OpenSSL Heartbleed – nicht mit myracloud

heartbleed

Heartbleed-Bug gefährdet SSL-Zertifikate

Der GAU für Verschlüsselung im Web – So titelt heise.de über einen der schwersten Bugs im Bereich der SSL-Verschlüsselung von Websites.

Alle bei myracloud betroffenen Systeme wurden kurzfristig nach erfolgreichem Testing mit dem Sicherheitsupdate versehen. Damit sind alle myracloud-Kunden automatisch vor dieser Sicherheitslücke geschützt.

Laut der OpenSSL-Foundation können Angreifer über diese Sicherheitslücke einen 64kB großen Teil des Memorys eines verbundenen Servers auslesen. (mehr Infos: CVE-2014-0160)

Wir raten allen Betreiber von Webservern ihre OpenSSL-Bibliothek ebenfalls schnellstmöglich auf Version 1.0.1g upzudaten. Frühere Versionen von OpenSSL sollten mit dem Flag OPENSSL_NO_HEARTBEATS erneut kompiliert werden. OpenSSL 1.0.2 wird mit dem Update auf 1.0.2-beta2 einen eigenen Fix für diese Schwachstelle erhalten.

Das Sicherheitskonzept von myracloud ermöglicht umfassend geschützten und sicheren Betrieb von Web-Applikationen. Dieser Anspruch wurde durch die schnelle Reaktion auf diese Sicherheitslücke einmal mehr unter Beweis gestellt.

Für Fragen zur Heartbleed-Schwachstelle und zu myracloud stehen wir Ihnen gerne unter +49 89 / 41 41 41 -345 zur Verfügung.

Veröffentlicht unter Allgemein | Kommentare deaktiviert

TCP SYN-Floods und ihre Abwehr

Jeder Internet-Nutzer, der mit einem Webbrowser auf eine Web-Seite zugreift, nutzt es, meistens ohne es zu bemerken. Gemeint ist TCP, das Transmission Control Protocol aus dem Jahre 1981 (RFC 793). Damals war nicht absehbar welche Bedeutung das Protokoll für die gesamte Welt haben würde.

Trotz seines Alters funktioniert das Protokoll bis heute. Jede Sekunde fließen Milliarden von TCP-Paketen durch die Kupfer- oder Glasfaser-Kabel rund um die Welt.

TCP hat allerdings einige Besonderheiten, die es angreifbar und insbesondere Webserver-Betreibern das Leben durch regelmäßige Denial of Service Attacken schwer machen.

Der erste Schritt bei der Etablierung einer TCP-Session ist der sogenannte Handshake. Dabei schickt der Rechner eines Webseiten-Besuchers ein sogenanntes SYN-Paket. Dadurch, dass ein Angreifer besonders viele SYN-Pakete sendet, kann eine Überlastung des Servers herbeigeführt werden.

Dagegen sind bestimmte Maßnahmen bekannt und können eingesetzt werden. Die bekannten Mittel haben jedoch alle signifikante Vor- und Nachteile, die im Folgenden dargestellt werden.

  • TCP-Stack ohne Schutz. Hier füllt sich die sogenannte Accept- oder Listen-Queue sehr schnell, so dass keine normalen Verbindungen mehr angenommen werden können. Der Angreifer erreicht sein Ziel, die “Abschaltung” des Dienstes. Die meisten Linux-Distributionen werden in diesem Zustand ausgeliefert.
  • TCP-Stack mit SYN-Cookies. Ist die Accept- oder Listen-Queue eines Dienstes erst mal gefüllt, kann der Server in den sogenannten zustandslosen SYN-Cookie-Modus umschalten. Linux und FreeBSD unterstützen das zum Beispiel, allerdings mit unterschiedlichen und abweichenden Methoden der Kodierung der Basisparameter wie MTU und Window-Size. Nachteil ist, dass bestimmte moderne Erweiterungen von TCP nicht unterstützt werden (Selective ACKs z.B.). Vorteil ist, dass bei leichten SYN-Floods bis mehrere hunderttausend Pakete pro Sekunde dieser Schutz ausreicht. Sobald diese Anzahl überschritten wird (>1mpps), sind allerdings die Kosten der Paketverarbeitung so signifikant, dass auch hier ein erfolgreicher Denial of Service (DoS) stattfindet.
  • TCP-Stack mit SYN-Cookies und vorgeschaltetem SYN-Rate-Limiting. Durch das Limitieren der Anzahl SYN-Pakete pro Sekunde kann ein TCP-Stack geschützt werden, so dass zumindest die bereits aktiven TCP-Sessions und UDP-Pakete verarbeitet werden können. Durch das Rate-Limiting wird jedoch generell ein großer Teil auch der validen Anfragepakete verworfen, was wiederum die Verfügbarkeit des Dienstes für den Nutzer einschränkt. Der Ansatz ist besser als ein Komplettausfall, aber erfüllt nicht den Anspruch der vollen Verfügbarkeit.

