IP-Geo-Blocking zwecks Verringerung der Angriffsoberfläche auf unsere Server

[obsigna]

Ich bin der Entwickler der ipdb-tools -- https://github.com/cyclaero/ipdb/. Die gibt es auch in den FreeBSD-Ports -- sysutils/ipdbtools.

Mit Beginn der russischen Invasion der Ukrainie habe ich bei den von mir betreuten Servern bei 3 AWS-EC2-Instanzen davon 2 in Frankfurt und 1 in São Paulo, die jede für sich eine Reihe unterschiedlicher Web-Services bereithalten ein IP-Geo-Blocking für RU an der Firewall eingerichtet.

Meine Beweggründe und wie es geht habe ich in einem BLog-Beitrag erläutert -- https://obsigna.com/articles/1645129152.html

Davon kann man was halten oder auch nicht, das soll aber hier nicht das Thema sein. Hier soll es um die "willkommene" Nebenwirkung auf die Sicherheit unserer Services gehen.

Alle 3 Firewalls zählen nämlich täglich über 5000 TCP-Zugriffe und um die 50 UDP-Zugriffe aus Russland (und mittlerweile aus anderen Schurkenstaaten). Das sind übrigens geblockte SYNs, d.h. das sind einzelne Zugriffsversuche, und zwar 3,5 pro Minute aus RU:IR:KP:SY. Meine Web-Angebote sind jedoch Low-Traffic-Seiten, und ich freue mich bereits wenn alle 10-15 Minuten mal eine Seite vom Rest der Welt regulär abgerufen wird.

Das interessante dabei ist, daß die Blockrate bei allen 3 Servern fast gleich ist, und zwar trotz der unterschiedlichen Inhalte, Services und Standorte. Das ließe sich damit erklären, daß Bots ihre gesteuerte Runde bei allen aktiven IP's drehen um Breschen aufzuspüren, also z.B. Port-Scans, mit dem Zweck Breschen für nachfolgende Angriffe aufzufinden.

Die könnte man zwar verschleiern, z.B. in dem man die über VPN-Server oder über bereits gekaperte Bots im Ausland abwickelt, das geht dann im Falle von VPN aber nicht mehr mit der Rate von 1 Zugriffsversuch pro 3 min bei sagen wir mal einige zig-Millionen Adressen. Oder im Falle der Botnetze würde man die mit High-Traffic lahmlegen, der ja ansonsten gewinnbringend für andere kriminelle Aktivitäten verwendet werden könnte.

Ich gehe nun davon aus, daß Geo-Blocking eine effektive Maßnahme darstellt, um die Angriffsoberfläche auf unsere westliche IT-Infrastruktur aus Schurkenstaaten heraus drastisch zu reduzieren. Das hindert natürlich nicht bereits gekaperte Bot-Netze mit Endpunkten in aller Welt am Zugriff auf unsere Systeme, dürfte aber die Rekrutierung neuer Bots behindern.

Meine Seiten basieren nicht auf Wordpress, dennoch registriere ich in den Logs regelmäßig Zugriffsversuche, auf /wp-login/ und manche WP-Plugins, die ich natürlich auch nicht benutze. Derlei Zugriffsversuche sind seit dem Geo-Blocking von RU drastisch zurückgegangen.

Letzte Woche habe ich ein IoT-Device mit Web-UI bei einer Firma instaliert, die kein Geo-Blocking installiert hat. Da kamen ziemlich komische Anfragen rein, z.B. "PRI * HTTP/1.1". Sowas sehe ich auf meinen RU-geblockten Systemen nicht.

 

[pit234a]

das ist für mich als Endanwender mal sehr interessant zu lesen.
In meiner Vorstellung nutzen Bösewichte immer VPN und TOR, um nicht erkannt werden zu können. Nun sieht es so aus, als nutzen sie Zugänge, die sich als RU ausweisen? Ist das nicht zu einfach?

