Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
„State of the Internet“-Sicherheitsbericht
Angriffe
Band 5, Ausgabe 2
im
Einzelhandelund
API-Traffic
2„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Mitteilung des HerausgebersEine der größten Veränderungen im Bereich Sicherheit
in den letzten zehn Jahren ist die Erkenntnis, dass
wir als Technologen nicht getrennt vom jeweiligen
Unternehmen arbeiten.
Unsere Arbeit ist ein wesentlicher Bestandteil aller
geschäftlichen Aspekte. Für Sicherheitsexperten,
die relativ neu in der Branche sind, mag das
selbstverständlich klingen. In einigen Unternehmen
ist die Umsetzung solcher integrierten Denkprozesse
aber nach wie vor noch nicht abgeschlossen.
Es besteht ein klarer Zusammenhang zwischen
Organisationen, die das Sicherheitsteam als festen Teil
des Unternehmens betrachten, und Organisationen,
die das Team getrennt von anderen geschäftlichen
Belangen betrachten.
Damit Sicherheitsteams als legitime Geschäftspartner
anerkannt werden, müssen Sie die Risiken erkennen
können, denen das Unternehmen ausgesetzt ist.
Im dunklen Zeitalter der 1990er Jahre führte dies
dazu, dass das Sicherheitsteam als die „Neinsager-
Abteilung“ abgestempelt wurde. Seither haben
Sicherheitsexperten gelernt, Risiken besser zu
quantifizieren und zu kommunizieren. Die besten
Sicherheitsteams verfügen über klare Definitionen von
Risiken und Risikobewertungsprozessen, mit denen
sie unsere Wahrnehmung auf eine differenziertere
Weise erklären können als schlicht per Ja oder Nein.
Darüber hinaus können Sicherheitsexperten diesen
Risiken oft theoretische finanzielle Kosten zuordnen,
sodass Führungskräfte die potenziellen Kosten besser
abwägen können.
Die Identifizierung von Risiken gestaltet sich
jedoch extrem schwierig. Die Variationen und
Nuancen zu verstehen, die sich maßgeblich auf eine
Geschäftsentscheidung auswirken können, ist selbst
bei vertrauten Themen ein schwieriges Unterfangen.
Entweder überschätzen wir die Auswirkungen, was
unsere Position im Unternehmen mindert, oder wir
unterschätzen das Risiko, was zu Schuldzuweisungen
führt, wenn etwas schief geht. Wie bei so vielen
Sicherheitsaspekten gibt es nicht den einen richtigen
Weg – es handelt sich vielmehr um einen Balanceakt,
der von den einzelnen Mitarbeitern und dem
Unternehmen als Ganzes abhängt.
Und die Problematik wird umso schwerwiegender,
wenn wir unbekannten Faktoren und Problemen
gegenüberstehen, die kaum oder gar nicht transparent
sind. Alle drei Abschnitte dieser Ausgabe des „State
of the Internet“-Sicherheitsberichts behandeln
Sicherheitsaspekte, denen unserer Meinung nach eine
Großzahl von Unternehmen mehr Aufmerksamkeit
widmen sollte. Unsere Umfrage zum API-Traffic ergab,
dass überraschende 83 % der von uns erfassten
Aufrufe API-gesteuert sind. Eine Untersuchung des
DNS-Traffics ergab, dass IPv6-Traffic möglicherweise
unterschätzt wird. Bei vielen Systemen, die IPv6
unterstützen, wird weiterhin bevorzugt IPv4 verwendet.
Abschließend haben wird den Missbrauch von
Anmeldedaten und Botnets, die die Bestände von
Einzelhändlern manipulieren, untersucht. Hierbei hat
sich gezeigt, dass dies ein wachsendes Problem ist,
das angegangen werden muss.
Im Rahmen der Risikobewertung müssen wir uns
ständig fragen, welche der Probleme, die wir
untersuchen sollten, von uns außer Acht gelassen
werden. Es gibt Dinge, die wir ganz einfach
nicht wissen (und nicht wissen können), weil die
erforderliche Transparenz nicht vorhanden ist. Wir
hoffen, einige dieser Themen in diesem Bericht stärker
in den Vordergrund rücken zu können, damit wir uns
ihrer bewusst werden.
3„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Inhaltsverzeichnis
04 Überblick
05 Schädliche Tools im Einzelhandel
07 Top-Marktsegmente
13 API-Traffic auf dem Vormarsch
13 Alles dreht sich um JSON
17 Fazit
18 Wird IPv6 unterschätzt?
05 Studien von Akamai
21 Ausblick
24 Quellen
22 Anhang
ZUSAMMENGEFASST
• Akamai hat zwischen Mai
und Dezember 2018 fast
28 Milliarden Credential-Stuffing-
Versuche erkannt. Tools wie das
All-In-One-Botnet wurden für
eine große Anzahl von Angriffen
auf Einzelhandelsunternehmen
eingesetzt.
• Eine kürzlich durchgeführte
Analyse des ESSL-Netzwerks von
Akamai ergab ein Verhältnis von
83 % zu 17 % zwischen API- und
HTML-Traffic in unserem sicheren
Content Delivery Network. Im
Vergleich zur letzten Umfrage
im Jahr 2014 bedeutet das eine
erhebliche Steigerung.
• Die Analyse von Akamai
deutet darauf hin, dass die
IPv6-Nutzung möglicherweise
unterschätzt wird. Dies führt
zu der gefährlichen Annahme,
dass die Überwachung von IPv6
überflüssig ist.
4„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
ÜberblickAlle drei Abschnitte in dieser Ausgabe des „State of the Internet“-
Sicherheitsberichts beziehen sich auf die Aspekte, die in den meisten
Unternehmen nicht untersucht werden. Der von Botnets generierte Traffic
wird oft übersehen. Die Ursachen hierfür sind vielfältig: Unternehmen
betrachten gewisse Probleme als irrelevant für ihre Umgebung, verfügen
über keinerlei Tools zur Überwachung dieser Probleme oder verfügen nicht
über die entsprechenden Ressourcen zur Überwachung dieses Traffics.
Zwar untersuchen viele Unternehmen diesen Traffic, aber ohne
spezielle Tools wird er oft genauso behandelt wie jede andere Art von
Netzwerkaktivität. Insbesondere im Einzelhandelssektor ist dies äußerst
gefährlich, da Botnet-Entwickler und Sicherheitsverantwortliche in diesem
Sektor ein mehrdimensionales Spiel spielen, bei dem es um bares Geld
geht. Unser Team untersuchte All-In-One-Bot-Tools (AIO) und bewertete
sie im Zusammenhang mit den Milliarden von Missbrauchsversuchen bei
Anmeldedaten, die wir jeden Monat verzeichnen.
Eine weitere Art von Traffic, in den viele Unternehmen nur begrenzt
Einblick haben, ist der API-Traffic. 2014 hat Akamai ein internes Audit
des JSON- und XML-Traffics im unternehmenseigenen Enhanced-SSL-
Netzwerk (ESSL) durchgeführt und festgestellt, dass 47 % des Traffics von
diesen beiden Protokollen gesteuert wurden. Eine ähnliche Umfrage zu
unserem Traffic im Oktober 2018 ergab, dass mittlerweile 69 % des Traffics
JSON-, 14 % XML- und nur 17 % HTML-gesteuert sind.
Das Internet ist nur langsam auf IPv6 umgestiegen, und laut der Internet
Society sind 28 % der 1.000 meistbesuchten Websites IPv6-fähig, während
dies nur für 17 % der 1 Million meistbesuchten Websites gilt. Unsere
Untersuchungen zeigen allerdings, dass dies möglicherweise daran liegt,
dass die Zahlen unterschätzt werden, da offenbar in vielen Systemen selbst
dann vorwiegend IPv4 genutzt wird, wenn IPv6-Traffic verarbeitet werden
kann. Da IPv6 nach wie vor einen geringen Teil des Traffics ausmacht, gilt
es bei vielen Sicherheitstools nicht als wichtiges Verkaufsargument. Nicht
alle Unternehmen glauben, dass sich die Überwachung von IPv6 lohnt,
selbst wenn sie dazu in der Lage sind.