Wie geht man nun effektiv mit großen SYN-Floods um ohne die Verfügbarkeit einzuschränken? Für den DDoS-Schutz myracloud haben wir Kernelmodule entwickelt, die viel früher in die Paketverabeitung eingreifen und dadurch mit sehr geringer Latenz und ohne Network-Stack-Overhead SYN-Flood-Angriffe effektiv bekämpfen und abwehren. Der Ansatz funktioniert ohne jeglichen Zustand auf der Filterebene und braucht auch, anders als der für Linux 3.12 vorgeschlagene SYN-Proxy, keine Translation jedes(!) einzelnen(!) Paketes der so aufgebauten TCP-Session. Das ist effizienter, schneller und weniger fehleranfällig und bewältigt somit auch sehr große Angriffe mit minimalem Ressourcen-Verbrauch.

Veröffentlicht unter Allgemein | Kommentare deaktiviert

DDoS-Sicherung für SMTP-Server

Ab sofort bietet myracloud auch Schutz gegen DDoS-Angriffe auf SMTP-Systeme (Simple Mail Transfer Protocol).

Durch die meist sehr veraltete Prozess-Struktur von Mail Transfer Agents (MTA), die Emails annehmen und zustellen, sind solche Systeme besonders verwundbar. Das gilt insbesondere für sendmail, postfix, qmail und exim, die weiterhin sehr starke Verbreitung geniessen.

Bei einem solchen Angriff wird ein Botnet benutzt um Verbindungen zu Port 25 bzw. 587 aufzubauen. Auf dieser Verbindung schicken die Bots dann  sehr langsam Daten oder halten die Verbindung einfach nur offen und machen so eine Verwendung des Dienstes durch normale Nutzer unmöglich. Das Prinzip entspricht slowloris für Angriffe auf HTTP-Server.

Da pro Verbindung oftmals ein separater Prozess unter UNIX/Linux gestartet wird, werden so sehr schnell die Grenzen der jeweiligen Mailserver erreicht.

Effektiv kann das so angegriffene Unternehmen nicht mehr mit der Außenwelt per E-Mail kommunizieren. Was das konkret in der heutigen digitalen Welt für ein Unternehmen bedeutet, brauchen wir hier sicherlich nicht ausführen.

myracloud kann problemlos Angriffe auch größter Botnetze abfangen und neutralisieren, so dass Ihre Infrastruktur sowie Geschäft gesichert werden. Bei Fragen nehmen Sie einfach Kontakt auf.

Veröffentlicht unter Allgemein | Kommentare deaktiviert

NY-Times-Hack: DNS-Absicherung ist elementar

Cyber-Angriff auf nytimes.com
Wegen eines DNS-Hijacking Angriffs war die Website der New York Times für mehrere Stunden nicht mehr verfügbar. Einige Zeit war sogar das Logo der “Syrian Electronic Army” zu sehen.

New York Times hacked by Syrian Electronic Army

Die Website der New York Times war stundenlang nicht mehr erreichbar. Es wurde dieses Bild angezeigt.

Die Angreifer nutzten dafür eine gezielte Phishing-Attacke auf den Domain-Registrar Melbourne IT. Durch die Kontrolle der DNS-Server konnten die Angreifer eine präparierte Website mit ihrem Logo auf Anfragen auf die Domain nytimes.de ausliefern. Die Mailserver, welche auf “@nytimes.com” lauten, waren ebenfalls davon betroffen. Dies barg eklatante Sicherheitsrisiken für die gesamte Kommunikation im Unternehmen. E-Mails konnten auf diesem Wege abgefangen und umgeleitet werden.

