Grund der Störungen des Internets der letzten Tagen wurde bekannt gegeben!

[h=1]Spamattacke war weltweit im Internet zu spüren[/h] Ein Spamkrieg hat seit einer Woche für erhebliche Störungen und Verlangsamungen im gesamten Internet gesorgt. Laut Experten sei eine der bisher größten Cyberattacken weltweit spürbar gewesen, die Aufklärung des Vorfalls wurde aber erst jetzt einer breiten Öffentlichkeit bekannt. Ziel der Attacke war Spamhaus, eine in Genf ansässige NGO, die Internetprovidern hilft, Spam zu blockieren.

[h=2]Niederländische Firma auf schwarze Liste gesetzt[/h]Zu diesem Zweck setzte die Organisation auch das niederländische Unternehmen Cyberbunker auf eine schwarze Liste. Der Anbieter akzeptiert bei Kunden laut BBC alle Inhalte mit Ausnahme von Kinderpornografie und potenziell terroristischem Material. Ein Sprecher der Firma beklagte, dass Spamhouse seine Position missbrauchen würde. Es sollte nicht sein, dass eine Organisation entscheiden dürfe, was im Internet erlaubt ist.

[h=2]Attacken lösten Dominoeffekt aus[/h]Bereits zuvor, ab 19. März, hatte das Bombardement mit Anfragen auf Spamhaus begonnen, sogenannte DDoS-Attacken wurden gegen den Webserver der Organisation gerichtet. Zudem wurde dann aber auch die DNS-Server angegriffen, also jenes System, das den numerischen IP-Adressen die Namen der URLs zuweist. So entstand ein Dominoeffekt, bei dem auch andere DNS-Server und damit schließlich das weltweite Netz betroffen waren. Vor allem Videostreaming hätte gelitten, auch andere Verbindungen seien verlangsamt gewesen, heißt es.

[h=2]„Größte DDoS-Attacke in der Geschichte“[/h]Insgesamt hätten die Attacken über eine Woche gedauert, so Spamhaus-Chef Steve Linford gegenüber der BBC. Die Spitzen hätten eine Stärke von 300 Gigabits pro Sekunde erreicht. Bei durchschnittlichen Cyberangriffen, etwa gegen große Banken seien es etwa 50. Linford verdächtigt Cyberbunker gemeinsam mit „kriminellen Banden“ aus Osteuropa und Russland hinter den Attacken.
Patrick Gilmore, Experte bei der Softwarefirma Akamai, meinte gegenüber der „New York Times“, es habe sich um die größte bekanntgewordene DDoS-Attacke in der Geschichte des Internets gehandelt.

Publiziert am 27.03.2013

Spamattacke war weltweit im Internet zu spüren - news.ORF.at

7.03.2013 16:02

[h=1]Wuchtige DNS-DDoS-Attacke auf Spamhaus[/h]

Nahezu unbemerkt von der Öffentlichkeit ereignete sich in der vergangenen Woche die bislang heftigste Distributed-DoS-Attacke in der Geschichte des Internet. So berichtet zumindest die New York Times und beruft sich bei dieser Einschätzung auf Aussagen eines hochrangigen Mitarbeiters des Content-Distribution-Providers Akamai. Ziel des Angriffs war die Antispam-Organisation Spamhaus.

Spamhaus war zuvor offensichtlich einigen Spam-Versendern heftig auf die Füße getreten. Die Organisation hatte IP-Adressblöcke des als Spammer-freundlichen niederländischen Hosters Cyberbunker auf seine Blacklist gesetzt. Weil nahezu 80 Prozent aller Antispam-Filter maßgeblich diese schwarze Liste einsetzen und damit Cyberbunker nun blockten, konnten Cyberbunker-Kunden plötzlich kaum noch Mails absetzen.