Zwar untersuchen viele
Unternehmen diesen
Traffic, aber ohne
spezielle Tools wird er
oft genauso behandelt
wie jede andere Art
von Netzwerkaktivität.
„
5„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Studien von AkamaiSCHÄDLICHE TOOLS IM EINZELHANDELZwischen dem 1. Mai und dem 31. Dezember 2018 kam es im
Einzelhandel zu 10.000.585.772 Credential-Stuffing-Versuchen,
die im Netzwerk von Akamai erfasst wurden. Übertragen auf alle
anderen Kundenbranchen erkannte Akamai über acht Monate hinweg
27.985.920.324 Versuche, Anmeldedaten zu missbrauchen. Das sind
jeden Tag mehr als 115 Millionen Vorfälle, bei denen versucht wird,
Nutzerkonten zu kompromittieren oder sich bei ihnen anzumelden.
Der Grund für diese Versuche ist relativ offensichtlich. Die jeweiligen
Angreifer suchen nach Daten – beispielsweise persönlichen Daten,
Kontoständen und Vermögenswerten – oder nach Gelegenheiten,
finanziellen Profit aus dem Online-Einzelhandelsmarkt zu schlagen, der bis
2021 voraussichtlich einen Umfang von 4,88 Billionen US-Dollar erreichen
wird.
Die von Akamai protokollierten Credential-Stuffing-Versuche werden
mithilfe von Bots automatisiert. Bots können bis zu 60 % des gesamten
Webtraffics ausmachen, aber weniger als die Hälfte davon wird
tatsächlich als Bots deklariert. Damit ist es schwer, sie zu verfolgen und zu
blockieren. Dieses Dilemma wird aber noch größer, weil nicht alle Bots
schädlich sind, wie in Ausgabe 1 des diesjährigen „State of the Internet“-
Sicherheitsberichts erörtert.
ZahlenspielFür Kriminelle sind Credential-Stuffing-Angriffe ein Zahlenspiel. Sie
profitieren von der Tatsache, dass Nutzer für verschiedene Konten
dieselben Passwörter verwenden. In einem solchen Fall lassen sich die
kompromittierten Anmeldedaten für eine Website schnell auf Dutzende
andere übertragen.
Es handelt sich dabei um einen zweistufigen Prozess. Zunächst wird die
Anmeldeseite mit einer möglichst hohen Anzahl von Anmeldedatenpaaren
überflutet, um ihre Gültigkeit zu überprüfen. Anschließend übernehmen
die Kriminellen die Kontrolle über das kompromittierte Konto. Diese
zweite Phase wird allgemein als Kontoübernahme oder ATO (Account
Takeover) bezeichnet.
Bots können bis zu
60 % des gesamten
Webtraffics ausmachen,
aber weniger als die
Hälfte davon wird
tatsächlich als Bots
deklariert. Damit ist es
schwer, sie zu verfolgen
und zu blockieren.
„
6„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Nehmen Sie beispielsweise die 116 Millionen Konten, die während
des Datenschutzvorfalls bei LinkedIn kompromittiert wurden. Mithilfe
dieser Liste von E-Mail-Adressen und Passwortkombinationen starteten
Kriminelle Angriffe auf Dutzende anderer Websites in der Hoffnung,
dass die LinkedIn-Anmeldedaten auch anderswo verwendet wurden.
Diese Credential-Stuffing-Versuche führten zu mehreren sekundären
Kontoübernahmen. Aus diesem Grund empfehlen Sicherheitsexperten
unbedingt den Einsatz von Passwortmanagern sowie die Verwendung
langer und unterschiedlicher Passwortzeichenfolgen für jede Website.
Der mühsame Kampf gegen Credential-Stuffing-AngriffeDer Kampf gegen Credential Stuffing ist nicht einfach. 71 % der in einer
vom Ponemon Institute durchgeführten Akamai-Umfrage befragten
Unternehmen gaben an, dass das Verhindern von Credential-Stuffing-
Angriffen schwierig sei, da die entsprechenden Gegenmaßnahmen das
Interneterlebnis legitimer Nutzer beeinträchtigen könnten.
Unternehmen verzeichnen eigenen Angaben zufolge jeden Monat
durchschnittlich 12,7 Credential-Stuffing-Versuche, wobei jeder Versuch
1.252 Konten betrifft. Die reflexartige Reaktion, die für diese Versuche
verantwortlichen Bots einfach zu blockieren, ist zunächst sinnvoll, aber eine
solche Aktion kann dem Unternehmen ernsthafte Schäden zufügen, wenn
hiervon legitime Kunden betroffen sind.
Abb. 1:
In der Grafik sind
vier Tage zwischen
dem 1. Mai und dem
31. Dezember 2018
hervorgehoben, an
denen die Credential-
Stuffing-Aktivität
besonders hoch war.
300 Mio.
250 Mio.
200 Mio.
150 Mio.
100 Mio.
50 Mio.
0 Mio.
1. Mai
2. Juni 2018252.176.323
25. Juli 2018252.000.593
Missbrauch von Anmeldedaten pro Tag
Mai bis Dezember 2018
25. Oktober 2018286.611.884
27. Oktober 2018287.168.120
Ver
such
ter
Mis
sbra
uch
von
Anm
eld
edat
en
1. Juni 1. Juli 1. August 1. September 1. Oktober 1. November 1. Dezember 1. Januar
Missbrauch von Anmeldedaten pro Tag1. Mai bis 31. Dezember 2018
7„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Dieselbe Umfrage ergab, dass 32 % der Befragten keinen Einblick in
Credential-Stuffing-Angriffe hatten; 30 % gaben an, dass sie solche
Angriffe nicht erkennen und abwehren können. Auf die Frage, ob das
eigene Unternehmen über ausreichende Lösungen und Technologien
zur Eindämmung oder Verhinderung von Credential-Stuffing-Angriffen
verfügt, gaben 70 % der Befragten an, dass in ihrem Unternehmen nicht
genügend Abwehrmaßnahmen vorhanden seien.
Die Abwehr von Credential-Stuffing-Angriffen ist außerdem sehr
kostspielig. Die Studie hat ergeben, dass sich die mit solchen Angriffen
verbundenen geschätzten Kosten auf jährliche Gesamtbeträge von je
1,7 Mio. US-Dollar aufgrund von Ausfallzeiten, 2,7 Mio. US-Dollar aufgrund
von Kundenschwund und 1,6 Mio. US-Dollar für IT-Ausgaben belaufen.
Abb. 2:
In den Bereichen
Videomedien und Medien
und Entertainment
erfolgten insgesamt
11,6 Milliarden
Angriffsversuche.
Versuchter Missbrauch von Anmeldedaten nach Branche1. Mai bis 31. Dezember 2018
Einzelhandel10.000.585.772
Videomedien8.102.011.013
Medien und Unterhaltung3.482.622.059
Finanzdienstleistungen1.083.594.584
Fertigung1.310.326.860
Hotels und Reisen1.069.823.312 Hightech
562.700.596
Soziale Medien960.496.767
Konsumgüter859.856.158
Missbrauch von Anmeldedaten nach Branche1. Mai bis 31. Dezember 2018
8„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Top-MarktsegmenteGesamt2018 registrierte Akamai über acht Monate hinweg 27.985.920.324 Versuche,
Anmeldedaten zu missbrauchen. In Abbildung 2 ist diese Zahl nach
Branchen aufgeschlüsselt, wobei der jeweilige Anteil als entsprechend
großes Feld dargestellt wird. Jedes Feld steht für eine Branche, wie in
unseren Daten aufgezeichnet. Bei den nicht beschrifteten Branchen
in der rechten unteren Ecke traten in diesem Zeitraum weniger als
250 Millionen Missbrauchsversuche bei Anmeldedaten auf, z. B. in der
Automobilindustrie und im öffentlichen Sektor.