Angriff trotzt Sicherheitstechnik möglich
Trotz umfangreichen Schutzes und Sicherheitsmaßnahmen für die Website konnte diese durch die Schwachstelle eines Dritt-Anbieters angegriffen werden.

Folgenschwere Auswirkungen hatte dabei vor allem die lange Time-to-live (TTL) der DNS-Einträge. Diese war auf einen Tag gesetzt. Änderungen am DNS-System, welche wieder die richtige Website der New York Times wieder angezeigt hätten, konnten erst nach einem Tag wirksam werden. So musste die Seite für diese Zeit komplett vom Netz genommen werden.

Spezialisierte Anbieter für Web-Sicherheit bieten mit ihren Produkten oft auch den Schutz des DNS-Systems an. Dieser sollte im Kontext dieser Vorfälle auch genutzt werden. Eine Umleitung per CNAME genügt in diesem Fall nicht und birgt Risiken für Ihre Sicherheit.

Schnelle Reaktionszeit durch kurze DNS-TTL
Wir empfehlen zur schnellen Abwehr und zur schnellen Reaktion auf HTTP-Angriffe daher eine möglichst kurze TTL. Diese sollte nicht mehr als 15 Minuten betragen.
Im Angriffsfall kann so schnelle Hilfe geleistet werden und der Schaden hält sich in Grenzen.

Vorbeugender Schutz gegen solche Angriffe, sowohl auf DNS-Ebene als auch für die Applikation selbst ist aber trotz allem das Mittel der Wahl. So werden Angriffe bereits geblockt, bevor sie Schaden anrichten können.

Konfigurieren Sie bereits jetzt Ihre DNS-TTL richtig und schützen Sie sich proaktiv vor Angriffen aus dem Web.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Kommentare deaktiviert

Automatisierter Angriffs-Schutz in der Praxis

Der DDoS-Schutz von myracloud funktioniert vollkommen automatisiert. So hat sich am Sonntag ein Kunde auf der Plattform selbst registriert und seine Domain eingerichtet.Wie die folgenden Graphen zeigen geschah das aus sehr konkretem Anlass.

gehtsrund

Was wir hier sehen sind zwei große SYN-Floods aus einem Botnet. Dass es sich um ein Botnet handelt, sieht man am Verhältnis der gesendeten zu empfangenen SYN-Cookies.
SYN-Cookies werden dann von uns automatisiert aktiviert, wenn gleichzeitig sehr viele Verbindungsanfragen einen Server erreichen.

gehtsrund3

Da dieser Angriff nicht erfolgreich war, wurde das Botnet zur GET-Flood-Schleuder umfunktioniert. Das zeigt der folgende Graph der HTTP-Anfragen an mehrere Anycast-Server. Dabei versucht der Angreifer durch sehr viele parallele Zugriffe einen Dienst lahmzulegen.

gehtsrund2

Auch hier hat myracloud effektiv gefiltert und im zweistelligen Millionen-Bereich HTTP-Anfragen abgefangen, so dass die geschützte Seite ohne Einschränkung funktionierte.

Bei Fragen zu myracloud kontaktieren Sie uns einfach unter vertrieb@myracloud.com bzw. telefonisch unter 089/414141-345.

Veröffentlicht unter Allgemein | Kommentare deaktiviert

Heftige Cyber-Crime Zeit

Das BKA warnt vor einer stetigen Zunahme der Online-Kriminalität. Auch in unserem Fokusgebiet waren die letzten 10 Tage sehr interessant.  In dieser Zeit fanden deutlich mehr Angriffe auf die myracloud-Kunden statt als sonst. Ein kleiner Auszug aus einer Location zeigt das deutlich:

Ausgewählte Angrifsspitzen

Die dabei benutzten Angriffe waren typischer Natur:

  • DNS Amplification
  • POST-Requests mit extrem großem Response Body
  • POST-Requests auf unsinnige URLs wie / und Suchformulare
  • SYN-Floods
  • GET-Floods ohne Muster

und diverse andere, weniger auffällige Angriffe. Gemein haben sie, dass der DDoS-Schutz myracloud die Angriffe automatisiert unschädlich macht und so den Online-Händler vor Image- und Umsatzverlust schützt.