 

[ari]

Ich gehe nun davon aus, daß Geo-Blocking eine effektive Maßnahme darstellt, um die Angriffsoberfläche auf unsere westliche IT-Infrastruktur aus Schurkenstaaten heraus drastisch zu reduzieren. Das hindert natürlich nicht bereits gekaperte Bot-Netze mit Endpunkten in aller Welt am Zugriff auf unsere Systeme, dürfte aber die Rekrutierung neuer Bots behindern.

Es verringert die Angriffsoberfläche was das "Hintergrundrauschen des Internets" betrifft. Zum Schutz vor Angriffen aus "Schurkenstaaten" ist es wirkungslos.

In meiner Vorstellung nutzen Bösewichte immer VPN und TOR, um nicht erkannt werden zu können. Nun sieht es so aus, als nutzen sie Zugänge, die sich als RU ausweisen? Ist das nicht zu einfach?

Das, was @obsigna da beschreibt, sind (größtenteils) automatisierte Scans nach / Ausnutzungsversuche von Schwachstellen. Die verwenden nicht Tor oder VPN-Services, das sind (in den allermeisten Fällen) kompromittierte Geräte, die Teil eines Botnetzes sind oder als Proxy missbraucht werden.

 

[Ego]

Ich sehe Geo-Blocking durchaus als sinnvolle Maßnahme und trägt wie @ari schon schrieb zur Verringerung der Angriffsoberfläche im Hinblick auf das Hintergrundrauschen bei, aber mehr auch nicht.
Was ich aber als sehr zweifelhaft empfinde, sind Sicherheitserwägungen nach politischen Gutdünken vorzunehmen, wenn ich sowas lese wie "Schurkenstaaten" und "westliche IT-Infrastruktur" bekomme ich ein Zucken im Auge. Politik und IT-Sicherheit schließen einander aus, da hierdurch eine willkürliche, ideologische Einteilung in Schwarz/Weiß bzw. Gut/Böse vorgenommen wird, das kann in einem Kinderbuch verwurstelt werden aber nicht bei Sicherheitserwägungen; je nach Paranoia-Level ist die Welt grau bis schwarz.
Denn wenn ich nach den hier stehenden ideologischen Beweggründen mich beurteilen müßte, bin ich ein ganz böser Mensch, denn nach Beginn des Krieges habe ich massive Scans und Angriffe (vorwiegend SMTP) von unzähligen IPs aus einem bestimmten Netz ( /8 ) verzeichnet und dies daraufhin geblockt. Fun fact: ukrainisches Netz. Sind das nicht die Guten und ich durch das Blocken der Böse?!
Meine aktuelle Blacklist (unbereinigt von Bots auf dynamischen Adressen) hat etwas über 100 Millionen Einträge und da ist bestimmt irgendwie jede Ecke der Welt dabei.

 

[medV2]

Wir hatten Geoblocking ne Zeit lang aktiv, es hat sich aber heraus gestellt, dass man immer auch legitime Anfragen mit blockt. Was wir natürlich noch machen sind Blocklisten und automatisiertes Blocking bei auffälligen IPs.

Es geht hier - wie schon gesagt - nur um das Grundrauschen, das zu reduzieren macht die Loganalyse vielleicht etwas besser, wirklich Sicherheit verspreche ich mir davon aber nicht. Ob ein automatisierter Scan/Angriff jetzt 10 mal am Tag oder 3 mal am Tag in den Logs auf schlägt ist für die Sicherheit des Systems egal.

Das es gegen echte Angriffe nichts bringt sind wir uns ja alle Einig.


Auch zur Einteilung in "böse" Länder und "gute" möchte ich noch was sagen:

Ich hab vor einigen Zeiten - das war noch kurz vor dem russischem Angriffskrieg - einen Artikel über die Situation in Belarus gelesen. Das war ja auch schon als "böse" klassifiziert (Diktator an der Macht, der alle Aufstände brutal niederschlägt). Da ging es darum, dass man es mit Geoblocking in erster Linie den dort operierenden "guten" Organisationen schwer macht gegen den Propagandaapparat zu arbeiten. Die brauchen nämlich einfachen Zugang zu westlichen Medien und Diensten. Für die "böse" Führung ist es dagegen genau das, was ins Propagandabild passt, wenn der böse Westen den Zugang sperrt.