Einzelhändler sind die beliebtesten Ziele beim Missbrauch von
Anmeldedaten. Mit 8.102.011.013 Versuchen liegen Unternehmen, die
Streaming-Mediendienste anbieten, nur knapp dahinter. Andere Medien-
und Unterhaltungsunternehmen verbuchten 3.482.622.059 versuchte
Angriffe, während es an Fertigungsstandorten 1.310.326.860 waren. In
unseren zukünftigen Berichten sollen Angriffe auf Medienwebsites als
Ganzes untersucht werden.
EinzelhandelMit 10 Milliarden Credential-Stuffing-Versuchen während des
achtmonatigen Berichtszeitraums stellt die Einzelhandelsbranche das
beliebteste Angriffsziel dar. Innerhalb dieser Branche kam es allein im
Bekleidungssektor zu 3,7 Milliarden versuchten Angriffe, sodass dieser
Sektor im fraglichen Zeitraum am häufigsten betroffen war.
Aber warum sind der Einzelhandel und insbesondere der Bekleidungssektor
als Angriffsziel so beliebt? Die kurze Antwort lautet: Geld.
Abb. 3:
Ein Beispiel für einen
AIO Marketplace. Die
Angebote umfassen
Bots sowie Proxy- und
Hosting-Services.
9„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Laut Angaben der BrandZ Top 100 beläuft sich der Wert der 10 führenden
Bekleidungsmarken insgesamt auf 111,3 Milliarden US-Dollar. Allein der
Wiederverkaufsmarkt für Bekleidung ist fast 1 Milliarde Dollar schwer.
Dieser Wert ist im Vergleich zwar nicht sehr hoch, der Betrag selbst ist
dennoch erheblich. Der Sekundärmarkt ist tatsächlich so rege, dass die
Reseller-Plattform StockX angibt, dass dieser Wirtschaftszweig täglich
Transaktionen im Gesamtwert von rund 2 Millionen US-Dollar abwickelt.
In der Einzelhandelsbranche und insbesondere im Bekleidungssektor
werden die häufig bei Credential-Stuffing-Versuchen und unberechtigten
Käufen eingesetzten Bots als All-In-One-Bots oder AIOs bezeichnet. Bei
diesen Bots handelt es sich um multifunktionale Tools, die schnelle Käufe
durch Nutzung verschiedener Umgehungstechniken ermöglichen und die
auf mehr als 120 Online-Einzelhändler abzielen können. Es ist auch nicht
ungewöhnlich, dass ein AIO speziell für einen bestimmten Einzelhändler
entwickelt und vermarktet wird.
Der Hauptzweck von AIOs besteht darin, Zugang zum Wiederverkaufsmarkt
zu erhalten. AIOs können aber auch eingesetzt werden, um den Konto- und
Profilzugriff auf eine bestimmte Website mithilfe von Listen mit Nutzernamen
und Passwörtern schnell zu überprüfen.
Den Kriminellen, die es auf die Einzelhandelsbranche abgesehen haben,
stehen im Fall eines erfolgreich übernommenen Kontos zahlreiche
Optionen zur Verfügung. Die mit dem kompromittierten Konto
verbundenen persönlichen Daten haben einen Wert, wie auch jeder damit
verbundene Status.
Einzelhändler bieten Stammkunden im Rahmen ihrer Markenstrategie
oft Rabattcodes oder Artikel in limitierter Auflage an. Kriminelle, die mit
ihren Credential-Stuffing-Versuchen erfolgreich sind, können all diese
Vorteile erlangen und sie später weiterverkaufen oder damit handeln.
Manchmal wird das Zielkonto nur dazu verwendet, um während einer
besonderen Werbeaktion einen Platz in der Warteschlange zu ergattern, da
Bestandskunden häufig weiter vorne in der Warteschlange eingereiht werden.
Eine erfolgreiche AIO-Kampagne kann unter Umständen vollständig
unbemerkt bleiben, wenn Einzelhändler die Onlineverkäufe und die
Rekordzahlen bei Transaktionen als Beweis für die Nachfrage nach
ihren Produkten ansehen. Für die Einzelhändler gibt es kaum oder gar
keine Anzeichen dafür, dass die Lagerräumung automatisiert wurde
und zur Förderung eines Sekundärmarkts oder zum Erlangen von
Kundeninformationen verwendet wurde.
Kriminelle, die mit
ihren Credential-
Stuffing-Versuchen
erfolgreich sind,
können all diese
Vorteile erlangen
und sie später
weiterverkaufen oder
damit handeln.
„
10„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Missbrauch von AnmeldedatenEinzelhandelsunternehmen nach Typ | Mai bis Dezember 2018
Bekleidung1.635.777.682
Bekleidung332.980.348
Kaufhäuser478.771.525
Bekleidung
Bekleidung1.105.833.243
Commerce-Portale676.441.157
Commerce-Portale346.421.909
Commerce-Portale210.785.500
Kaufhäuser380.653.611
Kaufhäuser374.964.841
Kataloghandel/reiner Internethandel332.829.722
Kataloghandel/reiner Internethandel167.239.535
Sonstige491.997.151
Uhren und Schmuck
Kataloghandel/reiner Internethandel292.003.629
Bürobedarf1.196.396.186
Das Problem mit Bots im Einzelhandels-Verkaufszyklus ist systemisch.
Abb. 4:
Ein einziges Unternehmen
war während des
Berichtszeitraums das
Ziel von 6 % aller Angriffe
zum Missbrauch von
Anmeldedaten.
Dabei geht es nicht um schnell ausverkaufte Produkte, die ein
trügerisches Erfolgsgefühl erzeugen. Durch den Einsatz von AIOs
kann der Einzelhändler nicht mit dem Kunden interagieren und keine
zusätzlichen Verkäufe tätigen, was sich negativ auf Wachstum und
Markenbindung auswirkt. Mit AIOs wird eine künstliche Produktknappheit
erzeugt, Verkaufskennzahlen und Lagerbestände werden verzerrt, und
die Kunden und Investoren des Einzelhändlers erleiden Schaden durch
Informationspreisgabe und Rufschädigung.
Detaillierte Untersuchungen im EinzelhandelInnerhalb des Einzelhandels, aber außerhalb des Bekleidungssektors
beobachtete Akamai Credential-Stuffing-Versuche im
Direkthandel (1,427 Milliarden), bei Kaufhäusern (1,426 Milliarden),
im Bürofachhandel (1,3 Milliarden) und bei Modegeschäften wie
etwa im Bereich Uhren und Schmuck (129.725.233). Jedes farbige
Feld in Abbildung 4 stellt ein einzelnes Unternehmen dar, wobei die
Unternehmen durch die weißen Begrenzungslinien nach Typ gruppiert
sind. Das obere linke Feld steht beispielsweise für ein einzelnes
Unternehmen, das rund 1.636 Milliarden Angriffe erlitten hat.
Missbrauch von AnmeldedatenEinzelhandelsunternehmen nach Typ – Mai bis
Dezember 2018
11„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Genau wie im Einzelhandel nutzen Angreifer Bots, um bei Credential-
Stuffing-Versuchen mehrere Ziele gleichzeitig anzugreifen. Beim
Direktvertrieb, also bei Einzelhändlern, die einen einzelnen Artikel oder
eine bestimmte Marke anbieten, geht es darum, Bestandskonten zu
kompromittieren, aus denen persönliche Daten gewonnen und mit denen
einzigartige Angebote und Aktionen genutzt werden können. Dasselbe
gilt zwar auch für Kaufhäuser, wobei es hier einen zusätzlichen Bonus für
die Kriminellen gibt, da sie bei einem erfolgreichen Angriff die Möglichkeit
haben, mühelos die Kundenkreditrahmen zu verkaufen.