Kurz danach, am 19. März, startete eine zunächst gemäßigte, dann stark anschwellende DDoS-Attacke auf die Webserver von Spamhaus. Zu Peak-Zeitpunkten erreichte dieser Angriff nach Akamai-Angaben eine Datenflut-Stärke von bis zu 300 GBit/s. Bereits einige Stunden nach dem Beginn der Attacke hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt. In einem Blog-Beitrag beschreibt dessen Chef, Matthew Prince, den Verlauf und analysiert die angewandte Technik.
Den meisten sinnlosen Traffic erzeugten die Angreifer demnach mit einer "DNS Amplification Attack" oder auch "DNS Reflection Attack". Bei dieser bereits ausgiebig durchleuchteten Methode kommt zum Tragen, dass es auf dem Globus tausende offene DNS-Server gibt, die auf jede Anfrage ungeprüft reagieren. Die Angreifer senden Anfragen mit der gespooften IP-Adresse ihres Opfers an den "Open Resolver" – die Antwort kommt beim Opfer an.

Im konkreten Fall war jede Anfrage etwa 36 Byte lang. Angefragt wurde ein DNS-Zonen-File von rund 3000 Zeichen Länge. Jede Anfrage wurde also von den DNS-Servern fast um den Faktor 100 verstärkt. Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Prince. Die Angreifer haben demzufolge gerade einmal 750 MBit/s abgehende Bandbreite benötigt, um eine durchschnittliche Traffic-Last von 75 GBit/s beim Opfer zu erzeugen. Es sei also nicht einmal ein großes Botnet nötig gewesen, um die Website vom Spamhaus aus dem Netz zu fegen.

Cloudflare-Chef Prince scheute sich nicht, die DNS-Reflection-Methode mit einer Nuklearwaffe zu vergleichen: "Es ist so leicht, riesigen Schaden anzurichten." Patrick Gilmore von Akamai sagte, der Angriff sei so abgelaufen, als habe jemand mit einem Maschinengewehr in die Menschenmenge geschossen, um eine Person zu töten. Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet. Webseiten seien teilweise nicht erreichbar gewesen, Streaming-Services wie Netflix seien spürbar ins Stocken geraten. ("[email protected]")
Wuchtige DNS-DDoS-Attacke auf Spamhaus | heise Security

Cu
Verbogener

[h=1]Interview mit dem Spamhaus-Sprecher Richard Cox (03/2011)[/h] [h=2]Unbeteiligte als Schutzschilde[/h] Spamhaus bietet eine ganze Familie von Blacklists an, meist zum Schutz von Mail-Anwendern eingesetzt. Kaum eine Organisation weiß so viel über die Hintermänner des Werbemülls. iX befragte den Spamhaus-CIO dazu – und zur steten Kritik an Blacklists.

Bild: Spamhaus Peer Heinlein,

iX: Herr Cox, was halten Spammer von Spamhaus?

Richard Cox, Spamhaus: Es gibt zu viele verschiedene Typen von Spammern, als dass man darauf eine einfache Antwort geben könnte. Auf der einen Seite versteht ein Großteil von ihnen, dass wir einen Job zu erledigen haben. Tatsächlich unternehmen etliche nicht unerhebliche Anstrengungen, sich selbst vor Spam zu schützen. Ironischerweise nutzen sie dabei sogar unsere ZEN-Blacklist. Diese Spammer haben also durchaus verstanden, dass Spam nicht willkommen ist. Auf der anderen Seite beharren andere auf dem von ihnen proklamierten „Recht zu spammen“, was in Wirklichkeit überhaupt nicht als „Recht“ existiert: Das Recht auf Redefreiheit beinhaltet nicht, jemanden zwingen zu können, zuzuhören.
Aus diesem Grund blockiert Spamhaus selbst auch gar keine E-Mails, wie immer wieder fälschlicherweise behauptet. Wir liefern lediglich Informationen, anhand derer andere basierend auf ihren eigenen Richtlinien entscheiden können, welche E-Mails sie nicht annehmen möchten.

Was ist Spamhaus genau? Ein ehrenamtliches Projekt, eine Non-Government-Organisation (NGO) oder ein kommerzieller Anbieter?
Cox: Spamhaus ist eine internationale Organisation, eine britische „Limited Company“. Aber wir beschäftigen unabhängige Ermittler auf der ganzen Welt.

Spamhaus bietet eine erstaunliche Fülle an Informationen über diverse Spam-Versender und andere Täter, die das Internet für ihre Zwecke missbrauchen.

Unser Hauptsitz liegt in der Avenue Louis Casaï in Genf. Die Firma ist jedoch „non-profit“, um sicherzustellen, dass wir unparteiisch handeln und finanzielle Interessen im Einzelfall keine Rolle spielen.