 

[mr44er]

wdmarvel.com ("ukrainisches" Tool für WD-Festplatten, woran bemisst sich das? Serverstandort? Wohnsitz der Programmierer zu 51%?) hat einfach mal entschieden, alle Lizenzüberprüfungsanfragen aus .ru zu blockieren. Dh. datenrettende Personen (ist das überhaupt korrektes wording?) aus Russland haben die Lizenz bezahlt, das Tool verweigert den Dienst. Wie kriegsentscheidend irgendwelche IT-Buden und überhaupt wie hoch der prozentuale Anteil kriegstreibender IT-ler ist, sei mal stark dahingestellt. Irgendwo auf nem Papier stand mal was von Netzneutralität oder wars nur ein feuchter Tagtraum?...aber gut, man bekommt ja auch nicht selten suggeriert, dass jeder Deutsche 1:1 Hitler in Person entspricht und wenn ich eins nicht leiden kann, ist es Geiselhaft. Ist ja eh jeder auf 'der richtigen Seite'...man kann sich ja mal ausmalen was passiert, wenn Microsoft seine Produkte in DE blockt.
Wie heißt es noch so schön? Wenn jeder nur an sich denkt, ist jedem geholfen.

Ich kann den politischen Dampf in diesem Thread schon spüren, möchte aber im Vorfeld daran erinnern, dass politische Themen bei uns unerwünscht sind. Es führt zu keiner Lösung, sondern wird wie immer in Frust enden.

 

[medV2]

wdmarvel.com ("ukrainisches" Tool für WD-Festplatten, woran bemisst sich das? Serverstandort? Wohnsitz der Programmierer zu 51%?) hat einfach mal entschieden, alle Lizenzüberprüfungsanfragen aus .ru zu blockieren. Dh. datenrettende Personen (ist das überhaupt korrektes wording?) aus Russland haben die Lizenz bezahlt, das Tool verweigert den Dienst. Wie kriegsentscheidend irgendwelche IT-Buden und überhaupt wie hoch der prozentuale Anteil kriegstreibender IT-ler ist, sei mal stark dahingestellt. Irgendwo auf nem Papier stand mal was von Netzneutralität oder wars nur ein feuchter Tagtraum?...aber gut, man bekommt ja auch nicht selten suggeriert, dass jeder Deutsche 1:1 Hitler in Person entspricht und wenn ich eins nicht leiden kann, ist es Geiselhaft. Ist ja eh jeder auf 'der richtigen Seite'...man kann sich ja mal ausmalen was passiert, wenn Microsoft seine Produkte in DE blockt.
Wie heißt es noch so schön? Wenn jeder nur an sich denkt, ist jedem geholfen.

Ich nehme an ob eine Firma als "ukrainisch, deutsch, russisch" oder sonstwas angesehen wird hängt vom (Haupt)Firmensitz ab.

Ich finde hier vermischt du aber 2 Dinge. Ein Unternehmen das sich nicht an Verträge hält ist weder neu noch braucht es dazu einen Krieg. Erst letztens hat Meta eine große Strafe gezahlt, weil es EU Verträge und Bestimmungen verletzt hat. Twitter zahlt keine Mieten und zahlt gekündigten Leuten ihre zugesicherte Abfindung nicht. Täglich verletzten irgend welche Firmen Verträge.

Der Fall hier ist nur dahingehen speziell, dass die betroffenen Russen wohl derzeit nicht dagegen Klagen oder sonst was machen können.

Außerdem betrifft das hier eine der Kriegspartein direkt. Da ist sicher auch etwas persönliches im Spiel. Würdet ihr Deutschen morgen bei uns in Österreich einfallen hätte ich auch wenig Lust, noch mit unsren deutschen Kundne zu arbeiten. Auch wenn die das vielleicht auch nicht gutheißen.

Ich kann den politischen Dampf in diesem Thread schon spüren, möchte aber im Vorfeld daran erinnern, dass politische Themen bei uns unerwünscht sind. Es führt zu keiner Lösung, sondern wird wie immer in Frust enden.