Wenn durch Credential Stuffing eine erfolgreiche Kontoübernahme bei
einer Kette oder einem Einzelhändler für Bürobedarf erfolgt, erhält der
Angreifer Zugriff auf geschäftliche und persönliche Daten sowie auf
andere verwandte Informationen, einschließlich der Bestelldaten, die den
Kontoinhaber dem Risiko von BEC-Angriffen (Business Email Compromise)
oder Spear-Phishing aussetzen.
Händler, die Schmuck und Mode-Accessoires vertreiben, sind ebenfalls
profitable Ziele, da Kunden in diesen Märkten meist recht wohlhabend
sind. Daher sind ihre persönlichen Daten und Kontostände heiße Ware für
Kriminelle.
In der Finanzdienstleistungsbranche, in der Akamai während des
Berichtszeitraums 1,08 Milliarden Credential Stuffing-Versuche
verzeichnete, handeln Angreifer mit rein krimineller Absicht. Die für
diese Angriffe verantwortlichen Akteure versuchen, kompromittierte
Anmeldedaten mit Finanzkonten abzugleichen. Wenn der Credential-
Stuffing-Versuch zu einer erfolgreichen Kontoübernahme führt, laufen die
Opfer Gefahr, dass ihr Geld gestohlen bzw. ihr gesamtes Finanzprofil im
Paket verkauft wird.
In der Hotel- und Reisebranche, in der Akamai während des
Berichtszeitraums 1,069 Milliarden Credential-Stuffing-Versuche
registrierte, haben die Angreifer wiederum unterschiedliche Ziele. Diese
Branche bietet Kriminellen Angriffsziele in den Bereichen Einzelhandel
und Finanzen, da Konten auf persönliche Daten durchforstet und zudem
Prämien- und Werbeinformationen erlangt werden können. Es lässt sich
viel Geld damit machen, ein Prämienkonto bei einer Fluggesellschaft oder
einem Hotel anzugreifen und ein mit Rabatt gebuchtes Zimmer zum vollen
Preis oder mit einem Aufschlag weiterzuverkaufen.
In der
Finanzdienstleistungsbranche,
in der Akamai während
des Berichtszeitraums
1,08 Milliarden Credential
Stuffing-Versuche
verzeichnete, handeln
Angreifer mit rein krimineller
Absicht.
„
StandortZum Abschluss wollen wir uns näher mit dem Thema Standort befassen. Wie in Abbildung 5 ersichtlich, stehen die USA bei den Ursprungsländern für Credential-Stuffing-Traffic an erster Stelle, gefolgt von Russland, Kanada, Brasilien und Indien. Viele der eingesetzten AIO-Bots wurden in den USA entwickelt; daher ist es nicht überraschend, dass dieses Land als häufigstes Ursprungsland für diese Bots gilt.
Was die am häufigsten angegriffenen Zielländer angeht, so stehen die USA mit 22,47 Milliarden Credential-Stuffing-Angriffen ebenfalls ganz oben auf der Liste, gefolgt von China (2,01 Milliarden), Indien (1,16 Milliarden), Deutschland (792 Millionen) und Kanada (400 Millionen).
Abschließende GedankenCredential-Stuffing-Angriffe und ATOs werden zwar bisweilen im Wiederverkaufsmarkt eingesetzt, aber der Großteil dieser Angriffe zielt darauf ab, Unternehmen zu kompromittieren oder persönliche und Finanzdaten zu sammeln und diese entweder zu verkaufen oder auf dem Schwarzmarkt damit Handel zu treiben.
Die einzige Möglichkeit, diese Art von Angriffen zu stoppen, besteht darin, die Bots selbst besser zu erkennen und abzuwehren sowie das Augenmerk darauf zu legen, dass Nutzer nicht für mehrere Websites dieselben Anmeldedaten verwenden. Solange Passwörter mehrfach verwendet werden, werden Credential Stuffing und ATOs auch weiterhin eine sichere Einnahmequelle für Kriminelle sein.
Indien910.123.604
Russland3.052.592.843
Brasilien1.065.564.544
USA8.921.290.730
Kanada1.650.976.949
Die 5 häufigsten Ursprungsländer für Missbrauch von Anmeldedaten
12„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Abb. 5:
Ursprungsländer für
Credential-Stuffing-
Angriffe, wie zwischen
dem 1. Mai und dem
31. Dezember 2018
verzeichnet
Die 5 häufigsten Ursprungsländer für Missbrauch von Anmeldedaten
13„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
API-TRAFFIC AUF DEM VORMARSCHIm Jahr 2014 stellten die Forscher von Akamai eine relativ einfache Frage: Wie hoch ist jeweils der API- bzw. HTML-gesteuerte Anteil des HTTPS-Traffics in unserem Netzwerk? Anders ausgedrückt: Wir wollten wissen, welcher Anteil des von uns verzeichneten Traffics, und somit des Internets als Ganzes, für Maschinen formatierter Inhalt ist, der teilweise durch menschliche Aktivitäten und teilweise durch automatisierte Daten ausgelöst wird, die hinter den Kulissen ohne direkte menschliche Interaktion ausgetauscht werden. Wir waren bis dahin davon ausgegangen, dass der API-Traffic nur einen geringen Anteil an diesem Traffic hatte. Eine informelle Analyse unserer Statistiken ergab jedoch, dass der API-Traffic sich auf 47 % des gesamten von uns registrierten Layout- und Datentraffics belief.
Dies war eine wichtige Erkenntnis, die in den letzten vier Jahren eine Vielzahl von Diskussionen befeuert hat. Wir haben kürzlich beschlossen, dass es an der Zeit ist, den API-Traffic erneut zu analysieren, und die Ergebnisse waren wieder überraschend: Der als API-Traffic klassifizierte Traffic beläuft sich derzeit auf 83 % aller Aufrufe, während der Anteil des HTML-Traffics auf ganze 17 % gesunken ist.
Diese Verschiebung im Trafficmuster hat erhebliche Auswirkungen auf die Sicherheitsbranche. Viele, wenn nicht sogar die meisten Kontrollmechanismen, die bisher zum Schutz von Traffic generierenden Servern und Systemen eingesetzt wurden, konzentrieren sich auf die Überwachung des Browsertraffics. Die erforderlichen Mechanismen für die Anwendung derselben Kontrollen für den API-Traffic sind möglicherweise weniger zuverlässig, schwieriger zu konfigurieren oder in bestimmten Umgebungen gar nicht vorhanden.
Der untersuchte Traffic stammt aus dem ESSL-Netzwerk, dem sicheren Content Delivery Network von Akamai, das hauptsächlich für sichere Transaktionen wie Banking und Einzelhandel entwickelt wurde. Weitere Informationen zu den in diesem Abschnitt verwendeten Daten, Begriffen und Definitionen finden Sie in der ausführlichen Beschreibung im Anhang.
Alles dreht sich um JSONIm Rahmen dieses Berichts definieren wir API-Traffic als sämtliche HTTPS-Antworten, die in unserem ESSL-Netzwerk den Inhaltstyp JSON oder XML enthalten. Dies kann zwar auch browserbasierten Traffic umfassen,
bei unserer Untersuchung wurde aber festgestellt, dass es sich dabei um einen äußerst kleinen Teil des Traffics handelt, der sich nicht erheblich auf unsere Messungen auswirken würde. Bei den Unternehmen in unserem Reporting haben wir uns auf diejenigen beschränkt, die innerhalb der 10 untersuchten Tage mehr als 1 Million Aufrufe erreichten.
Inhaltstyp
100 %
90 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0 %2014 2018
Inhaltstyp
Anwendung/JSON
Anwendung/XML
Text/HTML
Text/HTML
14 %
54 %
6 %
14 %
17 %
69 %
26 %
Abb. 6:
Der anwendungsbasierte XML-Traffic ist seit 2014 nahezu komplett zurückgegangen.