Spamhaus veröffentlicht im Projekt ROKSO (Records Of Known Spam Operations) überraschend viele Details über Spammer und deren Aktivitäten. Sie benennen Spammer mit Namen, manche sind sogar mit Foto veröffentlicht. Woher stammen all diese Informationen?
Cox: Wir haben dafür viele verschiedene Quellen – fast alle sind öffentlich zugänglich. Vertrauliche Informationen aus anderen Quellen veröffentlichen wir nicht, solange sie nicht mindestens aus zwei (häufig sogar mehr) weiteren Quellen verifiziert sind.

Warum lassen sich selbst solche öffentlich bekannten Spammer kaum stoppen?
Cox: Spammer nutzen laufend wechselnde Tarnidentitäten. Neuerdings missbrauchen sie unbeteiligte Dritte als Opfer, um in deren Namen Hosting-Dienste einzukaufen. Außerdem wird es immer Hosting-Anbieter geben, die sich das gute Geschäft mit Spammern nicht entgehen lassen.

Ganz ehrlich: Sind Sie schon einmal mit einem Spammer ein Bier trinken gegangen?
Cox: Ja – warum auch nicht? Wir machen unsere Arbeit objektiv und haben etwas dagegen, was Spammer tun. Aber da ist nie eine zwischenmenschliche Zwietracht im Spiel. Außerdem: Man weiß nie, was einem Spammer nach ein paar Bier versehentlich rausrutscht.

Anbieter von DNS-Blacklists geraten ja immer wieder in die Kritik, sie würden Server zu schnell oder sogar ganz ohne Grund aufnehmen.
Cox: Spamhaus ist sich der Auswirkungen von „false positives“ auf Betroffene durchaus bewusst. Wir unternehmen große Anstrengungen, sie zu verhindern oder zumindest schnell zu bemerken. Außerdem ist rund um die Uhr ein Teammitglied online, das Probleme sofort beheben kann. Allerdings nutzen manche Hosting-Anbieter ihre unbeteiligten Kunden sogar als Schutzschilde, um die gehosteten Spammer zu schützen – denn die zahlen schließlich gut dafür. Doch das müssen die betroffenen Kunden mit ihrem Anbieter klären.
Aber verantwortungsvollen Providern geben wir – wann immer möglich – die Chance, ihr Problem zu beheben, bevor wir sie listen. Und die meisten nutzen sie dann ja auch.

Warum sollte ein Unternehmen auf DNS-Blacklists vertrauen?

Cox: Ich kann nicht für andere DNSBLs sprechen, von denen es eine ganze Menge gibt. Aber soweit es Spamhaus angeht, haben wir uns nach zwölf Jahren eine hohe Reputation in Sachen Integrität und Unparteilichkeit erarbeitet. Rund 1,5 Milliarden Mailboxen sind mit Spamhaus geschützt, Tendenz steigend. Das zeigt, dass viele Unternehmen unsere Ergebnisse für sehr verlässlich halten.

Wer einen DNSBL-Anbieter dafür nutzt, eingehende E-Mails zu filtern, macht sich im hohem Maße von der Verfügbarkeit der jeweiligen DNS-Infrastruktur abhängig. Wie stellt Spamhaus seinen DNS-Betrieb sicher?
Cox: Es läuft fast immer irgendein Distributed-Denial-of-Service-Angriff (DDoS) gegen Spamhaus, aber wirklich spürbare Auswirkungen erreicht kaum einer. Wir haben unser Netzwerk sorgfältig konzipiert und einige erfahrene Techniker, die fast alle Angriffe schnell in den Griff bekommen. Für den Fall, dass ein DDoS-Angriff dennoch Schaden anrichtet, haben wir einen direkten Draht zu Ansprechpartnern an den Schaltstellen des Netzes, die das Spiel beenden können. Aber es ist schon sehr lange her, dass wir darauf zurückgreifen mussten.

