Spammer entführen kantonale IP-Adressen
Teile des IP-Raums eines Schweizer Kantons sind von Spammern gekapert worden. Es vergingen mehrere Monate, bis die Behörden aktiv wurden. Max Klaus, stellvertretender Leiter von Melani, erklärt das Vorgehen der Spammer.
"The Spamhaus Projekt" hat das Swiss Governmental Computer Emergency Response Team (Govcert), eine Unterorganisation der Melde- und Analysestelle Informationssicherheit (Melani), im Juni über den Missbrauch von kantonalem IP-Raum informiert. Wie Govcert in einer Mitteilung schreibt, benutzen "Entführer" (Hijacker) bereits seit Januar dieses Jahres den IP-Raum eines Schweizer Kantons, um von dort aus Spam zu verschicken. Betroffen waren über 64'000 IP-Adressen.
Auf Anfrage konnte Max Klaus, stellvertretender Leiter Melani, aber nicht mitteilen, um welchen Kanton es sich handelt. Der Angriff ging von einem Kunden eines Hosting-Providers in den USA aus. Diesen habe Melani sofort kontaktiert und ihn auf den Missbrauch hingewiesen, die Anfragen seien aber unbeantwortet geblieben, sagt Klaus. Erst durch eine Intervention beim Upstream-Provider konnte die Entführung gestoppt werden.
Vorgehen der Entführer
Die Angreifer suchten sich bewusst einen IP-Raum aus, der über einen längeren Zeitraum nicht mehr genutzt wurde. "Aufgrund des Aufbaus des Internets mit dem Grundsatz 'jeder vertraut jedem' ist es grundsätzlich jedem Internetteilnehmer möglich, beliebige IP-Adressen beziehungsweise IP-Adressräume zu propagieren (announcen)", sagt Klaus.
Dabei sind die Informationen über die nicht genutzten IP-Adressen im Internet frei verfügbar. "Da solche IP-Adressräume länger nicht verwendet wurden, fällt dies dem eigentlichen Besitzer auch eher selten auf, ausser dieser betreibt ein von uns entsprechend empfohlenes Monitoring. Sie können dies mit einem Paar Schuhen vergleichen, das Sie seit Jahren nicht angezogen haben: Ihnen fällt erst auf, dass das Paar Schuhe fehlt, beziehungsweise gestohlen wurde, wenn Sie diese anziehen wollen", veranschaulicht Klaus das Vorgehen.
Dies sei auch der Grund, warum der Missbrauch so lange nicht bemerkt worden sei. Der entsprechende Kanton habe seinen IP-Raum nicht überwacht, "ansonsten wäre der 'Diebstahl' wahrscheinlich viel früher aufgefallen", sagt Klaus. "Ein weiterer Grund könnte sein, dass die bei Ripe hinterlegten Whois-Informationen nicht mehr aktuell waren. Beschwerden von anderen Internetnutzern bezüglich Spam-E-Mails liefen so möglicherweise ins Leere, da zum Beispiel die hinterlegte E-Mail-Adresse nicht mehr aktuell war."
Schutz ist möglich
Da prinzipiell jeder Internetteilnehmer beliebige IP-Adressen und IP-Adressräume announcen könne, müssten Sicherheitsmassnahmen vorgenommen werden, empfiehlt Klaus. Beispielsweise sollten nicht genutzte IP-Adressen regelmässig announct werden, damit sie nicht so leicht "entführt" werden können. Auch die Rückgabe der IP-Blocks sollte in Betracht gezogen werden.
Weiter rät Govcert zum Aufbau eines Monitoring-Systems, dass rechtzeitig über Missbrauch informiert. Mehrere kommerzielle Anbieter hätten entsprechende Lösungen im Angebot. Zudem sollten laut Klaus "Netzwerk-Eigentümer, die bei den Regional Internet Registries (RIR) wie etwa Ripe hinterlegten Whois-Informationen stets auf dem aktuellsten Stand halten."
Ergon wächst zweistellig
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Red Hat stellt neue Lösungen für Entwickler vor
SAP würdigt seine Schweizer Lieblingskunden
Wieso man nicht ziellos herumirren sollte beim Telefonieren
HPE und Bosch bringen Lösungen zusammen für Digital Twins
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Wie der IT-Arbeitsplatz von morgen gemäss ADN aussieht