Aus Gesprächen mit Ermittlungsbehörden können wir ausserdem ergänzen, dass die Aufklärungsquote bei dieser Art von Delikten sehr gering ist. Das BKA erwähnte in einer Pressemitteilung ca. 30%. Die Aufklärung der Verursacher von DDoS-Angriffen dürfte unserer Erfahrung nach sich eher in der Gegend von 0-2% bewegen.

BKA-Präsident: Cybercrime in fünf Jahren verdoppelt

Veröffentlicht unter Allgemein | Kommentare deaktiviert

DDoS-Attacke bremst das Internet aus

Neben den Angriffen auf die US-Banken macht zur Zeit eine weitere große DDoS-Attacke die Runde durch die News-Welt. Der Angriff auf das Spamhaus Project und der daraus resultierende Streit mit dem niederländischen Hoster CyberBunker hatte Auswirkungen auf das gesamte Internet.

Millionen Internetnutzer waren von der DDoS-Attacke auf Spamhaus betroffen.

Millionen Internetnutzer waren von der DDoS-Attacke auf Spamhaus betroffen.

Das Spamhaus Project, mit Sitz in der Schweiz, erstellt Blacklists, welche von Providern genutzt werden um Spam auszufiltern und zu blockieren. CyberBunker, ein niederländischer Hoster, bedient nach eigenen Angaben jede Art von Auftrag, solange es sich nicht um Kinderpornographie oder Terrorismus handelt.

Spamhaus setzte die IP-Range von CyberBunker nach der Identifizierung von Spam auf ihre Blacklist. Kurz darauf begannen die Angriffe auf die Infrastruktur von Spamhaus mit Hilfe einer DNS Amplification Attacke.

Diese Art der DDoS-Attacke nutzt Nameserver zur Verstärkung des Angriffs. In diesem Fall wurden laut arstechnica.com Anfragen mit einem DNS Request von 36 Bytes an die Server gestellt. Diese Anfragen verursachten eine Antwort mit über 3.000 Bytes. Die Angreifer konnten ihre Attacke dadurch nahezu 50-fach verstärken. Die im Artikel angegebene 100-fache Verstärkung trifft dabei nicht zu, da die anderen Header nicht berücksichtigt wurden (Ethernet 14 Bytes, IP 20 Bytes, UDP 8 Bytes). Die Mindestgröße von Paketen, die per Ethernet übertragen werden, beträgt 64 Bytes.

Durch den massiven Angriffstraffic wurde nicht nur die Website von Spamhaus lahmgelegt, sondern auch Millionen von Internetnutzern spürten ebenfalls die Auswirkungen. Webangebote waren teilweise nur verlangsamt oder gar nicht mehr erreichbar.

Spiegel Online berichtet nun, dass der niederländische Hoster CyberBunker wohl eine Schlüsselrolle bei diesem Angriff inne hatte. Der Betreiber von CyberBunker Sven Olaf Kamphuis erklärte in einem Interview mit der New York Times, Spamhaus nutze ihre Vormachtstellung im Internet aus. “Niemand hat Spamhaus dazu ermächtigt zu bestimmen, was im Internet erlaubt ist und was nicht”, sagte Kamphuis gegenüber der NYT.

Kamphuis hatte bereits in der Vergangenheit fragwürdige Bekanntheit erlangt. Er stand in Deutschland als Betreiber einer Vorgängerorganistion von CyberBunker vor Gericht. Damals ging es um den Schutz des Bittorrent Netzwerks “The Pirate Bay”.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , | Kommentare deaktiviert

Unternehmen zahlen 5.000€ pro Stunde, um sich von DDoS-Attacken zu erholen

5.000 Euro pro Stunde – so hoch sind die Kosten für Unternehmen, um sich von DDoS-Attacken zu erholen. Die Abwehr von anderweitig gelagerten Angriffen, wie Injections oder Malware schlägt nochmals mit ca. 3.000 Euro zu Buche.

