Forscher demonstrieren Botnetz aus kostenlosen Cloud-Testinstanzen

Zwei Sicherheitsforscher werden kommenden Monat auf der Konferenz Black Hat in Las Vegas demonstrieren, wie sich ein Botnetz aus kostenlosen Instanzen bei Applikations-Hosting-Dienstleistern erstellen lässt. Gegenüber Wired haben Rob Ragan und Oscar Salazar vorab die Grundzüge ihres „Zombie-Online-Botnetzes“ geschildert.

Die beiden nutzen demnach nur Test-Instanzen und dauerhaft kostenlos angebotene Ressourcen von Cloud-Anbietern. Diese richten sie automatisch in großer Zahl ein, sodass sie ein Botnetz aus rund tausend Instanzen (also virtuellen Servern) zusammenbekommen.

„Wir haben letztlich einen kostenlosen Supercomputer entwickelt“, zitiert die US-Publikation Ragan. „Bösartige Aktivitäten auf Basis solcher Dienste werden wir künftig sicherlich vermehrt beobachten.“ Beide arbeiten übrigens für das Security-Beratungsunternehmen Bishop Fox.

Ein solches Botnetz in der Cloud könnte ihnen zufolge genutzt werden, um koordinierte Cyberangriffe zu starten, um Passwörter zu knacken oder fürs Mining von Kryptowährungen wie Bitcoin. Ihr konkretes Botnetz sei vor allem für ein Mining von Litecoin ausgelegt, der hinter Bitcoin zweitmeistgenutzten digitalen Währung. Täglich konnten sie während eines Tests rund 25 Cent pro Tag und Cloudzugang generieren. In der Summe wären sie dauerhaft auf etwa 1750 Dollar pro Woche gekommen. „Und die Stromrechnung zahlen andere“, sagt Ragan.

Außerdem glauben beide Forscher, ihr Botnetz sei legal, solange es nicht für Angriffe oder illegales Mining genutzt werde. Allerdings verstoßen sie wahrscheinlich gegen die Nutzungsbedingungen der Cloudanbieter.

Dem Bericht zufolge untersuchten sie die von 150 Cloud-Anbietern eingerichteten Registrierungsverfahren. Nur ein Drittel fordert demnach einen über eine E-Mail-Adresse hinausgehenden Identitiätsnachweis. In diesen Fällen wird zumindest nach einer Telefon- oder Kreditkartennummer gefragt oder ein Captcha eingeblendet. Zwei Drittel der Anbieter ergreifen keine solche Vorkehrung.

Wired nennt Amazon, CloudBees, Cloud Foundry, Google und Heroku als Beispiele für den Typ Hosting-Anbieter, dessen Dienste die Forscher nutzen. Die Forscher selbst haben aber keine Namen von Firmen genannt, bei denen sie automatisch kostenlose Zugänge einrichten konnten. Allerdings kommentieren sie, die meisten Anbieter in diesem Markt seien bestrebt, so schnell wie möglich Kunden zu gewinnen. Das sei offenbar wichtiger als Schutz vor Missbrauch.

Bedenklich ist an dem geschilderten Verfahren auch, dass sich ein solches Botnetz für Denial-of-Service-Angriffe nutzen ließe. Opfer hätten dann mutmaßlich große Probleme, müssten sie doch Traffic ausfiltern, der von wichtigen Cloud-Anbietern kommt. „Stellen Sie sich ein DDos-Attacke vor, bei der die IP-Adressen alle Google und Amazon gehören“, sagt Ragan. „Das wird eine Herausforderung. Sie können nicht deren ganzes IP-Spektrum blockieren.“

[mit Material von Tom Jowitt, TechWeekEurope.co.uk]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.