14„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Unsere aktuellen
Messungen zeigen,
dass diese beiden
Dateitypen sogar
zusammengenommen
noch einen geringeren
Anteil als der JSON-
Traffic ausmachen.
„
API-Traffic, insbesondere JSON-generierter Traffic, basiert in der Regel auf einzelnen, atomaren Anfragen. Anders gesagt: Jede Anfrage ist nicht Teil eines Streams oder einer mehrteiligen Anfrage, sondern ein eigenständiges Datagramm. Im Gegensatz dazu kann der Umfang des zum Erstellen einer Seite erforderlichen HTML-Codes zwar relativ gering sein, doch die abhängigen Bilder und anderer Code sind im Allgemeinen recht umfangreich und bestehen aus Hunderten von Objekten.
Bei der Analyse der Inhaltstypen im HTTPS-Traffic stellten wir fest, dass JSON der beliebteste Inhaltstyp ist. In der Vergangenheit nahmen Bilddateien wie JPEGs und GIFs den Hauptanteil des Traffics im ESSL-Netzwerk ein. Unsere aktuellen Messungen zeigen, dass diese beiden Dateitypen sogar zusammengenommen noch einen geringeren Anteil als der JSON-Traffic ausmachen. Wenn wir jedoch alle Bildtypen als einen betrachten, so ergeben sie einen größeren Anteil als der JSON-Traffic.
Man kann somit wohl sagen, dass unser ESSL-Netzwerk zunehmend hauptsächlich der Weiterleitung von API-Traffic dient. Grund dafür sind einige sehr große Trafficverbraucher in den Branchen Medien und Hightech. Dabei handelt es sich in der Regel um Unternehmen, die Nachrichten, Wetterdaten, Medienstreaming und Spiele bereitstellen.
Insgesamt ist der Umfang des JSON-Traffics derzeit viermal so hoch wie der des HTML-Traffics – aber selbst wenn man die fünf trafficstärksten Unternehmen aus der Analyse herausnimmt, herrscht noch doppelt so viel JSON-Traffic wie HTML-Traffic. Es steht außer Frage, dass dieser API-Traffic zu einem wichtigen Teil dessen geworden ist, was Unternehmen aller
Größen sowohl verbrauchen als auch produzieren.
15„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
In Abbildung 7 wird die Verteilung des API-Traffics aufgezeigt. Auf einen
Blick lässt sich erkennen, dass der Bereich Medien insgesamt fast zwei
Drittel (63 %) der Aufrufe einnimmt. Dies ist nicht nur auf einen einzigen
großen Verbraucher zurückzuführen, sondern auch auf die hohe Anzahl
von Medienwebsites, die auf API-Traffic basieren. Der zweitgrößte
Erzeuger von API-Traffic stammt aus dem Hightech-Segment. Unsere
Branchenkategorisierung beruht auf Akamai-Klassifizierungen und
-Traffic und deckt sich möglicherweise nicht vollständig mit den üblichen
Branchenstandards.
Abgesehen von den Sicherheitsbedenken ist der Wechsel zum API-
Traffic auch aus Performance-Perspektive wichtig. Die Cachefähigkeit
als Maß dafür, wie viel Traffic auf den Servern gespeichert werden kann,
die von Content Delivery Networks wie Akamai verwendet werden, ist
zwischen HTML- und API-Aufrufen vergleichbar. Während ein Drittel
der dokumentierten Treffer mit „no-store“ (Nicht speichern) markiert
wurde, wodurch das Zwischenspeichern verhindert wurde, war die
Cachetrefferquote für den API-Traffic tatsächlich etwas höher als die für
API-AufrufeBranchen und Unternehmen (Millionen)
Marktsegment
Handel Unternehmen Gaming Hightech Medien & Entertainment Medien Sonstige Öffentlicher Sektor
Medien 89.235
Medien 17.635
Medien 16.838
Hightech 59.481
Hightech 11.972
Sonstige 15.523
Hightech 5.367
Hightech
Hightech 29.634
Medien 11.511
Medien 10.079
Medien 9.767
Medien 8.627
Medien 8.019
Medien 4.345
Medien
Medien
Medien
Medien 21.365
Medien 39.442
Abb. 7:
Medienunternehmen
liegen bei den API-
Nutzern deutlich vorne.
API-TrefferBranchen und Unternehmen
(Millionen)
16„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
den HTML-Traffic. Dies bedeutet, dass ein erheblicher Teil des API-Traffics
von den Ursprungsservern des Kunden ausgelagert und von Edge-Servern
in der Nähe des Endnutzers bedient wird. Dadurch wird die Last sowohl
auf dem Ursprungsserver als auch auf dem Internet-Backbone insgesamt
deutlich reduziert.
Die meisten JSON-Dokumente werden nicht über Browser gesendet.
Mindestens 66 % des API-Traffics werden über Smartphones,
Anwendungen und eingebettete Geräte (wie Spielkonsolen, Streaming-
Geräte und Smart-TVs) bereitgestellt. Im Gegensatz dazu sind alle Browser
zusammen für nur 27 % des API-Traffics verantwortlich; bei anderen
Programmen oder Geräten sind es nie mehr als einstellige Prozentsätze.
Smartphones greifen in hohem Maße auf APIs zu und benötigen zur
Verbindung mit dem Internet ein Mobilfunknetz. Da diese Kommunikation
größtenteils programmgesteuert ist, erfolgt ein größerer Teil des Mobilzugriffs
über APIs statt über HTML. Der Anteil der Anfragen aus Mobilfunknetzen liegt
mit 37 % im Vergleich zu 18 % doppelt so hoch wie bei HTML.
Der Großteil unserer vorherigen Untersuchung des API- und HTML-
Traffics konzentrierte sich auf die Anzahl der registrierten Aufrufe. Ein
weiterer wichtiger Aspekt sind jedoch die zur Unterstützung der einzelnen
Kommunikationsarten erforderlichen Bits und Bytes. Sowohl API- als auch
HTML-Traffic weist eine durchschnittliche Objektgröße von unter 1 KB auf.
Die meisten JSON-
Dokumente werden
nicht über Browser
gesendet. Mindestens
66 % des API-
Traffics werden
über Smartphones,
Anwendungen und
eingebettete Geräte
(wie Spielkonsolen,
Streaming-Geräte
und Smart-TVs)
bereitgestellt.
„
Abb. 8:
Der Großteil des API-
Traffics basiert auf
nutzerdefinierten
Anwendungen und lässt
sich nicht so einfach
kategorisieren.
API-Traffic nach User AgentAPI-Traffic nach User Agent
UA
Chrome
Mobile Safari
Firefox
Internet Explorer
Edge
Safari
IE Mobile
Sonstige
CFNetwork
Apache HttpClient
13 %
8 %
2 %
2 %
1 %
1 %
0 %
66 %
3 %
2 %
TYP
Browser
Kein Browser
%
17„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Beim High-End-Traffic gibt es dafür enorme Unterschiede: Das
95. Perzentil des API-Traffics beträgt beim JSON-Traffic 18 KB, während
es beim HTML-Traffic 105 KB sind. Diese Information ist wichtig, da ein
typisches TCP-Segment 1.400 bis 1.500 Byte umfasst, sodass große
Objekte nicht in ein einzelnes Segment passen. Darüber hinaus kann eine
geringe Anzahl von Segmenten in einem einzigen, von Akamai-Servern
verwendeten RTT-Auslastungsfenster (Round-Trip-Time) gesendet werden.
Aus diesem Grund kann es vorkommen, dass eine 18-KB-Nachricht in das
Anfangsfenster eines einzelnen RTT-Fensters passt, eine 105-KB-Nachricht
dagegen nicht. Das führt dazu, dass ein größeres HTML-Trafficvolumen
über mehrere RTTs übertragen werden muss, während JSON-Traffic selbst
bei einer neu eingerichteten Verbindung größtenteils innerhalb eines
einzigen RTT-Zeitraums übertragen wird.
