BlackNurse und Denial-of-Cloud-Business-Angriffe

Ein (ziemlich) neuer Angriff macht diese Woche die Runde. Ich sage (ziemlich) neu, weil der Angriff selbst nicht besonders originell ist. ICMP-Angriffe gibt es seit den 90er Jahren. Ich sage auch „eher neuartig“, weil dieser Angriff in krassem Gegensatz zu den aufsehenerregenden, groß angelegten Angriffen steht, die Schlagzeilen machen, wenn sie den Zugriff auf die Hälfte des Internets stören. Es handelt sich um einen DoS-Angriff (beachten Sie, dass es nur ein „D“ gibt, nicht zwei) auf bekannte und weit verbreitete Firewalls, der das Unternehmen ohne großen Aufwand in die Knie zwingen kann.

Ich werde Sie nicht mit Einzelheiten darüber langweilen, wie dieser ICMP-Angriff (Ping!), der (aus einem mir bisher nicht ersichtlichen Grund) BlackNurse genannt wird, funktioniert. Zu diesem Thema sind bereits zahlreiche Ressourcen und Kommentare verfügbar: Threat Post , El Reg , TDC SOC oder Netresec für den Anfang. Ich wollte jedoch darauf aufmerksam machen, dass dieser Angriff verheerende Auswirkungen auf die Geschäftswelt haben könnte, insbesondere auf jene Unternehmen, die in hohem Maße auf Cloud-basierte Anwendungen angewiesen sind. 

Denn hierbei geht es nicht nur darum, den Zugriff auf Apps von außen nach innen zu unterbrechen, sondern auch darum, den Zugriff auf Apps von innen nach außen zu unterbrechen. TDC SOC weist in seinem Bericht ausdrücklich darauf hin: „Während eines Angriffs können Benutzer auf der LAN-Seite keinen Datenverkehr mehr an das/vom Internet senden/empfangen.“

LAN-Seite. Das ist die geschäftliche Seite der Firewall.

Wir neigen dazu, Firewalls als taktische Antwort darauf zu betrachten, wie wir Angreifer aus unseren Unternehmensnetzwerken fernhalten können. Es sind die Mauern rund um die Burg, die Sandsäcke am Flussufer oder die Brandschneise in der Wildnis, die einen wütenden Brand stoppen soll. Doch Firewalls erfüllen in Unternehmen schon seit langem einen doppelten Zweck, d. h. sie kontrollieren auch den Zugriff von innen nach außen. Dies wurde schon früh genutzt, um Jugendlichen den Internetzugang zu sperren, und ist nach wie vor ein Mechanismus, um vorbeugende Maßnahmen gegen „Phone Home“-Versuche durch Schadsoftware und Viren zu ergreifen, die interne Systeme infizieren konnten.

Heutzutage ist für die Verbreitung cloudbasierter Produktivitäts-Apps ein Inside-Out-Zugriff erforderlich. Und wenn wir Cloud-basierte Apps verwenden, benötigen wir irgendwie Zugang zum Internet. Salesforce.com. Zustimmen. Google Dokumente. Soziale Medien. Die Liste der Anwendungen, die sich außerhalb des Unternehmens befinden und auf die das Unternehmen zugreifen muss, ist endlos und wächst ständig. Wie dieses anschauliche Diagramm von Skyhigh Networks zeigt, nimmt die Nutzung Cloud-basierter Anwendungen in Unternehmen stetig zu. In seinem Bericht für das vierte Quartal 2015 hieß es sogar: „Das durchschnittliche Unternehmen nutzt mittlerweile 1.154 Cloud-Dienste.“

Die Geschäftswelt ist unbestreitbar von der Cloud abhängig.

Das bedeutet, dass eine Unterbrechung des Zugriffs auf diese Dienste verheerende Auswirkungen auf die Produktivität hat, die in jedem Unternehmen einen der wichtigsten Leistungsindikatoren darstellt.

Daher ist ein Angriff wie BlackNurse, der relativ einfach durchzuführen ist und kaum mehr als einen einzigen Laptop erfordert, trotz seiner relativen Einfachheit unglaublich störend. Das Ziel solcher Angriffe ist einfach: Ressourcenverbrauch. Niedrige und langsame Angriffe, egal ob sie auf Firewalls oder Webserver abzielen, zielen darauf ab, Ressourcen zu binden, sodass das Gerät nicht auf legitime Anfragen reagieren kann. Das Problem besteht darin, dass solche Angriffe oft schwieriger zu erkennen sind als ihre volumetrischen Pendants. Es ist ein hohes Verkehrsaufkommen erkennbar. Es löst Alarme und rote Lichter aus und die Leute verstehen sofort, was los ist. Wir haben in den vergangenen zehn Jahren viel Energie darauf verwendet, herauszufinden, wie wir solche Angriffe bekämpfen können, und werden dabei glücklicherweise immer besser.

Einen leisen und langsamen Angriff zu erkennen ist allerdings schwieriger. Die CPU ist plötzlich bei 100 % ausgelastet und reagiert nicht mehr. Könnte ein Softwareproblem sein. Könnte ein Hardwareproblem sein. Könnte vieles sein. Das Durchsuchen der Protokolle nach der geringen Anzahl an Paketen, die für diese Art von Angriff repräsentativ sind, gleicht der Suche nach der Nadel im Heuhaufen. Den Forschern zufolge erzeugen die BlackNurse-Angriffe lediglich 15 bis 18 Mbit/s. Ja, Sie haben richtig gelesen. In diesem Takt gibt es kein „G“. Das sind etwa 40.000 bis 50.000 Pakete pro Sekunde, was für moderne Firewalls kein Problem ist. Im Gegensatz dazu lag der gegen Dyn registrierte DDoS-Angriff im Bereich von 1 Tbps. Das ist ein „T“, das größer ist als „G“ und viel größer als „M“.

Die Antwort auf solche Angriffe besteht normalerweise darin, Apps in die Cloud zu verschieben, wo Firewall-Dienste nicht durch antiquierte Konzepte wie „begrenzte Ressourcen“ eingeschränkt sind und mühelos und automatisch skaliert werden können. Dies ist jedoch nicht der Fall, da sich hinter der Firewall des Unternehmens noch immer Mitarbeiter befinden, die auf diese (und andere) Apps zugreifen müssen. Und genau ihr Zugriff wird gestört, wenn das Ziel die Unternehmens-Firewall ist, die zwischen ihnen und „der Cloud“ steht.

Die Produktivität leidet darunter.

Unternehmen müssen sich der potenziell gefährlichen Lage bewusst sein, die durch Angriffe entsteht, die sowohl den ausgehenden als auch den eingehenden Datenverkehr stören. Während es für BlackNurse bereits eine recht einfache Abhilfe gibt, gibt es wahrscheinlich andere, deren Abhilfe nicht so einfach ist.  Und in einer Welt, in der wir von den Anwendungen innerhalb und außerhalb der Firewall ebenso abhängig sind, müssen wir die Möglichkeiten solcher Angriffe genauer unter die Lupe nehmen.

Wenn Sie dies noch nicht getan haben, dann ist es höchste Zeit zu bewerten, wie abhängig Ihr Unternehmen von Apps „in der Cloud“ ist (oder sein wird) und wie Sie den Zugriff auf diese Apps am besten vor Bedrohungen schützen, die speziell darauf ausgelegt sind, Ihr Tagesgeschäft zu behindern.