Wie das Sicherheitsportal hotforsecurity.com berichtet, stellen DDoS-Angriffe, speziell angepasste Malware und die Sicherung von Web-Applikationen drei der bedeutensten Sicherheitsthemen für Unternehmen dar. Immer mehr Websites geraten in den Fokus der Kriminellen und die Angriffstechniken werden immer ausgefeilter.

Während vor ein paar Jahren noch Angriffe von einzelnen Computern und ohne klare Struktur gestartet wurden, organisieren sich die Angreifer heute in großen Strukturen und nutzen Bot-Netze zu gezielten Angriffen. Sogar das Ziel selbst wird dabei wohl überlegt angegriffen. Die DDoS-Attacken zielen dabei nicht nur auf die Bandbreite der Websites, sondern im Falle der Angriffe auf den US-Bankensektor auch gezielt auf kleine Schwachstellen im System [siehe: securitybistro.com]. Der effektive Schutz gegen solche Angriffe gestaltet sich daher zunehmend schwieriger.

Kommt es zum Angriff und zum Ausfall der Website entstehen hohe Kosten. Der Verlust von Umsatz, das Bilden einer eigenen Task-Force zur Abwehr des Angriffs, sowie die Investition in neue Sicherheitstechnik kann daher schnell teuer werden. Zu diesen Kosten kommen der Imageverlust und der Rückgang der Produktivität während eines solchen Ausfalls.

Um im Angriffsfall nicht ungeschützt und verwundbar da zu stehen, sollte man sich bereits vorher über Sicherheitsmaßnahmen für seine Website informieren und diese in seine Strukturen einbinden. Dabei hilft es schon die Time-To-Live (TTL) für den DNS-Eintrag der Website auf einen kurzen Wert zu setzen. Im Notfall kann somit schneller Hilfe geleistet werden.

Wird ein effektiver Schutz gegen solche Angriffsszenarien verwendet, sind auch bei stärkeren Angriffen keine negativen Folgen zu befürchten und die Website bleibt trotz des laufenden Angriffs für Besucher und Kunden erreichbar.

 

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , , , , , , , | Kommentare deaktiviert

DDoS-Attacken greifen um sich

DDoS greift um sich

Die finanzwelt.de wurde lahmgelegt, tschechische Online-Medien waren tagelang nicht erreichbar, github.com stand zwei Tage unter Beschuss, JPMorgan Chase ist Opfer eines Überlastungsangriffs – die Liste der DDoS-Attacken wird jeden Tag länger. Unabhängig vom Motiv der Angreifer, kann jede Website zum direkten oder indirekten Opfer eines Angriffs werden. Oftmals sind ganze Rechenzentren durch Angriffe überlastet, so dass man quasi als Kollateralschaden bei einem Angriff mit unter geht.

Das eigentliche Problem: Botnetze

Mit steigenden Bandbreiten im Privatkundenbereich und der schieren Menge infizierter Rechner wird es Tag für Tag einfacher große Websites mittels DDoS außer Gefecht zu setzen. Botnetze kann man sich leider sogar mieten.

Die effektive Lösung: size does matter

Der enormen Bandbreite der Botnetz-Angriffe kann man effektiv nur über Bandbreite entgegen treten. Mit dem richtigen Cloud-Partner kann man sich bei aktuellen DDoS-Angriffen sogar innerhalb von Minuten schützen lassen.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Kommentare deaktiviert

Sicherheitstacho der Telekom

Die Telekom betreibt ein kleines Netz mit 97 Knoten aus Honeypots, um nicht angeforderte Pakete und somit netzweite Scans auf Verwundbarkeiten zu entdecken.

Das Ganze gibt es auch mit ansprechender Visualisierung. Interessanterweise ist Deutschland Nummer 3 der angreifenden (nicht angegriffenen) Länder. Das deckt sich mit unserer Erfahrung, dass es schwer ist bestimmte Botnetze einfach IP-mäßig auszubremsen, da wir im deutschen Netz offenbar genügend infizierte Rechner haben, die zu den Angriffen beitragen.

Zur kurzweiligen Unterhaltung auf jeden Fall nicht schlecht.

-> www.sicherheitstacho.eu

Veröffentlicht unter Allgemein | Verschlagwortet mit , | Kommentare deaktiviert