FazitIn den letzten vier Jahren haben wir festgestellt, dass API-Aufrufe im
Akamai-Netzwerk von weniger als der Hälfte des gesamten HTTP-Traffics
auf 83 % angestiegen sind und die HTML-Aufrufe überrundet haben.
Für Sicherheitsexperten ist dies von entscheidender Bedeutung – nicht
alle Tools sind in der Lage, diese Veränderung zu bewältigen, und
möglicherweise übersehen Sie daher bei Ihren Abwehrmaßnahmen eine
wichtige Quelle für schädlichen Traffic. Unseren Teamkollegen, die sich um
die Performance der Server kümmern, fehlt möglicherweise ein Großteil
der Gleichung, wenn JSON- und XML-Traffic nicht berücksichtigt wird.
Anwendungen unterscheiden sich von herkömmlichen Webseiten. Sie
benötigen keine Informationen zu Layout und Stil, da diese Informationen
bereits beim Zeitpunkt der Erstellung verfügbar sind. Stattdessen
benötigen sie aber für die ständig wechselnden Nachrichten, Wetterdaten
und Sportnews aktualisierte Daten und Bilder. Auch Ihre Gaming- und
Streamingsysteme benötigen Updates, damit Sie über die neuesten
Veröffentlichungen informiert sind. Wenn man sich einzelne Anfragen
ansieht, ist der Umfang der eingehenden Daten zwar wesentlich geringer,
aber das Volumen dieser Anfragen wird mit der Zeit wachsen.
Unseren Teamkollegen,
die sich um die
Performance der
Server kümmern, fehlt
möglicherweise ein
Großteil der Gleichung,
wenn JSON- und
XML-Traffic nicht
berücksichtigt wird.
„
18„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
WIRD IPV6 UNTERSCHÄTZT?Einführung von IPv6 in rekursiven DNS-ResolvernIn diesem Abschnitt geht es um die Einführung von IPv6 in rekursiven
Resolvern des Domain Name System. Rekursive Resolver sind eine
wichtige Komponente des Internet-Ökosystems, da sie von Clients zum
Auflösen von Hostnamen in IP-Adressen und zum Zwischenspeichern von
Antworten verwendet werden, um die Auflösungsverzögerung und auch
die Last auf autorisierenden Servern zu reduzieren.
Im Juni 2018 haben wir Statistiken zur Einführung von IPv6 auf der Akamai-
Plattform veröffentlicht. Der durchschnittliche Prozentsatz von Content-
Anforderungen an Dual-Stack-fähige Hostnamen, der von der Akamai-
Plattform registriert wurde, lag bei ca. 45 % und somit deutlich höher als
vor zwei Jahren. Der analysierte Netzwerktraffic ist Client (Endnutzer)-zu-
Edge-Traffic und deutet auf die Einführung von IPv6 im Edge-Netzwerk
hin. Wir untersuchen Daten, die vom rekursiven DNS-Resolver zum
autoritativen Server geleitet werden, um mehr über die Einführung in den
Kernkomponenten des Internets zu erfahren.
Wichtige Statistiken zum DNS-Traffic bei den autoritativen Nameservern
von Akamai zeigen, dass der Großteil des Traffics nach wie vor IPv4-Traffic
ist. Im Juli 2017 waren nur 11 % des Traffics auf IPv6 zurückzuführen,
was deutlich unter den 45 % des Traffics für die Inhaltsbereitstellung
über IPv6 liegt. Um zu verstehen, warum die Nutzung von IPv6 in diesen
Kernkomponenten wesentlich geringer erscheint, werfen wir einen
genaueren Blick auf den DNS-Traffic von Akamai.
Zunächst stellen wir fest, wie wichtig die Analyse von Dual-Stack-Resolvern
ist. Dies ist entscheidend, da es keine offensichtliche Möglichkeit gibt,
DNS-Anforderungen über IPv4 mit DNS-Anforderungen über IPv6 zu
korrelieren und den einzelnen rekursiven Resolver zu identifizieren, der
die beiden Trafficsätze generiert. Hierbei machen wir uns also die Tatsache
zunutze, dass Software für rekursive Resolver bei der Auflösung eines
einzigen Hostnamens unter bestimmten Umständen mehrere Schnittstellen
verwendet, wenn diese verfügbar sind (z. B. Dual Stacking). Mithilfe von
DNS-Trafficprotokollen vom Juli 2017, die 429.000 verschiedene rekursive
Resolver-IP-Adressen enthalten, bündeln wir zunächst die IP-Adressen
basierend auf der im Whitepaper „Das macht kooperative Lösungen in
rekursiven DNS-Resolvern aus“ beschriebenen Technik.
Die IP-Adressen innerhalb eines Clusters sind miteinander verbunden,
weil sie innerhalb derselben DNS-Auflösung analysiert werden. Cluster,
die sowohl IPv4- als auch IPv6-Adressen enthalten, umfassen daher
wahrscheinlich Dual-Stack-Resolver. Von den Clustern bestanden
6 % offenbar aus Dual-Stack-Resolvern. Die Dual-Stack-Cluster sind
tendenziell etwas größer als andere Cluster. Aus diesem Grund schätzten
wir, dass 7 % aller rekursiven Resolver ab Juli 2017 Dual-Stack-Resolver
sind. Wir stellten fest, dass einer der Hauptgründe für ein langsames
Im Juli 2017 waren nur
11 % des Traffics auf
IPv6 zurückzuführen,
was deutlich unter den
45 % des Traffics für die
Inhaltsbereitstellung
über IPv6 liegt.
„
19„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Wachstum des IPv6-Traffics bei rekursiven Resolvern darin besteht, dass
Betreiber die Resolver nicht mit IPv6-Adressen konfigurieren.
Dies ist jedoch nicht der einzige Grund. Bei unserer Analyse der Dual-Stack-
Resolver untersuchten wir auch, welche Schnittstelle jeweils für die DNS-
Auflösung gewählt wurde. Obwohl nur 7 % der rekursiven Resolver Dual-
Stack-Resolver sind, sind sie die Resolver mit dem höchsten Trafficvolumen.
Insgesamt wurden 37 % der DNS-Abfragen in den DNS-Trafficprotokollen
über Dual-Stack-Resolver gesendet. Doch warum erfolgt dann weniger
als 11 % des DNS-Traffics über IPv6? Bei Dual-Stack-Resolvern wird
IPv4 gegenüber IPv6 eindeutig bevorzugt. Für jeden Cluster wurde das
Verhältnis von DNS-Abfragen mithilfe von IPv4-Schnittstellen und DNS-
Abfragen mithilfe von IPv6-Schnittstellen berechnet und festgestellt, dass
der Mittelwert 11:1 beträgt. Bei weniger als 10 % der Cluster wird IPv6
bevorzugt gegenüber IPv4 eingesetzt. Unsere Ergebnisse zeigen, dass ein
zweiter Grund für einen geringen IPv6-Anteil in rekursiven Resolvern auf
die große Mehrheit der Dual-Stack-Resolver zurückzuführen ist, die DNS-
Abfragen eher über IPv4 als über IPv6 senden.
Der Entscheidungsprozess kann durch mehrere Aspekte beeinflusst
werden. Erstens weisen viele Domänen eine inkonsistente Anzahl von IPv4-
und IPv6-Delegationen auf. Wenn ein rekursiver Resolver mehr IPv4- als
IPv6-Delegierungsoptionen hat, kann es selbst dann, wenn die Abfragen
gleichmäßig zwischen den Delegationen verteilt sind, so aussehen, als ob
IPv4 gegenüber IPv6 vorgezogen wird.
