Fidor Bank AG – Erst der Angriff, dann die Erpressung

 in Allgemein, Finanzen, Sicherheit



Die Frage ist nicht, ob man einen DDoS-Schutz benötigt, sondern wann ein Unternehmen zum ersten Mal das Opfer eines DDoS-Angriffs (Distributed-Denial-of-Service-Attacken) wird.

Seit Freitag, 24.10.2014, ca. 18.30 Uhr ist die Fidor Bank Ziel mehrerer DDoS-Attacken, wie die Bank selbst auf Ihrer Facebook Seite berichtet.

Wie die Fidor Bank aus einer Email zitiert möchte der oder die Angreifer eine bis hierhin nicht genannte Summe damit die so genannten SYN-Floods eingestellt werden.

1
2
3
4
5
6
7
8
9
10
11
 „Secure-Mail User <LosCaballeros@secure-mail.biz>
Hallo,
 
wie sie hoffentlich festgestellt haben, haben wir ihre Webseite
für 5 Stunden offline genommen. Wir geben ihnen Zeit bis zum
25.10.2014 13:00Uhr sich bei uns zu melden zwecks Zahlngsvereinbarung.
Sollten sie sich nicht melden, sehen wir uns gezwungen, ihre Webseite
für längere Zeit offline zu nehmen. Der erste Angriff war nur normaler
Syn Flood mit 2% unserer Ressourcen sollten sie sich weigern erhöhen
wir unsere Ressourcen gerne.
MfG„

Momentan sind alle Services wie gewohnt wieder erreichbar, was mich als Kunde der Fidor Bank AG sehr freut. Erfreulich ist es also mit anzusehen, das das gesamte IT-Team der Bank auch an einem Wochenende zur Verfügung steht.

Auch der VoiP-Anbieter sipgate wurde jüngst Opfer der selben Vorgehensweise. Hier findet man unter https://status.sipgate.de/ einen ausführlichen Status.

Der Bankenvorstand Matthias Kröner und auch das SocialMedia-Team der Fidor Bank informieren selbst über Twitter und Facebook zu den aktuellen Geschehnissen, damit die Kunden nicht ahnungslos dastehen. Hier wäre jedoch gerade für Kunden die nicht gerade auf Facebook oder Twitter online sind eine Email wünschenswert.

Update vom 26.10: Auch Fidor hat unter https://www.fidortecs.com/status eine Statusseite eröffnet. Vielen Dank für die Verlinkung auf meinen Beitrag.

Doch gibt es aktuell einen wirklichen Schutz gegen DDoS-Angriff?
Ich sage JEin.

In erster Linie gehört dazu ein fähiges IT-Team, dass die durchaus unterschiedlichen DDoS Profile analysieren und vor allem korrekt auswerten kann.

Der Normale Aufbau einer Verbindung zu einer Webseite findet mit dem so genannten Dreiwege-Handshake statt.

1. Client an Server: Paket mit Flag SYN, Abgleichen (synchronize).
2. Server an Client: Paket mit Flags SYN, ACK, Abgleichen bestätigt (synchronize acknowledge).
3. Client an Server: Paket mit Flag ACK, Bestätigt (acknowledge); Die Verbindung ist nun hergestellt.

Unterschlägt der Client der womöglich aus einem Botnet stammt das letzte ACK-Paket wartet der Server, in diesem Fall der der Fidor Bank auf eine Rückmeldung und speichert diese Anfrage in seinem Netzwerkstack. Verzögerungen könnten u.a. durch langsame Internetverbindungen zustande kommen. In dem Fall, dass eine gewisse Anzahl von Clients entsprechend das letzte ACK-Paket unterschlägt laufen dadurch die Ressourcen des Servers voll, womit ab einer bestimmten Zeit keine Kapazitäten mehr vorhanden sind um diesen zu kontaktieren. Die Webseite ist somit nicht mehr erreichbar.

Der Serverbetreiber benötigt entsprechend mehr Ressourcen als der Angreifen um einem solchen SYN-Flood Herr zu werden.

Als Gegenmaßnahme könnte ein Betreiber hier eine intelligente Firewall wie z.B. die meines Favoriten Gateprotect einsetzen, die solche Angriffe erkennen und effizient abblocken kann.

Alternativ möglich bzw. wichtig wäre es,  den TCP-Stack mit SYN-Cookies und vorgeschaltetem SYN-Rate-Limiting zu versehen. Durch das Limitieren der Anzahl SYN-Pakete pro Sekunde kann ein TCP-Stack geschützt werden, so dass zumindest die bereits aktiven TCP-Sessions und UDP-Pakete verarbeitet werden können. Durch das Rate-Limiting wird jedoch generell ein großer Teil auch der validen Anfragepakete verworfen, was wiederum die Verfügbarkeit des Dienstes für den Nutzer einschränkt. Der Ansatz ist aber allemal besser als ein Komplettausfall, erfüllt aber nicht den Anspruch der vollen Verfügbarkeit.

DDos-Angriffe lassen sichim Allgemeinen in 3 Bereiche Unterteilen.

