Brian Krebs ist ein auf IT-Sicherheit spezialisierter Journalist. Am 20. September 2016 wurde sein WordPress-Blog mit DDoS angegriffen. DDoS bedeutet “Distributed Denial of Service”, also “Verteilte Verweigerung des Dienstes”. Dahinter verbergen sich massenweise sinnlose Anfragen, die einen Server überfluten, bis er in die Knie geht.

Man kann sich dagegen schützen. Eine Möglichkeit sind so genannte “Content Delivery Networks”, also Inhalte-Liefer-Netzwerke, die die Inhalte eines Servers nehmen und über ein ganzes Netz von vielen Servern weltweit ausliefern. Eins der größten dieser Netze wird von der Firma Akamai betrieben. Der Angriff auf Brian Krebs war allerdings so exorbitant groß, dass selbst Akamai damit überfordert war. Da die Firma Krebs kostenlos versorgt hatte, trennte man sich einvernehmlich. Krebs lenkte seine Adresse auf 127.0.0.1 um, um weiteren Schaden von anderen abzuwenden. Das ist die Adresse, unter der jeder Benutzer jeweils seinen eigenen Rechner erreicht.

Wie sich herausstellte, kam der Angriff von einem bis dato unbekannten, riesigen Botnetz. Zum Erstaunen der Fachleute war es Cybergangstern gelungen, Millionen von Geräten zu kapern und für ihre Zwecke zu missbrauchen, ohne dass es bisher aufgefallen war. Der Angriff auf Krebs allerdings war größer als alle vorher beobachteten DDoS-Angriffe. Kurz darauf legten die Kriminellen noch einen drauf und überfluteten die Server des französischen Internet-Dienstleisters OVH mit noch viel mehr digitalem Schrott. Als man die Quelle der Angriffe untersuchte, stellte man fest, dass die Fluten aus dem Internet of Things kamen. Das größte bisher beobachtete Botnetz besteht größtenteils aus Überwachungskameras und anderen Embedded-Geräten. Dass solche Geräte nicht ganz ungefährlich sind, war eigentlich bekannt, Warnungen konnte man vielerorts lesen, unter anderem in unserem Blog. Brian Krebs ist mit seiner Webseite inzwischen bei Google untergeschlüpft.

Dort betreibt man ein kostenloses Schutzschild speziell für freie Journalisten, die sich durch ihre Berichterstattung Feinde gemacht haben. Und er hat sich daran gemacht, den Angriff zu analysieren. Inzwischen ist der Quellcode des Botnetzes aufgetaucht und darin finden sich Hinweise auf die betroffenen Geräte.