Zweitens stellen viele Softwarepakete für rekursive Resolver bekannte
Gewichtungsdelegationen gemäß der inversen Latenz dar. Wenn
die IPv6-Konnektivität schlecht ist, was zu einer hohen Latenz führt,
wird bei rekursiven Resolvern aus diesem Grund möglicherweise
IPv4 bevorzugt. Schließlich können Betreiber rekursiver Resolver
Richtlinienentscheidungen erzwingen, um nicht IPv6, sondern IPv4 als
vertrautere Technologie zu verwenden.
Die Nutzung von IPv6 in rekursiven DNS-Resolvern scheint im Vergleich zur
Einführung an der Edge nicht zuzunehmen. Es gibt hierfür eine Vielzahl von
Ursachen und noch eine Menge zu tun. Betreiber autoritativer DNS-Server
müssen sicherstellen, dass genauso viele IPv6-Delegierungsoptionen wie für
IPv4 bereitgestellt werden und dass die Performance der IPv6-Delegationen
mit denen von IPv4 vergleichbar ist. Betreiber rekursiver Resolver sollten
überprüfen, ob eine Richtlinie vorhanden ist, durch die IPv4 bevorzugt wird,
und dafür sorgen, dass alle Bereitstellungen mit Dual Stack erfolgen.
Muster bei der IPv4-/IPv6-AdresszuweisungIn unserer Studie zu Clustern aus rekursiven Dual-Stack-Resolvern haben
wir bei IP-Adresszuweisungen Muster beobachtet, die in Zukunft zur
schnelleren Verknüpfung von IPv4- und IPv6-Adressen verwendet werden
könnten.
Die Nutzung von
IPv6 in rekursiven
DNS-Resolvern
scheint im Vergleich
zur Einführung
an der Edge nicht
zuzunehmen.
„
20„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Bei diesen Daten haben wir verschiedene Möglichkeiten untersucht, die IPv4- und IPv6-Adressen eines Dual-Stack-Resolvers miteinander in Beziehung zu setzen: (i) die IPv4-Oktette, die als letzte 4 Hextette eingebettet sind (z. B. 1.2.3.4 und 89ab::1:2:3:4), (ii) das endgültige IPv4-Oktett, das dem endgültigen IPv6-Hextett entspricht (z. B. 1.2.3.4 und 89ab::4) und (iii) die vollständige IPv4-Adresse, die in der IPv6-Adresse eingebettet ist, jedoch nicht in den endgültigen 4 Hextetten (z. B. 1.2.3.4 und 89ab::1:2:3:4:5678).
Außerdem konnten wir inkrementelle IP-Zuweisungsmuster zwischen den Dual-Stack-Resolvern innerhalb desselben autonomen Systems (AS) beobachten, die ebenfalls zur positiven Identifizierung von Dual-Stack-Resolvern beitragen. Beispielsweise kann die IP-Zuweisung sowohl bei IPv4 als auch bei IPv6 inkrementell erscheinen, in Wirklichkeit aber verschoben sein: w.x.y.z bildet einen Cluster mit a:b:c:${z+C}, wobei C eine Konstante ist. Es ist offensichtlich, dass Betreiber bei der IPv4-/IPv6-Adresszuweisung viele unterschiedliche Muster verwenden. Wenn die Muster für ein autonomes System von vornherein bekannt sind, kann dies für den Abgleich von IPv4- und IPv6-Aufrufen über Dual-Stack-Resolver nützlich sein, wodurch der Erkennungsprozess erheblich vereinfacht wird.
IP-Cluster aus rekursiven Resolvern schützen vor Cache PoisoningBei den zuvor erwähnten IP-Adress-Clustern rekursiver Resolver stellten wir fest, dass viele Cluster (38 %) mehr als zwei IP-Adressen enthalten und daher mehr sind als nur Dual-Stack-Resolver. Stattdessen verwenden Betreiber von rekursiven Resolvern mehrere IPv4- bzw. mehrere IPv6-Adressen innerhalb derselben DNS-Auflösung. Diese größeren Cluster belaufen sich auf fast 72 % des von uns beobachteten DNS-Traffics.
Dieses Verhalten kann unterschiedliche Gründe haben, wie z. B. der Lastausgleich über physische Hardware hinweg. Allerdings ergibt dich dadurch auch ein Sicherheitsvorteil. DNS-Cache-Poisoning-Angriffe wie beispielsweise der Kaminsky-Angriff erfordern gegebenenfalls das Spoofing von DNS-Antworten, die mit den vom rekursiven Resolver gesendeten DNS-Abfragen übereinstimmen. Die Felder der DNS-Antwort, die mit der DNS-Abfrage übereinstimmen müssen, sind (i) Quell-IP/-Port, (ii) Ziel-IP/-Port, (iii) DNS-Abfrage und (iv) DNS-Transaktions-ID. Innerhalb eines Clusters aus rekursiven DNS-Resolvern kann jede DNS-Abfrage von einer beliebigen IP-Adresse im Cluster stammen.
Daher muss beim Spoofing einer passenden DNS-Antwort neben den anderen Feldern auch die korrekte Ziel-IP-Adresse aus dem Cluster erraten werden. Viele Cluster enthalten nur zwei IP-Adressen; es gibt aber auch häufig sehr große Cluster mit mehr als 10 IP-Adressen. Dadurch wird es erheblich schwieriger, DNS-Cache-Poisoning-Angriffe durchzuführen. Somit sind Cluster aus rekursiven Resolvern eine nützliche Methode, um das Risiko von Cache Poisoning zu verringern.
Viele Cluster enthalten
nur zwei IP-Adressen;
es gibt aber auch
häufig sehr große
Cluster mit mehr als
10 IP-Adressen.
„
21„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
AusblickWir hoffen, dass Sicherheitsteams und Sicherheitsexperten in den
kommenden Jahren zunehmend in alle Aspekte der Geschäftsbereiche
integriert werden. Wurden wir früher noch als „Neinsager-Abteilung“
wahrgenommen, so haben wir uns im Laufe der Zeit erheblich
weiterentwickelt. Die Sicherheitsbranche als Ganzes ist zwar gewachsen,
es gibt aber weiterhin viel zu tun. Unser Beruf wirkt sich mittlerweile auf
alle Unternehmensbelange aus, und der Bereich Sicherheit spielt bei
Geschäftsplanung und Wachstum heute eine zentrale Rolle.
In jedem Abschnitt dieser Ausgabe des „State of the Internet“-
Sicherheitsberichts wurden Sicherheitsaspekte behandelt, die insgesamt
häufig übersehen werden, aber dennoch entscheidend für den täglichen
Betrieb sind. Diese Untersuchungen liefern Hintergrundinformationen für
das, was wir für die kommenden Quartale und Jahre erwarten.
Einer der wichtigsten Aspekte, die man im Auge behalten sollte, ist die
Entwicklung von API. Da der API-Traffic den HTML-Traffic mittlerweile in den
Hintergrund gedrängt hat, müssen Sicherheitsteams und Unternehmen
dieser neuen Realität gerecht werden. Wie bereits erwähnt, sind viele derzeit
verwendete Tools nicht in der Lage, diese Verlagerung zu bewältigen, was
zu Schwachpunkten führt. Aufgrund der Verbreitung von Mobilgeräten und
der IoT-Technologie wird sich dieser Trend auch in Zukunft fortsetzen. Die
Art und Weise, wie Unternehmen diese Herausforderung angehen, wird
große Auswirkungen auf diese Entwicklung haben.
Im Zusammenhang mit der API-Entwicklung zeigt der Bericht über
Credential Stuffing, wie gefährlich mehrfach verwendete Anmeldedaten
für verschiedene Märkte sein können. Es ist zwar nicht das erste Mal,
dass Sicherheitsexperten empfehlen, nicht dieselben Anmeldedaten
für verschiedene Konten zu verwenden; aber manchmal sind alte
Gewohnheiten schwer abzulegen. Obwohl es diesem Bericht in erster
Linie um den Einzelhandel geht, ist dies ist nicht die einzige Branche,
die von diesen Angriffen betroffen ist. Die Tragweite von Credential
Stuffing in anderen Märkten und Branchen sowie die verheerenden
Auswirkungen von Kontoübernahme-Angriffen auf Unternehmen dürfen
nicht unterschätzt oder ignoriert werden.