Ach was, mit mehr Frust als in den zig "linux vs apple vs bsd" oder "<beliebige neue technik> vs <früher war alles besser>" Themen kanns nicht enden

 

[Azazyel]

In meiner Vorstellung nutzen Bösewichte immer VPN und TOR, um nicht erkannt werden zu können. Nun sieht es so aus, als nutzen sie Zugänge, die sich als RU ausweisen? Ist das nicht zu einfach?

Du kannst die Angriffe mit russischen Quell-IPs grob in 3 Gruppen einteilen:

• Einfach gestrickte Angreifer aus aller Welt, die Tools wie nmap und metasploit einfach von wo auch immer sie gerade eingeloggt sind laufen lassen. Das kann vom heimischen russischen Internetanschluss bis hin zum Botnetzen (deren Bestandteil natürlich auch Server in Russland sind) alles sein.
• Die Fortgeschrittenen außerhalb Russlands, die ihre Angriffe aktuell ganz pragmatisch bevorzugt über russische Server laufen lassen, weil die russischen IT-Justizbehörden andere Prioritäten haben als Anfragen aus dem Ausland nachzugehen.
• Profis, die bewusst zur Verschleierung False-Flag-Angriffe von russischen IPs fahren, weil jegliche Verfolgung aus dem Ausland aktuell natürlich staatliche Akteure Russlands im Visier hat.

Zum Glück hinkt der Internetausbau in Deutschland so weit hinterher, das kein Akteur Deutschland ernsthaft als Ausgangspunkt solcher Operationen in Betracht zieht.

Was ich aber als sehr zweifelhaft empfinde, sind Sicherheitserwägungen nach politischen Gutdünken vorzunehmen, wenn ich sowas lese wie "Schurkenstaaten" und "westliche IT-Infrastruktur" bekomme ich ein Zucken im Auge.

Das erste Opfer im Krieg ist immer die Wahrheit. Man erinnere sich an die Brutkastenlüge, die von westlichen Medien gerne weiterverbreitet wurde und von breiten Bevölkerungsschichten im Westen ebenso gerne unhinterfragt akzeptiert wurde, weil sie gar so gut ins eigene Weltbild gepasst hat.

Der geneigte Freund des politischen Kabaretts erinnert sich vielleicht auch an die ZDF-Sendung Die Anstalt, die die NATO-Verbindungen deutscher Medien aufgedeckt hat, was letztere per einstweiliger Verfügung und Klage unter den Teppich kehren wollten.

Politik und IT-Sicherheit schließen einander aus, da hierdurch eine willkürliche, ideologische Einteilung in Schwarz/Weiß bzw. Gut/Böse vorgenommen wird, das kann in einem Kinderbuch verwurstelt werden aber nicht bei Sicherheitserwägungen; je nach Paranoia-Level ist die Welt grau bis schwarz.

Zwei von vielen Gründen, warum Geo-Blocking aus ideologischen Gründen sehr fraglich ist:

• Wer Russland sperrt, muss erst recht Zugriffe der Verursacher und Unterstützer der schlimmsten humanitären Katastrophe der Welt sperren.
• Der wissenschaftliche Dienst des Bundestages hat festgestellt, dass der deutsche Einsatz in Syrien völkerrechtswidrig ist. Praktischerweise hat er das erst, nachdem die Strafbarkeit von Angriffskriegen aus dem Grundgesetz gestrichen wurde. Damit müsste man Deutschland ebenfalls sofort blockieren.

Ich würde aber im Einzelfall Geo-Blocking aus pragmatischen Gründen jederzeit einsetzen, sofern es fachlich und technisch sinnvoll ist.

 

[mr44er]

Ich würde aber im Einzelfall Geo-Blocking aus pragmatischen Gründen jederzeit einsetzen, sofern es fachlich und technisch sinnvoll ist.

Genau, das war mein Punkt zu wdmarvel.

Würdet ihr Deutschen morgen bei uns in Österreich einfallen hätte ich auch wenig Lust, noch mit unsren deutschen Kundne zu arbeiten. Auch wenn die das vielleicht auch nicht gutheißen.

