Google: Verschlüsselung hätte Chinas DDoS-Angriffe verhindert

Verlauf des "Great Cannon"-Angriffs (Diagramm: Google)

Google hat von China ausgehende DDoS-Angriffe auf GitHub und Greatfire.org kommentiert. Nach seinen Erkenntnissen hätte durchgängige Verschlüsselung die Umlenkung von Traffic durch die Angreifer verhindert. In einem Blogbeitrag schreibt sein Security Engineer Niels Provos: „Dies liefert weitere Motivation, um das Web auf verschlüsselte, in ihrer Integrität geschützte Kommunikation umzustellen. Leider ist die Abwehr solcher Angriffe für Website-Betreiber nicht einfach.“

Verlauf des „Great Cannon“-Angriffs (Diagramm: Google)Der Angriff, den Google vom 1. März bis 15. April beobachtete, wird inzwischen als „Great Cannon“ („große Kanone“, in Anlehnung an das staatliche chinesische Zensursystem „Great Firewall“) bezeichnet. Google hat auf Basis seiner Safe-Browsing-Infrastruktur eine Analyse vorgelegt. Demnach wurde das Angriffsverfahren zunächst getestet; ab dem Angriff auf Greatfire.org am 14. März begann der Einsatz im großen Maßstab.

Schon länger ist klar, dass Unbekannte aus dem Ausland an die Suchmaschine Baidu gerichtete Anfragen am Übergang zum chinesischen Netz manipulierten. Provos erklärt, wie solcher Traffic durch Injektion von HTML und JavaScript auf die Opfer des Angriffs umgelenkt wurde: „Zunächst erfolgten die Anfragen über HTTP, und sie wurden später auf HTTPS umgestellt. Am 14. März begann der Angriff wirklich und zielte sowohl über HTTP als auch über HTTPS auf d3rkfw22xppori.cloudfront.net ab. Dieser spezielle Host wurde bis 17. März angegriffen.“

Von dort aus wurde der Traffic wiederum umgeleitet: „Während dieser Phase begann der Cloudfront-Host irgendwann, 302-Redirects zu greatfire.org und anderen Domains zu liefern. Die Ersetzung von JavaScript endete am 20. März komplett, aber Injektionen in HTML-Seiten gab es weiter. Der Angriff auf GitHub scheint am 7. April geendet zu haben, und zu diesem Zeitpunkt beobachteten wir letztmals Code-Injektionen.“

Google hat im Lauf seiner Beobachtung 19 verschiedene JavaScript-Angriffscodes ausgemacht. Die Zahl der HTML-Attacken ließ sich nicht ermitteln, sie operierten aber ähnlich.

Im Rahmen von Safe Browsing konnte Google nur HTTP-Traffic analysieren. Es kann daher keinen bestimmten Angreifer identifizieren. Immerhin zeige der Fall, dass sich ein solcher Angriff nicht leicht verbergen lasse, erklärte Provos. „Das könnte auf künftige Versuche abschreckend wirken.“

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.