Im Jahr 2007 hat Spamhaus die österreichische Domain-Registry „nic.at“ in der SBL-Zone aufgeführt und den Betreiber beschuldigt, spam-freundlich zu sein, also nicht in geeigneter Weise gegen Missbrauch vorzugehen. Dafür hat Spamhaus herbe Kritik einstecken müssen. Nicht wenige sehen darin den Beweis, dass man Blacklists im Grunde nicht vertrauen kann.
Cox: Die österreichische Registry – ein Privatunternehmen und nicht etwa eine staatliche Organisation – nutzte ein ziemlich merkwürdiges System, das die Domains der Spammer vor einer Abschaltung schützte. In diesem Fall handelte es sich größtenteils um Phishing-Domains. nic.at lehnte jede dahingehende Anfrage mit dem Verweis ab, dass Abschaltungen von Domains eine Sache der jeweiligen Registrare, nicht aber der Registry selbst seien. Gleichzeitig war es jedoch unmöglich, über den Whois-Server von nic.at herauszufinden, wer denn nun der jeweilige Registrar einer Domain war, also der Provider, der einen Spammer ins Internet brachte.
Wegen Abschaltungen von Domains mussten wir also zunächst per E-Mail bei nic.at nachfragen und auf eine Antwort warten, und das oft ziemlich lange. Erst dann konnte man sich an den Registrar wenden, um die Domain abschalten zu lassen. Aber bis das endlich passierte, hatte der Phisher die Domain eh bereits aufgegeben und war mit dem gestohlenen Geld bereits über alle Berge.

Spamhaus hat damals viel Kraft investiert, das Problem dem Betreiber der nic.at-Registry, Richard Wein, zu erklären, doch der schien kein Interesse daran zu haben, seine Top-Level-Domain gegen Cyberkriminalität zu schützen. Glücklicherweise wirkte das Listing in unserer SBL-Zone sehr schnell und nic.at nahm die notwendigen Änderungen vor. Es gab keine weiteren Schwierigkeiten, aber einige Leute halten .at-Domains seitdem für suspekt. Das liegt an der international beschädigten Reputation durch die Reaktionen von nic.at.

Im Nachhinein betrachtet: War es ein Fehler, nic.at zu listen?
Cox: Nein. Es war eine Notwendigkeit – auch wenn wir sie sehr bedauern.

Warum ist es so schwierig, große ISPs wie Orange (Frankreich), KPN (Niederlande), Telecom Italia oder Bell-Nexxia (Kanada) dazu zu bringen, mehr gegen Spam und anderen Missbrauch aus ihren Netzen zu tun?
Cox: Die meisten großen ISPs – wie KPN – haben wirksame Sicherheitsmaßnahmen eingeführt. Andere sind nicht so verantwortungsvoll, wie wir es gerne hätten. Man muss sich klarmachen, dass die Rentabilität bei Breitband-Anbietern stetig bergab geht und den Abuse-Abteilungen dementsprechend nur ein kleines Budget zur Verfügung steht. Nur wenn nationale Regierungen die Provider für die Sicherheit ihrer Netze in die Pflicht nehmen, können wir auf einen akzeptablen Standard hoffen.

Apropos Pflichten: Ein Blick auf legale Massenmailings sollte nicht fehlen. Welche Empfehlungen können Sie Anbietern von Newsletter-Diensten geben, damit sie nicht in Konflikt mit Blacklists und anderen Anti-Spam-Systemen geraten?
Cox: Unsere Empfehlung für professionelle Massenmail-Anbieter ist einfach: Stellen Sie sicher, dass sich alle Empfänger zuverlässig selbst eingetragen haben („Opt-in“). Wir empfehlen dazu das „Round-Trip-Modell“, das nach unserer Erfahrung funktioniert. Außerdem sollte man die verschiedenen Best-Practice-Dokumente lesen, die die Messaging Anti-Abuse Working Group (MAAWG) veröffentlicht hat (http://www.maawg.org).

Lassen Sie uns zum Abschluss einen Blick in die Zukunft werfen: Wie sehen unsere Mailboxen in fünf oder zehn Jahren aus?
Cox: Das lässt sich schwer vorhersagen. E-Mail könnte bis dahin längst durch andere Technologien ersetzt worden sein. Falls E-Mail dann eine ähnliche Rolle spielt wie heute, wird es die Möglichkeit, dass jeder einfach einen Mailserver in Betrieb nehmen kann, nicht mehr geben. IPv6 wird dazu führen, dass Systeme verstärkt auf Whitelists zurückgreifen, die vertrauenswürdige Absender aufführen – ein Grund, warum wir vor Kurzem die „Spamhaus Whitelist“ gestartet haben (http://www.spamhauswhitelist.com).
Natürlich bleibt Spamhaus dem Prinzip treu, dass E-Mail grundsätzlich frei verfügbar sein muss und nicht nur einige wenige große Anbieter agieren können. Auch deswegen sind unabhängige Whitelist-Anbieter notwendig.