Dass der Impuls da ist, ist klar. Klar ist aber auch, dass man den Einzelnen nicht für gebauten Mist abstraft, für den er weder dahinter steht, noch etwas kann. Sowas gibt mir einen error in die Birne.

Ach was, mit mehr Frust als in den zig "linux vs apple vs bsd" oder "<beliebige neue technik> vs <früher war alles besser>" Themen kanns nicht enden

Schaumermal

 

[KobRheTilla]

Alle 3 Firewalls zählen nämlich täglich über 5000 TCP-Zugriffe und um die 50 UDP-Zugriffe aus Russland (und mittlerweile aus anderen Schurkenstaaten). Das sind übrigens geblockte SYNs, d.h. das sind einzelne Zugriffsversuche, und zwar 3,5 pro Minute aus RU:IR:KP:SY.

Das ist in meinen Augen nichts, worüber man sich einen Kopf machen müsste.

Rob

 

[ari]

Zum Glück hinkt der Internetausbau in Deutschland so weit hinterher, das kein Akteur Deutschland ernsthaft als Ausgangspunkt solcher Operationen in Betracht zieht.

Schön wäre es. Deutschland ist, auch aufgrund seiner vielen kommerzielen Anbieter von Hosting, definitiv auch Ausgangspunkt solcher Operationen - im technischen Sinne. Was deutsche Nachrichtendienste tun oder nicht tun kann ich nicht beurteilen.

• Die Fortgeschrittenen außerhalb Russlands, die ihre Angriffe aktuell ganz pragmatisch bevorzugt über russische Server laufen lassen, weil die russischen IT-Justizbehörden andere Prioritäten haben als Anfragen aus dem Ausland nachzugehen.
• Profis, die bewusst zur Verschleierung False-Flag-Angriffe von russischen IPs fahren, weil jegliche Verfolgung aus dem Ausland aktuell natürlich staatliche Akteure Russlands im Visier hat.

Das stimmt beides nicht. Russische Behörden verfolgen Anfragen aus dem Ausland sogar sehr genau, wahrscheinlich deutlich gewissenhafter als europäische Strafverfolgungsbehörden. Der entscheidende Unterschied ist, dass sie ihre Erkenntnisse für sich behalten, um sie zu einem (wie auch immer geartet) opportunen Zeitpunkt zu nutzen. Allerdings: Angreifer:innen sind opportunistisch, sogar staatlich gesteuerte oder beeinflusste Bedrohungsakteur:innen sind es sehr oft, wenn nicht sogar meistens. Dementsprechend kommen die Angriffe aus Ecken und Enden des Internets, wo die Täter:innen eine Möglichkeit sehen. Das ist vergleichsweise selten der russische Teil des Internets - warum gleich eine Spur hinterlassen, die ganz laut in diversen Erkennungssystemen auf sich aufmerksam macht, wenn man auch irgendeine gehackte Ranzwebseite eines Kegelvereins verwenden kann?

False-Flag-Angriffe zu fahren ist zwar nicht unüblich, das passiert aber auf anderen Wegen als "von einer russischen IP kommend". Die Aufmerksamkeit liegt auch nicht nur auf Russland, insbesondere seitdem man gesehen hat, dass sich für Europa seit Beginn des Angriffskrieges nichts geändert hat, wenn's um's russische herumcybern geht. Das ist alles wie üblich. China, Iran und Nordkorea sind Staaten die, jeweils in anderen Sektoren, ebenfalls im Visier sind.

(Ob das jetzt gut, schlecht, gerechtfertigt oder was auch immer ist will ich nicht beurteilen, darum geht's mir auch gar nicht.)

 

[pit234a]

(Ob das jetzt gut, schlecht, gerechtfertigt oder was auch immer ist will ich nicht beurteilen, darum geht's mir auch gar nicht.)

metoo
als ich noch Nachrichten regelmäßig sah, wunderte ich mich häufig über solche Kommentare, dass Spezialisten herausgefunden haben, Nordkorea, China oder Russland stecke hinter irgendeinem Hacker-Angriff. Nachgefragt, woran man das erkenne, war die Antwort ungefähr so: die haben das hineingeschrieben. Zorro lässt grüßen.
Also, wenn ich Bösewicht wäre, würde ich natürlich ein bekanntes Zeichen von jemand Anderem benutzen um damit zu unterschreiben.

