DDoS-Attacke auf Anti-Spam-Organisation Spamhaus
DDoS-Attacken sind keine Seltenheit mehr. Wenn solch eine Attacke aber Auswirkung auf weite Teile des Internets hat, wird damit eine neue „Qualität“ erreicht – so wie es jetzt in der Auseinandersetzung zwischen Cyberbunker und Spamhaus geschehen ist.
Bereits in der letzten Woche eskalierte ein nunmehr seit langer Zeit anschwellender Konflikt zwischen der in London und Genf ansässigen Organisation und dem in den Niederlanden ansässigen Hosting-Unternehmen Cyberbunker. Nachdem Spamhaus das Unternehmen in seine Blacklist aufgenommen hatte, begannen die Angriffe auf die Spamhaus-eigene Online-Präsenz. Cyberbunker-Sprecher Sven Olaf Kamphuis dementiert seine Verantwortlichkeit für diese Aktion nicht und rühmt sich mit der Aussage, dass diese DDoS-Attacke die bisher größte war, die die Welt bislang in aller Öffentlichkeit gesehen haben soll. Seiner Meinung nach missbrauche Spamhaus seinen Einfluss im Internet, zudem habe niemand Spamhaus dazu ermächtigt zu bestimmen, was im Internet erlaubt wäre und was nicht.
Cyberbunker wird nachgesagt, die E-Mail-Postkästen von Internet-Nutzern durch unerwünschte Werbemails mit teilweise recht zweifelhaften Inhalten zu füllen. Organisationen wie Spamhaus versuchen stattdessen durch eine Echtzeit-Blacklist E-Mail-Providern dabei zu helfen, die Flut von Spammails größtmöglich einzudämmen. Daher ist es nicht überraschend, dass die Organisation Unternehmen wie Cyberbunker, die auf deren Blacklist landen, ein Dorn im Auge ist. Cyberbunker soll jedwede Art von Kundengeschäften akzeptieren, außer es handele sich um Kinderpornografie oder Terrorismus, und bietet seinen Kunden Anonymität. Auch illegale oder fragwürdige Inhalte soll das Unternehmen beherbergen. Zudem ist Cyberbunker-Betreiber Sven Olaf Kamphuis kein ungeschriebenes Blatt: Als Betreiber des Providers CB3ROB stand er bereits 2010 in Deutschland vor Gericht, weil er aufgrund von Urheberrechtsverletzungen gemeldete Bittorent-Verzeichnisse nicht gelöscht haben soll, obwohl er als Provider dazu verpflichtet ist.
Bereits in der letzten Woche berichtete Ars Technica über die Auswüchse dieser Auseinandersetzung. Laut deren Aussage wurde die Online-Präsenz von Spamhaus jede Sekunde mit Daten mit einem Volumen von rund 75 Gigabit bombardiert. Um die Wirkung des Angriffes zu erhöhen, konzentrierten sich die Angreifer nicht nur auf die Spamhaus-Webseite, sondern auch auf das Domain Name System (DNS). Hier machten sie sich den Umstand zunutze, dass einige Nameserver unter gewissen Umständen auf kurze Anfragen lange Antworten senden. So erhöhte sich in diesem Fall die Anfrage von 36 Bytes um mehr als 8000 Prozent auf über 3.000 Bytes. Somit konnte ohne eigenes Zutun ein wesentlich größerer Schaden angerichtet werden. Die genannte Sicherheitslücke ist Experten zwar seit langer Zeit bekannt, wurde aber hier zum ersten Mal in solch einem Maße ausgenutzt. Laut dem Sicherheitsforscher Dan Kaminsky sei es sehr schwierig derartigen Problemen beizukommen, da DNS der Definition nach offen und öffentlich sein muss. Seiner Meinung nach könne solchen Angriffen nur auf polizeilichem und juristischem Wege beigekommen werden.
Was die Verursacher nicht bedacht – oder billigend in Kauf genommen – hatten, war der Umstand, dass sich diese Aktion auch auf Unbeteiligte auswirkt. So war der für Millionen von Nutzern vor allem in den USA sehr beliebte Streaming-Anbieter NetFlix zu diesem Zeitpunkt deutlich schwerer oder gar nicht erreichbar.
Aber auch Helfer von Spamhaus wurden zeitweise Opfer der Attacke: So sah sich der IT-Sicherheitsdienstleister Cloudflare, welcher für seine Kunden unter anderem einen Schutz gegen DDoS-Angriffe anbietet und somit dabei half, Spamhaus weiterhin im Netz zu halten, selbst Angriffen ausgesetzt. Gegen all diese Angriffe setzte das Unternehmen „Anycast“ ein, welches seine IP-Adressen in über 23 Datenzentren und einer großen Anzahl von Servern in 14 Ländern dieser Welt verteile. Durch diese enorme Rechenkraft war es möglich, die Anfragen gezielt auf verschiedene Server zu verteilen und diese filtern zu können.
Patrick Gilmore vom Infrastruktur-Anbieter Akamai erklärte gegenüber der New York Times, dass die Verantwortlichen dieser Aktion schlicht verrückt seien, wenn sie meinen, ein Recht auf Spam-Versand zu besitzen. Mit dieser Aktion seien sie zu weit gegangen. Auch, dass Unbeteiligte mit in diese Auseinandersetzung gezogen wurden, überschreite ein gesundes Maß.
Spamhaus selber zeigt sich nach anfänglichen Problemen mittlerweile von der Attacke unbeeindruckt. Spamhaus-CEO Steve Linford berichtet gegenüber dem Sender BBC, dass nach dem ersten Ausfall die eigene Infrastruktur voll funktionsfähig sei. Laut Linford verfüge Spamhaus über 80 über den ganzen Globus verteilte Server sowie den momentan größten DNS-Server im Netz.
Ob Cyberbunker für diese Aktion tatsächlich verantwortlich ist und rechtlich belangt werden kann, bleibt abzuwarten. Laut eines Berichtes der BBC haben aber bereits fünf Ermittlungsbehörden verschiedener Länder damit begonnen, sich des Falles anzunehmen. Angst verhaftet zu werden, habe Kamphuis aber nicht. Gegenüber Spiegel Online äußerte er, dass es genügend Botschaften gebe, in welche er fliehen könne.