BlackNurse und Denial-of-Cloud-Business-Angriffe

Ein (ziemlich) neuer Angriff macht diese Woche die Runde. Ich sage (ziemlich) neu, weil der Angriff selbst nicht besonders originell ist. ICMP-Angriffe gibt es seit den 90er Jahren. Ich sage auch „eher neuartig“, weil dieser Angriff in krassem Gegensatz zu den aufsehenerregenden, groß angelegten Angriffen steht, die Schlagzeilen machen, wenn sie den Zugriff auf die Hälfte des Internets stören. Es handelt sich um einen DoS-Angriff (beachten Sie, dass es nur ein „D“ gibt, nicht zwei) auf bekannte und weit verbreitete Firewalls, der das Unternehmen ohne großen Aufwand in die Knie zwingen kann.

Ich möchte Sie nicht mit Details zu diesem ICMP-Angriff (ping!) namens BlackNurse belasten – wieso er so heißt, hat sich mir bisher nicht erschlossen. Zu diesem Thema finden Sie bereits viele fundierte Quellen und Kommentare: Threat Post, El Reg, TDC SOC oder Netresec sind ein guter Anfang. Worauf ich hinweisen möchte, ist der verheerende Schaden, den dieser Angriff insbesondere für Unternehmen verursacht, die stark auf Cloud-Anwendungen setzen. 

Denn hierbei geht es nicht nur darum, den Zugriff auf Apps von außen nach innen zu unterbrechen, sondern auch darum, den Zugriff auf Apps von innen nach außen zu unterbrechen. TDC SOC weist in seinem Bericht ausdrücklich darauf hin: „Während eines Angriffs können Benutzer auf der LAN-Seite keinen Datenverkehr mehr an das/vom Internet senden/empfangen.“

LAN-Seite. Das ist die geschäftliche Seite der Firewall.

Wir neigen dazu, Firewalls als taktische Antwort darauf zu betrachten, wie wir Angreifer aus unseren Unternehmensnetzwerken fernhalten können. Es sind die Mauern rund um die Burg, die Sandsäcke am Flussufer oder die Brandschneise in der Wildnis, die einen wütenden Brand stoppen soll. Doch Firewalls erfüllen in Unternehmen schon seit langem einen doppelten Zweck, d. h. sie kontrollieren auch den Zugriff von innen nach außen. Dies wurde schon früh genutzt, um Jugendlichen den Internetzugang zu sperren, und ist nach wie vor ein Mechanismus, um vorbeugende Maßnahmen gegen „Phone Home“-Versuche durch Schadsoftware und Viren zu ergreifen, die interne Systeme infizieren konnten.

Heutzutage ist für die Verbreitung cloudbasierter Produktivitäts-Apps ein Inside-Out-Zugriff erforderlich. Und wenn wir Cloud-basierte Apps verwenden, benötigen wir irgendwie Zugang zum Internet. Salesforce.com. Zustimmen. Google Dokumente. Soziale Medien. Die Liste der Anwendungen, die sich außerhalb des Unternehmens befinden und auf die das Unternehmen zugreifen muss, ist endlos und wächst ständig. Wie dieses anschauliche Diagramm von Skyhigh Networks zeigt, nimmt die Nutzung Cloud-basierter Anwendungen in Unternehmen stetig zu. In seinem Bericht für das vierte Quartal 2015 hieß es sogar: „Das durchschnittliche Unternehmen nutzt mittlerweile 1.154 Cloud-Dienste.“

Die Geschäftswelt ist unbestreitbar von der Cloud abhängig.

Das bedeutet, dass eine Unterbrechung des Zugriffs auf diese Dienste verheerende Auswirkungen auf die Produktivität hat, die in jedem Unternehmen einen der wichtigsten Leistungsindikatoren darstellt.

Daher ist ein Angriff wie BlackNurse, der relativ einfach durchzuführen ist und kaum mehr als einen einzigen Laptop erfordert, trotz seiner relativen Einfachheit unglaublich störend. Das Ziel solcher Angriffe ist einfach: Ressourcenverbrauch. Niedrige und langsame Angriffe, egal ob sie auf Firewalls oder Webserver abzielen, zielen darauf ab, Ressourcen zu binden, sodass das Gerät nicht auf legitime Anfragen reagieren kann. Das Problem besteht darin, dass solche Angriffe oft schwieriger zu erkennen sind als ihre volumetrischen Pendants. Es ist ein hohes Verkehrsaufkommen erkennbar. Es löst Alarme und rote Lichter aus und die Leute verstehen sofort, was los ist. Wir haben in den vergangenen zehn Jahren viel Energie darauf verwendet, herauszufinden, wie wir solche Angriffe bekämpfen können, und werden dabei glücklicherweise immer besser.

Einen leisen und langsamen Angriff zu erkennen ist allerdings schwieriger. Die CPU ist plötzlich bei 100 % ausgelastet und reagiert nicht mehr. Könnte ein Softwareproblem sein. Könnte ein Hardwareproblem sein. Könnte vieles sein. Das Durchsuchen der Protokolle nach der geringen Anzahl an Paketen, die für diese Art von Angriff repräsentativ sind, gleicht der Suche nach der Nadel im Heuhaufen. Den Forschern zufolge erzeugen die BlackNurse-Angriffe lediglich 15 bis 18 Mbit/s. Ja, Sie haben richtig gelesen. In diesem Takt gibt es kein „G“. Das sind etwa 40.000 bis 50.000 Pakete pro Sekunde, was für moderne Firewalls kein Problem ist. Im Gegensatz dazu lag der gegen Dyn registrierte DDoS-Angriff im Bereich von 1 Tbps. Das ist ein „T“, das größer ist als „G“ und viel größer als „M“.

Lösung bei solchen Angriffen ist meist, Anwendungen in die Cloud zu verlagern, wo Firewall-Dienste nicht durch veraltete Konzepte wie „begrenzte Ressourcen“ eingeschränkt sind und sich problemlos sowie automatisch skalieren lassen. Doch das trifft nicht zu, denn im Unternehmen gibt es immer noch Mitarbeiter hinter der Unternehmensfirewall, die auf diese und andere Anwendungen zugreifen müssen. Und genau ihr Zugriff wird gestört, wenn die Unternehmensfirewall als Barriere zwischen ihnen und „der Cloud“ angegriffen wird.

Die Produktivität leidet darunter.

Unternehmen müssen sich der potenziell gefährlichen Lage bewusst sein, die durch Angriffe entsteht, die sowohl den ausgehenden als auch den eingehenden Datenverkehr stören. Während es für BlackNurse bereits eine recht einfache Abhilfe gibt, gibt es wahrscheinlich andere, deren Abhilfe nicht so einfach ist.  Und in einer Welt, in der wir von den Anwendungen innerhalb und außerhalb der Firewall ebenso abhängig sind, müssen wir die Möglichkeiten solcher Angriffe genauer unter die Lupe nehmen.

Wenn Sie dies noch nicht getan haben, dann ist es höchste Zeit zu bewerten, wie abhängig Ihr Unternehmen von Apps „in der Cloud“ ist (oder sein wird) und wie Sie den Zugriff auf diese Apps am besten vor Bedrohungen schützen, die speziell darauf ausgelegt sind, Ihr Tagesgeschäft zu behindern.