Nun bin ich ja nicht das hellste Licht in meinem Dorf, aber ich kann mir nicht gut vorstellen, dass erfolgreiche Bösewichter wirklich sau dumm sein dürfen. Ich muss annehmen, dass die doch wenigstens so schlau sind, wie ich selbst und außerdem auch noch ihr Metier technisch beherrschen.

Deshalb gefallen mir die Aussagen in diesem Thread wirklich gut, weil sie mir eine nicht ideologisch vor gefärbte Darstellung bieten.

Danke dafür.

 

[ari]

als ich noch Nachrichten regelmäßig sah, wunderte ich mich häufig über solche Kommentare, dass Spezialisten herausgefunden haben, Nordkorea, China oder Russland stecke hinter irgendeinem Hacker-Angriff. Nachgefragt, woran man das erkenne, war die Antwort ungefähr so: die haben das hineingeschrieben. Zorro lässt grüßen.

Puh, das ist ein schwieriges Thema. Attribuierung, also die Zuschreibung eines Angriffes, ist nicht nur eine rein technische Sache, sondern durchaus auch mal politisch. Manchmal möchten die zuständigen Stellen den Medien kein genaueren Informationen liefern, um den Angreifer:innen keine Hinweise zu geben. Manchmal basiert die Attribuierung vielleicht auch auf Informationen, für deren Weitergabe man von der ursprünglichen Quelle keine Freigabe bekommen hat. Und ja, manchmal, wenn auch vergleichsweise selten, kommt es vor, dass politische Entscheidungsträger:innen eine Attribuierung vorgeben, ohne dass sich diese glaubwürdig mit Fakten, oder auch nur Indizien, untermauern lässt.

Das bezieht sich allerdings auf Attribuierung von "offiziellen" Stellen, Attribuierung durch kommerzielle Sicherheitsunternehmen ist dann noch einmal eine ganz eigene Angelegenheit.

Also, wenn ich Bösewicht wäre, würde ich natürlich ein bekanntes Zeichen von jemand Anderem benutzen um damit zu unterschreiben.

Das kommt definitiv vor. Je nachdem, wie geschickt sich die Angreifer:innen dabei anstellen, desto länger dauert es, um das zu erkennen, im besten Fall (aus Sicht der Bösewichte) ist die Täuschung sogar dauerhaft erfolgreich.

Ein innerhalb der Community relativ bekannter Fall ist beispielsweise der Einbruch eines russischen Bedrohungsakteurs in Infrastruktur, die ursprünglich von iranischen Angreifer:innen genutzt wurde. Durch diesen Einbruch konnten dann in weiterer Folge sowohl diese Infrastruktur als auch die darauf gefundenen, durch den Iran entwickelten Applikationen genutzt werden, um Angriffe so aussehen zu lassen, als kämen sie nicht von russischer Seite, sondern aus dem Mittleren Osten.

Nun bin ich ja nicht das hellste Licht in meinem Dorf, aber ich kann mir nicht gut vorstellen, dass erfolgreiche Bösewichter wirklich sau dumm sein dürfen. Ich muss annehmen, dass die doch wenigstens so schlau sind, wie ich selbst und außerdem auch noch ihr Metier technisch beherrschen.

In sehr vielen Fällen sind die Bösewichter da draußen sowohl technisch extrem talentiert und versiert als auch operativ geschickt. Am Ende des Tages sind es aber trotzdem nur Menschen; selbst den wirklich guten Leuten passieren gelegentlich Fehler, die dann von den Verteidiger:innen genutzt werden können. Und selbst dem GRU passiert es manchmal, dass er für sensible Aufträge Leute auswählt, die ihren Arsch nicht von einem Ellenbogen unterscheiden können.