Spamhaus führt darum einige neue Listen ein, eine davon ist beispielsweise unsere „DBL“, die „Domain Block List“. Die DBL dient bereits dazu, Domainnamen im Inhalt von E-Mails zu prüfen, aber sie wird noch an Bedeutung gewinnen, wenn der neue DNS-RPZ-Patch (Response Policy Zones) für „Bind“ vollständig umgesetzt ist. Nameserver können damit DNS-Abfragen zu Domains blockieren, die als gefährlich gelten, etwa weil sie zu Phishing-Webseiten oder Malware-Download-Quellen führen. Zudem lassen sich Domains blockieren, die kriminelle, aber ICANN-akkreditierte Registrare für sich reserviert haben – mit anderen Worten: Domains, die unter direkter oder indirekter Kontrolle Krimineller stehen. ("[email protected]")

Das Interview für die iX führte Peer Heinlein per E-Mail

[h=4]Spamhaus-Blacklists im Überblick[/h] Die Nutzung der Spamhaus-Blacklists ist für den nichtkommerziellen Einsatz bis 100.000 E-Mails am Tag kostenlos: Über 50 öffentliche DNS-Server stellt Spamhaus dafür bereit. Wer dieses Volumen überschreitet oder die Listen kommerziell einsetzt, muss die Nutzung von Spamhaus jedoch lizenzieren, um die DNS-Infrastruktur gegenzufinanzieren – dann stehen neben eigens reservierten DNS-Servern auch komplette Zonentransfers per rsync zur Verfügung, mit denen sich die DNS-Daten lokal nutzen lassen.
SBL (Spamhaus Block List): sbl.spamhaus.org listet IP-Adressen, von denen man nach Meinung von Spamhaus aus Sicherheitsgründen keine Mails empfangen sollte. Grundlage sind konkrete Spam-Ereignisse von diesen Adressen, die Spamhaus analysiert und in die Datenbank eingespeist hat.

XBL (Exploits Block List): xbl.spamhaus.org beinhaltet gehackte Server oder Desktop-PCs, die zu Botnetzen gehören. Die XBL-Daten von Spamhaus enthalten die zwei bekannten Listen cbl.abuseat.org und die Open-Proxy-Einträge von njabl.org.

PBL (Policy Block List): pbl.spamhaus.org führt die IP-Adressen auf, die große Internet-Provider als zu Dialup-Bereichen gehörend registriert haben. In anderen DNSBLs heißen solche Listen auch „Dialup User Lists“ (DUL). Viele Postmaster vertreten die Auffassung, dass von diesen Dialup-Adressen grundsätzlich keine direkt versendeten Mails ausgehen dürfen. Welche IP-Adressen eines Providers auf DULs gelistet sind, legt nicht Spamhaus, sondern der jeweilige ISP selbst fest.

ZEN: zen.spamhaus.org umfasst die kombinierten Daten der drei Listen SBL, XBL und PBL. Wer ohnehin alle drei abfragen will, nutzt also besser die ZEN-Liste.
DROP (Don’t Route Or Peer): Übernommene oder insolvente Unternehmen hinterlassen bisweilen unbenutzte, gleichwohl ordentlich registrierte IP-Netze. Mittels eigener BGP-Routen lassen sich diese entführen und für Angriffe oder zum Spamversand missbrauchen. IP-Adressen, die drop.spamhaus.org aufführt, sollte also schon die Firewall blockieren.
DBL (Domain Block List): Enthält keine IP-Adressen, sondern Domains, die in Spam-Mails beworben oder für Phishing-Zwecke genutzt werden. Eine DBL kommt darum in der Regel nicht auf dem Mailserver (MTA) selbst, sondern im Rahmen einer nachgelagerten Inhaltsfilterung zum Einsatz, etwa mit SpamAssassin.
Peer Heinlein

Dieser Text ist der Zeitschriften-Ausgabe 03/2011 von iX entnommen.

Interview mit dem Spamhaus-Sprecher Richard Cox | iX

Cu
Verbogener