Die Internetumgebung verändert sich rasant schnell, und diese Trends
sind erst der Anfang eines großen Wandels. Sicherheitsteams und
-experten müssen ständig neue Wege auftun, um die Sicherheit von
Nutzern und Unternehmen zu gewährleisten.
Da der API-Traffic
den HTML-Traffic
mittlerweile in
den Hintergrund
gedrängt hat, müssen
Sicherheitsteams und
Unternehmen dieser
neuen Realität gerecht
werden.
„
22„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Anhang: MethodikALLGEMEINE HINWEISEWir treffen die bewusste Entscheidung, die Nennung von Produkten im
„State of the Internet“-Sicherheitsbericht auf ein Minimum zu beschränken
und Produkte nur so oft wie nötig zu erwähnen, um zu erläutern, wo und
wie die Daten erfasst wurden. In aktuellen Berichten haben wir an einer
umfangreicheren Beschreibung der Datenerfassung gearbeitet, damit
Leser die Text- und Statistikdaten richtig einordnen können.
Bei den Themen in dieser Ausgabe, insbesondere bei der Untersuchung
des API-Traffics, war es uns wichtig, näher auf unsere Lösungen und die Art
und Weise einzugehen, wie wir Terminologie in unseren Inhalten verwenden.
Bei der von verschiedenen Segmenten der Internet-Tech-Community
verwendeten Terminologie gibt es viele Unstimmigkeiten. Daher ist es uns
wichtig ist, die Verwendung unserer Terminologie zu verdeutlichen.
SCHÄDLICHE TOOLS IM EINZELHANDELDie Daten zum Missbrauch von Anmeldedaten in dieser Ausgabe
stammen aus einem internen Tool namens Cloud Security Intelligence (CSI).
Bei diesem Tool handelt es sich um ein Datenrepository aus mehreren
Produktlinien. Die Daten sind nur vorübergehend verfügbar und werden
innerhalb von höchstens 90 Tagen gelöscht. Der Umfang des vollständigen
Datensatzes liegt derzeit bei über neun Petabyte und wächst ständig an.
Versuche, Anmeldedaten zu missbrauchen, wurden als fehlgeschlagene
Anmeldeversuche für Konten identifiziert, bei denen eine E-Mail-Adresse als
Nutzername verwendet wird. Zur Abgrenzung von Missbrauchsversuchen
gegenüber Aktivitäten von echten Nutzern, die Tippfehler machen, wurden
zwei verschiedene Algorithmen verwendet. Der erste ist eine einfache
volumetrische Regel, die die Anzahl der Anmeldefehler für eine bestimmte
Adresse zählt. Dieser Vorgang unterscheidet sich insofern von dem, was
ein einzelnes Unternehmen ermitteln könnte, als dass Akamai Daten über
Hunderte von Unternehmen hinweg korreliert.
Der zweite Algorithmus verwendet Daten aus unseren Bot-
Erkennungsservices, um Missbrauch von Anmeldedaten durch bekannte
Botnets und Tools zu identifizieren. Mit einem gut konfigurierten Botnet
kann eine volumetrische Erkennung vermieden werden, indem der Traffic
auf viele Ziele verteilt wird. Erreicht wird dies durch eine große Anzahl von
Systemen im Scan oder durch Verteilen des Traffics über einen bestimmten
Zeitraum hinweg, um nur einige wenige Gegenmaßnahmen zu nennen.
Mit einem gut
konfigurierten Botnet
kann eine volumetrische
Erkennung vermieden
werden, indem der
Traffic auf viele Ziele
verteilt wird. Erreicht
wird dies durch eine
große Anzahl von
Systemen im Scan
oder durch Verteilen
des Traffics über
einen bestimmten
Zeitraum hinweg, um
nur einige wenige
Gegenmaßnahmen zu
nennen.
„
23„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
API-TRAFFIC AUF DEM VORMARSCHÄhnlich wie bei anderen großen Unternehmen ist die Intelligent Edge-
Plattform von Akamai keine einzelne monolithische Einheit. Die Wurzeln
von Akamai liegen in unserem Content Delivery Network, und viele der
heute von uns angebotenen Lösungen sind daraus entstanden.
Der ESSL-Service (Enhanced-SSL) wurde ursprünglich als separates
Netzwerksegment für die Anforderungen der PCI-DSS-Standards (Payment
Card Industry Data Security) entwickelt. Das ESSL-Netzwerk ist für Händler,
Handelsunternehmen und Finanzinstitute konzipiert und verfügt über
zusätzliche physische, logische und digitale Kontrollen, die von PCI und
anderen behördlichen und Compliance-Vorschriften gefordert werden.
Anders als der Name vermuten lässt, unterstützt ESSL TLS und andere
moderne Verschlüsselungsschemata.
Seit der Einführung von ESSL ist der Wunsch nach sicheren,
verschlüsselten Systemen für den gesamten Traffic keine Ausnahme mehr,
sondern zum Standard geworden. Aufgrund dieser Änderung wird für
fast 20 % des gesamten von Akamai bereitgestellten Traffics das ESSL-
Netzwerk verwendet; dieser beläuft sich derzeit auf etwa 8 Tbit/s. Bei der
Messung des Traffics anhand von Aufrufen statt Bits ist ESSL eines der
wichtigsten Akamai-Netzwerke und bedient den Großteil unseres HTTPS-
basierten Traffics.
Im Zuge unserer Analyse des API- und HTML-Traffics haben wir im
Oktober 2018 über einen Zeitraum von 10 Tagen den Traffic im ESSL-
Netzwerk untersucht. Seitdem wurden ähnliche Abfragen über kürzere
Zeitspannen durchgeführt, die nahezu identische Trends zeigen.
Bei den Abfragen wurden speziell API- und HTML-Traffic und keine Bilder
oder anderweitiger Traffic berücksichtigt, der kein API- (JSON und XML)
oder HTML-Traffic ist. Wir haben uns bewusst darum bemüht, zwischen
Aufrufen (Anfragen/Antworten) und Traffic (die per Volume gesendeten
Bits und Bytes) zu unterscheiden.
Seit der Einführung
von ESSL ist der
Wunsch nach sicheren,
verschlüsselten
Systemen für den
gesamten Traffic keine
Ausnahme mehr,
sondern zum Standard
geworden.
„
24„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2
Quellen
„State of the Internet“-Sicherheitsbericht – das Team
Tony Lauro, Senior Manager, Security Strategy – Schädliche Tools im Einzelhandel
Martin Flack, Principal Architect – API-Traffic auf dem Vormarsch
Moritz Steiner, Principal Architect – API-Traffic auf dem Vormarsch
Kyle Schomp, Performance Engineer Senior II – Wird IPv6 unterschätzt?
Rami Al-Dalky, Intern – Wird IPv6 unterschätzt?
Redaktionsteam
Martin McKeay, Editorial Director
Amanda Fakhreddine, Sr. Technical Writer, Managing Editor
Steve Ragan, Sr. Technical Writer, Editor
Kreativteam
Benedikt Van Holt, Art Direction
Brendan John O’Hara, Graphic Design
Georgina Morales Hampe, Kylee McRae und Murali Venukumar, Project Management
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-Architekturen zu optimieren. Akamai hält Angriffe und Bedrohungen fern und bietet im Vergleich zu anderen Anbietern besonders nutzernahe Entscheidungen, Anwendungen und Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.de, im Blog blogs.akamai.com/de oder auf Twitter unter @AkamaiDACH sowie @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.de/locations. Veröffentlicht: Februar 2019