 

[MuffiXXL]

das ist für mich als Endanwender mal sehr interessant zu lesen.
In meiner Vorstellung nutzen Bösewichte immer VPN und TOR, um nicht erkannt werden zu können. Nun sieht es so aus, als nutzen sie Zugänge, die sich als RU ausweisen? Ist das nicht zu einfach?

Ich habe früher TOR Server betrieben. Im speziellen Exit Nodes. Die Abuse Rate hat mich selbst erstaunt, sie war nämlich extrem gering. Ich erkläre mir das so:

Sitze ich in so einem Land, dann muss ich mir sorgen machen die Seite vom Guardian, Le Monde, Spiegel oder auch nur Wikipedia auf zu machen - dann nutze ich Tor oder ein VPN. Sitze ich dort dagegen um westliche Infrastruktur anzugreifen dann ist das im Zweifel sogar erwünscht und ich habe keine notwendigkeit meine IP zu verschleiern, denn der Staat wird einen Teufel tun mich zu verfolgen oder an eine andere Regierung zu verpfeifen.
Klar gibt es sicher Player in anderen Ländern die gezielt eine Russische IP oder ähnlich haben wollen. Tor Exits gibt es in Russland nach meinem Wissen stand heute keine mehr, das geht also nicht. Bleiben also noch VPN Anbieter die eventuell noch Angebote in Russland haben oder man macht sich halt dort irgendein System auf und nutzt das als "Jumphost".

 

[medV2]

TOR ist vielleicht interessant wenn es um einen gezielten Angriff geht, für Scans/autom. Attacken aber doch viel zu langsam oder?

 

[ari]

TOR ist vielleicht interessant wenn es um einen gezielten Angriff geht, für Scans/autom. Attacken aber doch viel zu langsam oder?

Kommt darauf an. Wenn du es nicht unbedingt eilig hast, und damit leben kannst, dass ein großer Teil deiner Angriffe in diverse Blocklisten, WAF und sonstige Abwehrmaßnahmen läuft, bevor deine Skripte überhaupt dazu kommen, Schwachstellen auszunutzen versuchen .. dann kannst du Tor auch für automatisierte Angriffsversuche verwenden.

Ich habe früher TOR Server betrieben. Im speziellen Exit Nodes. Die Abuse Rate hat mich selbst erstaunt, sie war nämlich extrem gering. Ich erkläre mir das so:

Korrelation ist nicht notwendigerweise ein Kausalzusammenhang.

Klar gibt es sicher Player in anderen Ländern die gezielt eine Russische IP oder ähnlich haben wollen. Tor Exits gibt es in Russland nach meinem Wissen stand heute keine mehr, das geht also nicht. Bleiben also noch VPN Anbieter die eventuell noch Angebote in Russland haben oder man macht sich halt dort irgendein System auf und nutzt das als "Jumphost".

Oder man kauft sich bei einem der hunderten (wenn nicht tausenden) russischen Hoster einen billigen Server, oder nutzt die russischen Standorte vieler europäischer und US-amerikanischer Hoster.

Sitze ich dort dagegen um westliche Infrastruktur anzugreifen dann ist das im Zweifel sogar erwünscht und ich habe keine notwendigkeit meine IP zu verschleiern, denn der Staat wird einen Teufel tun mich zu verfolgen oder an eine andere Regierung zu verpfeifen.

Mal abgesehen von den Dingen, die ich bereits angesprochen habe - da gibt es in Russland Leute, die geneigt wären dir zu widersprechen. Also, wenn sie nicht gerade irgendwo in einer überfüllten Gemeinschaftszelle vergammeln oder von einem der russischen Dienste zwangsrekrutiert wurden.

 

[dettus]

IMHO isses wurst, ob du die IP Adressen aus Russland blockst oder alle die, deren letzes Byte ungerade ist: Die Anzahl (erfolgreicher) Angriffe wird weniger.

 

[Lance]

Hallo,
Ich mache gerade große Augen. Lese ich im BSD-Forum tatsächlich was über Themen, die hier bislang - auch im Plauderthread - in keinster Weise Erwähnung fanden. Interessant einige Meinungen und scheinbare Tatsachen hier. Man sieht, dass viele sich nicht von dem Mainstream blenden lassen. Und das ist auch gut und wichtig so!

