohl ermittelt, kamen nicht nur aus Russland, sondern auch aus anderen Ländern, darunter Brasilien, Kanada, die USA und Vietnam. Insgesamt soll es sich, so meldet der Heise-Newsdienst, “um den bislang längsten und heftigsten DDoS-Angriff auf ein Land” gehandelt haben.
Bleiben nur zwei Fragen offen. Zum einen: Warum Estland? Und zum anderen: Was ist eigentlich eine DDoS-Attacke? Die erste Frage kann ich leider nicht beantworten, die zweite allerdings schon. Womit wir bei der nächsten Folge des kleinen Wörterbuchs der Malware sind. Heute geht es um DDoS, Downloader und Packet-Sniffer.
DDoS
DDos ist die Abkürzung für “distributed denial of service”, was als “verteilte Diensteblockade” übersetzt wird. Bei der klassischen Variante dieses Angriffs wird ein Webserver mit so vielen Anfragen überschüttet, dass er entweder nur noch mit extremer Verzögerung oder gar nicht mehr reagiert. Wirkungsvoller ist es allerdings, Fehler in der Serversoftware auszunutzen und Webserver gezielt auszuschalten.
Als “verteilt” wird dieser Angriff deshalb bezeichnet, weil er nicht von einem einzigen Rechner, sondern von sehr vielen Computern im Internet gestartet wird. Dabei wissen die Besitzer der jeweiligen Computer oftmals überhaupt nicht, dass sie gerade dabei sind, bestimmte Server im Internet anzugreifen.
Eine DDoS-Attacke wird in der Regel sorgfältig vorbereitet. Zuerst wird ein Schadprogramm im Internet verteilt, das im Laufe der Zeit möglichst unbemerkt möglichst viele Internet-PCs befällt. Zu einem bestimmten Zeitpunkt starten alle infizierten PCs dann einen gezielten Angriff auf bestimmte Server.
Downloader
Als “Downloader” bezeichnet das BSI (Bundesamt für Sicherheit in der Informationstechnik) kleine Programme, die via E-Mail oder unter Ausnutzung einer Lücke im System auf einen Rechner geschmuggelt werden, um dort zunächst möglichst unauffällig gespeichert zu bleiben. Zu einem bestimmten Zeitpunkt wird das Programm aktiv und lädt aus dem Internet die eigentliche Schadsoftware nach. Ein solcher Downloader gehört zum üblichen DDoS-Szenario.
Packet-Sniffer
Das Wort “Sniffer” ist vom englischen Verb “to sniff” (schnüffeln, riechen) abgeleitet und lässt sich mit “Schnüffler” übersetzen. Doch anders, als der Name vermuten lässt, handelt es sich dabei nicht unbedingt um ein Schnüffel- und Spionageprogramm, sondern um ein wichtiges Werkzeug der Netzwerk-Analyse, mit dem sich Fehler in einem Netzwerk finden lassen. Allerdings kann ein Packet-Sniffer als Spionage-Tool missbraucht werden.
Ein Packet-Sniffer “schnüffelt” gewissermaßen dem Datenverkehr im Netzwerk hinterher, in dem er alle eintreffende und und abgehenden Datenpakete protokolliert. Darüberhinaus kann ein Sniffer unter Umständen auch Datenpakete protokollieren, die nicht für den Computer bestimmt sind, auf dem er installiert ist.