1. Low-Level Protokoll-Angriffe (SYN-Flooding, Connection Flooding, ICMP Flooding)
2. HTTP Flooding (HTTP Flooding, Slowloris, Slow POST, SSL attacks)
3. DNS attacks (attacks against DNS infrastructure)

Für jede Art gibt es mittlerweile unterschiedliche Schutzmechanismen wobei HTTP-Floodings bis heute nicht richtig herausgefiltert werden können was bei genügend Ressourcen des Angreifers ebenfalls zum überlaufen der Servers führt. Über das Programm Slowloris gibts es hier einen kleinen interessanten Artikel.

Bleibt zu hoffen, dass der Serverbetreiber Teamware GmbH aus München dem ganzen Herr wird. Der Webseit entnehme ich folgende Zeilen aus dem Bereich „Security“…

Schützen Sie Ihr Firmennetz gegen den Angriff – und schützen Sie sich vor System-Ausfällen und den damit verbundenen Kosten…. Als SOPHOS Platinum Solution Partner verfügen wir über langjährige Erfahrung und zertifiziertes Personal um Ihren Anforderungen gerecht zu werden.

Nun gut, das Thema mit der Zertifizierung kenne ich. Da sitzt man mal mit Kaffe, Wasser und wenn der Hersteller gut ist, noch ein paar Häppchen (Tipp :-) Inoxision Archive, da gibt`s auch Cocktails…) und schaut sich ein paar Powerpoint-Präsentationen und eine Programmdemo an , bekommt erzählt wie toll alles ist und am Ende des Tages ist man quasi zertifizierter Spezialist. Das kennen aber viele ITler, womit ich dem Satz garnicht viel Aufmerksamkeit schenken möchte. Die Teamware GmbH beietet also eine Sophos UTM Firewall (Sophos Unified Threat Management) an und setzt diese als Sophos Platinum Solution Partner sicherlich selbst ein.
Dem Datenblatt entnehme ich, dass diese Lösung durchaus einen DOS-Schutz bieten soll. Wurde hier geschlampt und die Systeme nicht ordentlich konfiguriert? Etwas weitere lese ich in der Rubrik „Bayrische Cloud“ …

Sprechen Sie einfach mit Teamware die Anforderungen an Ihr Firewall-System durch und Sie werden fachmännisch beraten. Wir bieten Ihnen mit hochwertigen Cisco-Firewalls ein komplettes Spektrum an Security-Systemen. Sie erhalten so einen zuverlässigen Schutz gegen Eindringlinge und können Denial-of-Service-Attacken (DoS) abwehren.

Sophos oder Cisco, beide Hersteller könn“t“en einen guten Schutz bieten. Hat die Fidor Bank AG hier nun keinen ausreichenden Service gebucht oder aber sind die Versprechen der Teamware zu hoch angesetzt?

Wie der Angreifer schreibt, wären hier nur 2% seiner Ressourcen notwendig gewesen um die Services der Fidor Bank AG zu killen. Erkennen, wie groß seine Resourcen tatsächlich sind kann man dadurch nicht. Persönlich denke ich das hier durchaus auch geflunnktert werden kann.
Es bleibt abzuwarten, wie man mit solchen Attacken auf beiden Seiten umgehen wird und ob diese überhaupt nochmal stattfinden. Der 100%ige Schutz besteht wohl in keinem Unternehmen, womit man final auch nicht sagen kann, wer hier nun etwas zu nachsichtig war. Fakt ist jedoch, dass es eigentlich nicht normal ist, dass bei einem Angriff auf die Web-Plattform direkt alle Kreditkarten betroffen sind und keine Bargeld-Abhebungen oder Online-Einäufe durchgeführt werden können. Stimmt hier etwas mit dem Systemdesign nicht?

Hier geht es zu einem Artikel der BaFin: IT-Sicherheit: Erwartungen der Bankenaufsicht

Ein wichtiger Schritt meiner Meinung nach ist es jedoch, kein Lösegeld zu bezahlen.

Botnetze kann sich jeder Normalbürger mit einem geschwächten Kriminalitäts-Empfinden anmieten. Die Betreiber solcher Botnetze lassen sich die Vermietung jedoch ein gutes Geld kosten, womit es aus der Kettenreaktion dazu kommt, dass bei ausbleibendem Lösegeld dem Mieter eines solchen Botnetzes selbst das Geld ausgeht und auf dauer auch den Botnetzbetreibern.

Hinweis: Die Preise richten sich nach Größe, Herkunft der Bot-Clients, Befehlsunterstützung.

Ein interessantes Whitepaper stellt Kaspersky hier zur Verfügung – Botnetze –Geschäfte mit Zombies.

Auch ich weiß, dass man aus Fehlern lernen kann und  wünsche der Fidor Bank AG und der Teamware GmbH gutes Gelingen.

Hier geht es übrigens zu meinem vor kurzem veröffentlichten Beitrag über die Fidor Bank AG.
Fidor Bank AG – Nischenfüller oder Erfolgskonzept?

Kunde werden: Registrierung (Affiliate Link)
Zu den Konditionen: Konditionen
Zur Community: Community
YoutTube Channel: YouTube
Wikipedia Eintrag: Wikipedia
Blog des Vorstands: Blog
Fidor Bank Aktie: Aktie