 

[double-p]

und ein Grossteil dieser Angriffe sind schlicht farming, um an neue crypto-mining-nodes zu kommen... da ist auch keine technische Versiertheit dahinter.

 

[CommanderZed]

Bei all diesen Russland / inländische / Westliche / Chinesische hacker-gedöns:

Ich hab da auf einem bestimmten blog (ihr wisst schon) öfters den Gedanken gelesen das es schlicht eine Schutzbehauptung ist, um nicht zugeben zu müssen das man von irgend ner 08/15 ransom-ware o.ä erwischt wurde weil man absolute basic-sicherheitsmasnamen nicht durchgeführt hat.

Ich finde das ist sicher in einigen fällen nicht von der Hand zu weisen.

 

[ari]

Ich finde das ist sicher in einigen fällen nicht von der Hand zu weisen.

Sicherlich, aber wie bei den Fällen, wo öffentliche Attribuierung zur Gänze ohne jede faktische Grundlage aus politischen Gründen geschieht, halte ich die Anzahl an Fällen für enden wollend. Ich bin schon froh, wenn Unternehmen kommunizieren, in welchem Ausmaß Daten kompromittiert worden sind. Noch viel glücklicher bin ich, wenn sie mir sagen, dass sie es nicht wissen. Wenn mir ein betroffenes Unternehmen brauchbare Informationen über einen Angriff liefert sehe ich gerne darüber hinweg, dass in der Pressemeldung nebenbei noch ordentlich Schutzbehauptungen verwendet werden.

Was, in meinen Augen, das viel größere Problem ist: Die jahrelange, missbräuchliche Verwendung des Begriffes "APT" (oder "gezielter Angriff", oder welcher Begriff mit ähnlicher Bedeutung auch immer) in Werbebroschüren von Sicherheitsunternehmen, in journalistischen Publikationen und den Veröffentlichungen mancher "Sicherheitsforscher:innen" hat dazu geführt, dass das Wort inzwischen alles bedeuten kann, was man bereit ist hinein zu interpretieren. Vor knapp zehn Jahren war ein "APT" noch noch eine spezialisierte Einheit der PLA, inzwischen reicht es, wenn man eine Gruppe gelangweilter Teenager ist, um (zumindest an einigen Stellen) als technisch versierter Superschurke zu gelten.

 

[medV2]

Sicherlich, aber wie bei den Fällen, wo öffentliche Attribuierung zur Gänze ohne jede faktische Grundlage aus politischen Gründen geschieht,

Hast du da eigentlich eine vernünftige Quelle oder sonstigen Belegt, dass sowas wirklich häufig passiert?

 

[ari]

Hast du da eigentlich eine vernünftige Quelle oder sonstigen Belegt, dass sowas wirklich häufig passiert?

Häufig würde ich das nicht nennen - wie früher im Thread geschrieben, "eher selten" wäre die Formulierung meiner Wahl. Das klassische, aktuelle Beispiel wäre die Warnung des BSI vor dem Einsatz von Kaspersky-Produkten. Für diese Warnung gibt es, zumindest soweit ich das beurteilen kann, keinerlei technische Begründung, sondern nur eine sehr schwammige Begründung vor möglichen "Cyber-Operationen", die der russische Staat durch einen Missbrauch der Kapazitäten von Kaspersky durchführen könnte. Ich werfe dem BSI diese Warnung aber nicht vor, das haben sich die Leute dort nicht selbst ausgedacht - das war größtenteils eine politische Entscheidung, die auf externen Druck hin entstanden ist - man kann's auch Gruppenzwang nennen, nachdem viele andere europäische Staaten sich ebenfalls für eine Warnung entschieden haben.

Ein anderes Beispiel dafür wäre der Bundestags-Hack. Da hat sich zwar im Laufe der Untersuchungen herausgestellt, dass es sich um das Werk von APT28 (und damit einem russischen Nachrichtendienst) handelt, das wurde aber bereits relativ offen postuliert bevor es wirkliche Indizien oder Beweise dafür gegeben hat.