Categories: RegulierungZensur

Google: Verschlüsselung hätte Chinas DDoS-Angriffe verhindert

Google hat von China ausgehende DDoS-Angriffe auf GitHub und Greatfire.org kommentiert. Nach seinen Erkenntnissen hätte durchgängige Verschlüsselung die Umlenkung von Traffic durch die Angreifer verhindert. In einem Blogbeitrag schreibt sein Security Engineer Niels Provos: „Dies liefert weitere Motivation, um das Web auf verschlüsselte, in ihrer Integrität geschützte Kommunikation umzustellen. Leider ist die Abwehr solcher Angriffe für Website-Betreiber nicht einfach.“

Verlauf des „Great Cannon“-Angriffs (Diagramm: Google)Der Angriff, den Google vom 1. März bis 15. April beobachtete, wird inzwischen als „Great Cannon“ („große Kanone“, in Anlehnung an das staatliche chinesische Zensursystem „Great Firewall“) bezeichnet. Google hat auf Basis seiner Safe-Browsing-Infrastruktur eine Analyse vorgelegt. Demnach wurde das Angriffsverfahren zunächst getestet; ab dem Angriff auf Greatfire.org am 14. März begann der Einsatz im großen Maßstab.

Schon länger ist klar, dass Unbekannte aus dem Ausland an die Suchmaschine Baidu gerichtete Anfragen am Übergang zum chinesischen Netz manipulierten. Provos erklärt, wie solcher Traffic durch Injektion von HTML und JavaScript auf die Opfer des Angriffs umgelenkt wurde: „Zunächst erfolgten die Anfragen über HTTP, und sie wurden später auf HTTPS umgestellt. Am 14. März begann der Angriff wirklich und zielte sowohl über HTTP als auch über HTTPS auf d3rkfw22xppori.cloudfront.net ab. Dieser spezielle Host wurde bis 17. März angegriffen.“

Von dort aus wurde der Traffic wiederum umgeleitet: „Während dieser Phase begann der Cloudfront-Host irgendwann, 302-Redirects zu greatfire.org und anderen Domains zu liefern. Die Ersetzung von JavaScript endete am 20. März komplett, aber Injektionen in HTML-Seiten gab es weiter. Der Angriff auf GitHub scheint am 7. April geendet zu haben, und zu diesem Zeitpunkt beobachteten wir letztmals Code-Injektionen.“

Google hat im Lauf seiner Beobachtung 19 verschiedene JavaScript-Angriffscodes ausgemacht. Die Zahl der HTML-Attacken ließ sich nicht ermitteln, sie operierten aber ähnlich.

Im Rahmen von Safe Browsing konnte Google nur HTTP-Traffic analysieren. Es kann daher keinen bestimmten Angreifer identifizieren. Immerhin zeige der Fall, dass sich ein solcher Angriff nicht leicht verbergen lasse, erklärte Provos. „Das könnte auf künftige Versuche abschreckend wirken.“

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago