„State of the Internet“-Sicherheitsbericht

Angriffe

Band 5, Ausgabe 2

im

Einzelhandelund

API-Traffic

2„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Mitteilung des HerausgebersEine der größten Veränderungen im Bereich Sicherheit

in den letzten zehn Jahren ist die Erkenntnis, dass

wir als Technologen nicht getrennt vom jeweiligen

Unternehmen arbeiten.

Unsere Arbeit ist ein wesentlicher Bestandteil aller

geschäftlichen Aspekte. Für Sicherheitsexperten,

die relativ neu in der Branche sind, mag das

selbstverständlich klingen. In einigen Unternehmen

ist die Umsetzung solcher integrierten Denkprozesse

aber nach wie vor noch nicht abgeschlossen.

Es besteht ein klarer Zusammenhang zwischen

Organisationen, die das Sicherheitsteam als festen Teil

des Unternehmens betrachten, und Organisationen,

die das Team getrennt von anderen geschäftlichen

Belangen betrachten.

Damit Sicherheitsteams als legitime Geschäftspartner

anerkannt werden, müssen Sie die Risiken erkennen

können, denen das Unternehmen ausgesetzt ist.

Im dunklen Zeitalter der 1990er Jahre führte dies

dazu, dass das Sicherheitsteam als die „Neinsager-

Abteilung“ abgestempelt wurde. Seither haben

Sicherheitsexperten gelernt, Risiken besser zu

quantifizieren und zu kommunizieren. Die besten

Sicherheitsteams verfügen über klare Definitionen von

Risiken und Risikobewertungsprozessen, mit denen

sie unsere Wahrnehmung auf eine differenziertere

Weise erklären können als schlicht per Ja oder Nein.

Darüber hinaus können Sicherheitsexperten diesen

Risiken oft theoretische finanzielle Kosten zuordnen,

sodass Führungskräfte die potenziellen Kosten besser

abwägen können.

Die Identifizierung von Risiken gestaltet sich

jedoch extrem schwierig. Die Variationen und

Nuancen zu verstehen, die sich maßgeblich auf eine

Geschäftsentscheidung auswirken können, ist selbst

bei vertrauten Themen ein schwieriges Unterfangen.

Entweder überschätzen wir die Auswirkungen, was

unsere Position im Unternehmen mindert, oder wir

unterschätzen das Risiko, was zu Schuldzuweisungen

führt, wenn etwas schief geht. Wie bei so vielen

Sicherheitsaspekten gibt es nicht den einen richtigen

Weg – es handelt sich vielmehr um einen Balanceakt,

der von den einzelnen Mitarbeitern und dem

Unternehmen als Ganzes abhängt.

Und die Problematik wird umso schwerwiegender,

wenn wir unbekannten Faktoren und Problemen

gegenüberstehen, die kaum oder gar nicht transparent

sind. Alle drei Abschnitte dieser Ausgabe des „State

of the Internet“-Sicherheitsberichts behandeln

Sicherheitsaspekte, denen unserer Meinung nach eine

Großzahl von Unternehmen mehr Aufmerksamkeit

widmen sollte. Unsere Umfrage zum API-Traffic ergab,

dass überraschende 83 % der von uns erfassten

Aufrufe API-gesteuert sind. Eine Untersuchung des

DNS-Traffics ergab, dass IPv6-Traffic möglicherweise

unterschätzt wird. Bei vielen Systemen, die IPv6

unterstützen, wird weiterhin bevorzugt IPv4 verwendet.

Abschließend haben wird den Missbrauch von

Anmeldedaten und Botnets, die die Bestände von

Einzelhändlern manipulieren, untersucht. Hierbei hat

sich gezeigt, dass dies ein wachsendes Problem ist,

das angegangen werden muss.

Im Rahmen der Risikobewertung müssen wir uns

ständig fragen, welche der Probleme, die wir

untersuchen sollten, von uns außer Acht gelassen

werden. Es gibt Dinge, die wir ganz einfach

nicht wissen (und nicht wissen können), weil die

erforderliche Transparenz nicht vorhanden ist. Wir

hoffen, einige dieser Themen in diesem Bericht stärker

in den Vordergrund rücken zu können, damit wir uns

ihrer bewusst werden.

3„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Inhaltsverzeichnis

04 Überblick

05 Schädliche Tools im Einzelhandel

07 Top-Marktsegmente

13 API-Traffic auf dem Vormarsch

13 Alles dreht sich um JSON

17 Fazit

18 Wird IPv6 unterschätzt?

05 Studien von Akamai

21 Ausblick

24 Quellen

22 Anhang

ZUSAMMENGEFASST

• Akamai hat zwischen Mai

und Dezember 2018 fast

28 Milliarden Credential-Stuffing-

Versuche erkannt. Tools wie das

All-In-One-Botnet wurden für

eine große Anzahl von Angriffen

auf Einzelhandelsunternehmen

eingesetzt.

• Eine kürzlich durchgeführte

Analyse des ESSL-Netzwerks von

Akamai ergab ein Verhältnis von

83 % zu 17 % zwischen API- und

HTML-Traffic in unserem sicheren

Content Delivery Network. Im

Vergleich zur letzten Umfrage

im Jahr 2014 bedeutet das eine

erhebliche Steigerung.

• Die Analyse von Akamai

deutet darauf hin, dass die

IPv6-Nutzung möglicherweise

unterschätzt wird. Dies führt

zu der gefährlichen Annahme,

dass die Überwachung von IPv6

überflüssig ist.

4„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

ÜberblickAlle drei Abschnitte in dieser Ausgabe des „State of the Internet“-

Sicherheitsberichts beziehen sich auf die Aspekte, die in den meisten

Unternehmen nicht untersucht werden. Der von Botnets generierte Traffic

wird oft übersehen. Die Ursachen hierfür sind vielfältig: Unternehmen

betrachten gewisse Probleme als irrelevant für ihre Umgebung, verfügen

über keinerlei Tools zur Überwachung dieser Probleme oder verfügen nicht

über die entsprechenden Ressourcen zur Überwachung dieses Traffics.

Zwar untersuchen viele Unternehmen diesen Traffic, aber ohne

spezielle Tools wird er oft genauso behandelt wie jede andere Art von

Netzwerkaktivität. Insbesondere im Einzelhandelssektor ist dies äußerst

gefährlich, da Botnet-Entwickler und Sicherheitsverantwortliche in diesem

Sektor ein mehrdimensionales Spiel spielen, bei dem es um bares Geld

geht. Unser Team untersuchte All-In-One-Bot-Tools (AIO) und bewertete

sie im Zusammenhang mit den Milliarden von Missbrauchsversuchen bei

Anmeldedaten, die wir jeden Monat verzeichnen.

Eine weitere Art von Traffic, in den viele Unternehmen nur begrenzt

Einblick haben, ist der API-Traffic. 2014 hat Akamai ein internes Audit

des JSON- und XML-Traffics im unternehmenseigenen Enhanced-SSL-

Netzwerk (ESSL) durchgeführt und festgestellt, dass 47 % des Traffics von

diesen beiden Protokollen gesteuert wurden. Eine ähnliche Umfrage zu

unserem Traffic im Oktober 2018 ergab, dass mittlerweile 69 % des Traffics

JSON-, 14 % XML- und nur 17 % HTML-gesteuert sind.

Das Internet ist nur langsam auf IPv6 umgestiegen, und laut der Internet

Society sind 28 % der 1.000 meistbesuchten Websites IPv6-fähig, während

dies nur für 17 % der 1 Million meistbesuchten Websites gilt. Unsere

Untersuchungen zeigen allerdings, dass dies möglicherweise daran liegt,

dass die Zahlen unterschätzt werden, da offenbar in vielen Systemen selbst

dann vorwiegend IPv4 genutzt wird, wenn IPv6-Traffic verarbeitet werden

kann. Da IPv6 nach wie vor einen geringen Teil des Traffics ausmacht, gilt

es bei vielen Sicherheitstools nicht als wichtiges Verkaufsargument. Nicht

alle Unternehmen glauben, dass sich die Überwachung von IPv6 lohnt,

selbst wenn sie dazu in der Lage sind.

Zwar untersuchen viele

Unternehmen diesen

Traffic, aber ohne

spezielle Tools wird er

oft genauso behandelt

wie jede andere Art

von Netzwerkaktivität.

„

5„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Studien von AkamaiSCHÄDLICHE TOOLS IM EINZELHANDELZwischen dem 1. Mai und dem 31. Dezember 2018 kam es im

Einzelhandel zu 10.000.585.772 Credential-Stuffing-Versuchen,

die im Netzwerk von Akamai erfasst wurden. Übertragen auf alle

anderen Kundenbranchen erkannte Akamai über acht Monate hinweg

27.985.920.324 Versuche, Anmeldedaten zu missbrauchen. Das sind

jeden Tag mehr als 115 Millionen Vorfälle, bei denen versucht wird,

Nutzerkonten zu kompromittieren oder sich bei ihnen anzumelden.

Der Grund für diese Versuche ist relativ offensichtlich. Die jeweiligen

Angreifer suchen nach Daten – beispielsweise persönlichen Daten,

Kontoständen und Vermögenswerten – oder nach Gelegenheiten,

finanziellen Profit aus dem Online-Einzelhandelsmarkt zu schlagen, der bis

2021 voraussichtlich einen Umfang von 4,88 Billionen US-Dollar erreichen

wird.

Die von Akamai protokollierten Credential-Stuffing-Versuche werden

mithilfe von Bots automatisiert. Bots können bis zu 60 % des gesamten

Webtraffics ausmachen, aber weniger als die Hälfte davon wird

tatsächlich als Bots deklariert. Damit ist es schwer, sie zu verfolgen und zu

blockieren. Dieses Dilemma wird aber noch größer, weil nicht alle Bots

schädlich sind, wie in Ausgabe 1 des diesjährigen „State of the Internet“-

Sicherheitsberichts erörtert.

ZahlenspielFür Kriminelle sind Credential-Stuffing-Angriffe ein Zahlenspiel. Sie

profitieren von der Tatsache, dass Nutzer für verschiedene Konten

dieselben Passwörter verwenden. In einem solchen Fall lassen sich die

kompromittierten Anmeldedaten für eine Website schnell auf Dutzende

andere übertragen.

Es handelt sich dabei um einen zweistufigen Prozess. Zunächst wird die

Anmeldeseite mit einer möglichst hohen Anzahl von Anmeldedatenpaaren

überflutet, um ihre Gültigkeit zu überprüfen. Anschließend übernehmen

die Kriminellen die Kontrolle über das kompromittierte Konto. Diese

zweite Phase wird allgemein als Kontoübernahme oder ATO (Account

Takeover) bezeichnet.

Bots können bis zu

60 % des gesamten

Webtraffics ausmachen,

aber weniger als die

Hälfte davon wird

tatsächlich als Bots

deklariert. Damit ist es

schwer, sie zu verfolgen

und zu blockieren.

„

6„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Nehmen Sie beispielsweise die 116 Millionen Konten, die während

des Datenschutzvorfalls bei LinkedIn kompromittiert wurden. Mithilfe

dieser Liste von E-Mail-Adressen und Passwortkombinationen starteten

Kriminelle Angriffe auf Dutzende anderer Websites in der Hoffnung,

dass die LinkedIn-Anmeldedaten auch anderswo verwendet wurden.

Diese Credential-Stuffing-Versuche führten zu mehreren sekundären

Kontoübernahmen. Aus diesem Grund empfehlen Sicherheitsexperten

unbedingt den Einsatz von Passwortmanagern sowie die Verwendung

langer und unterschiedlicher Passwortzeichenfolgen für jede Website.

Der mühsame Kampf gegen Credential-Stuffing-AngriffeDer Kampf gegen Credential Stuffing ist nicht einfach. 71 % der in einer

vom Ponemon Institute durchgeführten Akamai-Umfrage befragten

Unternehmen gaben an, dass das Verhindern von Credential-Stuffing-

Angriffen schwierig sei, da die entsprechenden Gegenmaßnahmen das

Interneterlebnis legitimer Nutzer beeinträchtigen könnten.

Unternehmen verzeichnen eigenen Angaben zufolge jeden Monat

durchschnittlich 12,7 Credential-Stuffing-Versuche, wobei jeder Versuch

1.252 Konten betrifft. Die reflexartige Reaktion, die für diese Versuche

verantwortlichen Bots einfach zu blockieren, ist zunächst sinnvoll, aber eine

solche Aktion kann dem Unternehmen ernsthafte Schäden zufügen, wenn

hiervon legitime Kunden betroffen sind.

Abb. 1:

In der Grafik sind

vier Tage zwischen

dem 1. Mai und dem

31. Dezember 2018

hervorgehoben, an

denen die Credential-

Stuffing-Aktivität

besonders hoch war.

300 Mio.

250 Mio.

200 Mio.

150 Mio.

100 Mio.

50 Mio.

0 Mio.

1. Mai

2. Juni 2018252.176.323

25. Juli 2018252.000.593

Missbrauch von Anmeldedaten pro Tag

Mai bis Dezember 2018

25. Oktober 2018286.611.884

27. Oktober 2018287.168.120

Ver

such

ter

Mis

sbra

uch

von

Anm

eld

edat

en

1. Juni 1. Juli 1. August 1. September 1. Oktober 1. November 1. Dezember 1. Januar

Missbrauch von Anmeldedaten pro Tag1. Mai bis 31. Dezember 2018

7„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Dieselbe Umfrage ergab, dass 32 % der Befragten keinen Einblick in

Credential-Stuffing-Angriffe hatten; 30 % gaben an, dass sie solche

Angriffe nicht erkennen und abwehren können. Auf die Frage, ob das

eigene Unternehmen über ausreichende Lösungen und Technologien

zur Eindämmung oder Verhinderung von Credential-Stuffing-Angriffen

verfügt, gaben 70 % der Befragten an, dass in ihrem Unternehmen nicht

genügend Abwehrmaßnahmen vorhanden seien.

Die Abwehr von Credential-Stuffing-Angriffen ist außerdem sehr

kostspielig. Die Studie hat ergeben, dass sich die mit solchen Angriffen

verbundenen geschätzten Kosten auf jährliche Gesamtbeträge von je

1,7 Mio. US-Dollar aufgrund von Ausfallzeiten, 2,7 Mio. US-Dollar aufgrund

von Kundenschwund und 1,6 Mio. US-Dollar für IT-Ausgaben belaufen.

Abb. 2:

In den Bereichen

Videomedien und Medien

und Entertainment

erfolgten insgesamt

11,6 Milliarden

Angriffsversuche.

Versuchter Missbrauch von Anmeldedaten nach Branche1. Mai bis 31. Dezember 2018

Einzelhandel10.000.585.772

Videomedien8.102.011.013

Medien und Unterhaltung3.482.622.059

Finanzdienstleistungen1.083.594.584

Fertigung1.310.326.860

Hotels und Reisen1.069.823.312 Hightech

562.700.596

Soziale Medien960.496.767

Konsumgüter859.856.158

Missbrauch von Anmeldedaten nach Branche1. Mai bis 31. Dezember 2018

8„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Top-MarktsegmenteGesamt2018 registrierte Akamai über acht Monate hinweg 27.985.920.324 Versuche,

Anmeldedaten zu missbrauchen. In Abbildung 2 ist diese Zahl nach

Branchen aufgeschlüsselt, wobei der jeweilige Anteil als entsprechend

großes Feld dargestellt wird. Jedes Feld steht für eine Branche, wie in

unseren Daten aufgezeichnet. Bei den nicht beschrifteten Branchen

in der rechten unteren Ecke traten in diesem Zeitraum weniger als

250 Millionen Missbrauchsversuche bei Anmeldedaten auf, z. B. in der

Automobilindustrie und im öffentlichen Sektor.

Einzelhändler sind die beliebtesten Ziele beim Missbrauch von

Anmeldedaten. Mit 8.102.011.013 Versuchen liegen Unternehmen, die

Streaming-Mediendienste anbieten, nur knapp dahinter. Andere Medien-

und Unterhaltungsunternehmen verbuchten 3.482.622.059 versuchte

Angriffe, während es an Fertigungsstandorten 1.310.326.860 waren. In

unseren zukünftigen Berichten sollen Angriffe auf Medienwebsites als

Ganzes untersucht werden.

EinzelhandelMit 10 Milliarden Credential-Stuffing-Versuchen während des

achtmonatigen Berichtszeitraums stellt die Einzelhandelsbranche das

beliebteste Angriffsziel dar. Innerhalb dieser Branche kam es allein im

Bekleidungssektor zu 3,7 Milliarden versuchten Angriffe, sodass dieser

Sektor im fraglichen Zeitraum am häufigsten betroffen war.

Aber warum sind der Einzelhandel und insbesondere der Bekleidungssektor

als Angriffsziel so beliebt? Die kurze Antwort lautet: Geld.

Abb. 3:

Ein Beispiel für einen

AIO Marketplace. Die

Angebote umfassen

Bots sowie Proxy- und

Hosting-Services.

9„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Laut Angaben der BrandZ Top 100 beläuft sich der Wert der 10 führenden

Bekleidungsmarken insgesamt auf 111,3 Milliarden US-Dollar. Allein der

Wiederverkaufsmarkt für Bekleidung ist fast 1 Milliarde Dollar schwer.

Dieser Wert ist im Vergleich zwar nicht sehr hoch, der Betrag selbst ist

dennoch erheblich. Der Sekundärmarkt ist tatsächlich so rege, dass die

Reseller-Plattform StockX angibt, dass dieser Wirtschaftszweig täglich

Transaktionen im Gesamtwert von rund 2 Millionen US-Dollar abwickelt.

In der Einzelhandelsbranche und insbesondere im Bekleidungssektor

werden die häufig bei Credential-Stuffing-Versuchen und unberechtigten

Käufen eingesetzten Bots als All-In-One-Bots oder AIOs bezeichnet. Bei

diesen Bots handelt es sich um multifunktionale Tools, die schnelle Käufe

durch Nutzung verschiedener Umgehungstechniken ermöglichen und die

auf mehr als 120 Online-Einzelhändler abzielen können. Es ist auch nicht

ungewöhnlich, dass ein AIO speziell für einen bestimmten Einzelhändler

entwickelt und vermarktet wird.

Der Hauptzweck von AIOs besteht darin, Zugang zum Wiederverkaufsmarkt

zu erhalten. AIOs können aber auch eingesetzt werden, um den Konto- und

Profilzugriff auf eine bestimmte Website mithilfe von Listen mit Nutzernamen

und Passwörtern schnell zu überprüfen.

Den Kriminellen, die es auf die Einzelhandelsbranche abgesehen haben,

stehen im Fall eines erfolgreich übernommenen Kontos zahlreiche

Optionen zur Verfügung. Die mit dem kompromittierten Konto

verbundenen persönlichen Daten haben einen Wert, wie auch jeder damit

verbundene Status.

Einzelhändler bieten Stammkunden im Rahmen ihrer Markenstrategie

oft Rabattcodes oder Artikel in limitierter Auflage an. Kriminelle, die mit

ihren Credential-Stuffing-Versuchen erfolgreich sind, können all diese

Vorteile erlangen und sie später weiterverkaufen oder damit handeln.

Manchmal wird das Zielkonto nur dazu verwendet, um während einer

besonderen Werbeaktion einen Platz in der Warteschlange zu ergattern, da

Bestandskunden häufig weiter vorne in der Warteschlange eingereiht werden.

Eine erfolgreiche AIO-Kampagne kann unter Umständen vollständig

unbemerkt bleiben, wenn Einzelhändler die Onlineverkäufe und die

Rekordzahlen bei Transaktionen als Beweis für die Nachfrage nach

ihren Produkten ansehen. Für die Einzelhändler gibt es kaum oder gar

keine Anzeichen dafür, dass die Lagerräumung automatisiert wurde

und zur Förderung eines Sekundärmarkts oder zum Erlangen von

Kundeninformationen verwendet wurde.

Kriminelle, die mit

ihren Credential-

Stuffing-Versuchen

erfolgreich sind,

können all diese

Vorteile erlangen

und sie später

weiterverkaufen oder

damit handeln.

„

10„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Missbrauch von AnmeldedatenEinzelhandelsunternehmen nach Typ | Mai bis Dezember 2018

Bekleidung1.635.777.682

Bekleidung332.980.348

Kaufhäuser478.771.525

Bekleidung

Bekleidung1.105.833.243

Commerce-Portale676.441.157

Commerce-Portale346.421.909

Commerce-Portale210.785.500

Kaufhäuser380.653.611

Kaufhäuser374.964.841

Kataloghandel/reiner Internethandel332.829.722

Kataloghandel/reiner Internethandel167.239.535

Sonstige491.997.151

Uhren und Schmuck

Kataloghandel/reiner Internethandel292.003.629

Bürobedarf1.196.396.186

Das Problem mit Bots im Einzelhandels-Verkaufszyklus ist systemisch.

Abb. 4:

Ein einziges Unternehmen

war während des

Berichtszeitraums das

Ziel von 6 % aller Angriffe

zum Missbrauch von

Anmeldedaten.

Dabei geht es nicht um schnell ausverkaufte Produkte, die ein

trügerisches Erfolgsgefühl erzeugen. Durch den Einsatz von AIOs

kann der Einzelhändler nicht mit dem Kunden interagieren und keine

zusätzlichen Verkäufe tätigen, was sich negativ auf Wachstum und

Markenbindung auswirkt. Mit AIOs wird eine künstliche Produktknappheit

erzeugt, Verkaufskennzahlen und Lagerbestände werden verzerrt, und

die Kunden und Investoren des Einzelhändlers erleiden Schaden durch

Informationspreisgabe und Rufschädigung.

Detaillierte Untersuchungen im EinzelhandelInnerhalb des Einzelhandels, aber außerhalb des Bekleidungssektors

beobachtete Akamai Credential-Stuffing-Versuche im

Direkthandel (1,427 Milliarden), bei Kaufhäusern (1,426 Milliarden),

im Bürofachhandel (1,3 Milliarden) und bei Modegeschäften wie

etwa im Bereich Uhren und Schmuck (129.725.233). Jedes farbige

Feld in Abbildung 4 stellt ein einzelnes Unternehmen dar, wobei die

Unternehmen durch die weißen Begrenzungslinien nach Typ gruppiert

sind. Das obere linke Feld steht beispielsweise für ein einzelnes

Unternehmen, das rund 1.636 Milliarden Angriffe erlitten hat.

Missbrauch von AnmeldedatenEinzelhandelsunternehmen nach Typ – Mai bis

Dezember 2018

11„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Genau wie im Einzelhandel nutzen Angreifer Bots, um bei Credential-

Stuffing-Versuchen mehrere Ziele gleichzeitig anzugreifen. Beim

Direktvertrieb, also bei Einzelhändlern, die einen einzelnen Artikel oder

eine bestimmte Marke anbieten, geht es darum, Bestandskonten zu

kompromittieren, aus denen persönliche Daten gewonnen und mit denen

einzigartige Angebote und Aktionen genutzt werden können. Dasselbe

gilt zwar auch für Kaufhäuser, wobei es hier einen zusätzlichen Bonus für

die Kriminellen gibt, da sie bei einem erfolgreichen Angriff die Möglichkeit

haben, mühelos die Kundenkreditrahmen zu verkaufen.

Wenn durch Credential Stuffing eine erfolgreiche Kontoübernahme bei

einer Kette oder einem Einzelhändler für Bürobedarf erfolgt, erhält der

Angreifer Zugriff auf geschäftliche und persönliche Daten sowie auf

andere verwandte Informationen, einschließlich der Bestelldaten, die den

Kontoinhaber dem Risiko von BEC-Angriffen (Business Email Compromise)

oder Spear-Phishing aussetzen.

Händler, die Schmuck und Mode-Accessoires vertreiben, sind ebenfalls

profitable Ziele, da Kunden in diesen Märkten meist recht wohlhabend

sind. Daher sind ihre persönlichen Daten und Kontostände heiße Ware für

Kriminelle.

In der Finanzdienstleistungsbranche, in der Akamai während des

Berichtszeitraums 1,08 Milliarden Credential Stuffing-Versuche

verzeichnete, handeln Angreifer mit rein krimineller Absicht. Die für

diese Angriffe verantwortlichen Akteure versuchen, kompromittierte

Anmeldedaten mit Finanzkonten abzugleichen. Wenn der Credential-

Stuffing-Versuch zu einer erfolgreichen Kontoübernahme führt, laufen die

Opfer Gefahr, dass ihr Geld gestohlen bzw. ihr gesamtes Finanzprofil im

Paket verkauft wird.

In der Hotel- und Reisebranche, in der Akamai während des

Berichtszeitraums 1,069 Milliarden Credential-Stuffing-Versuche

registrierte, haben die Angreifer wiederum unterschiedliche Ziele. Diese

Branche bietet Kriminellen Angriffsziele in den Bereichen Einzelhandel

und Finanzen, da Konten auf persönliche Daten durchforstet und zudem

Prämien- und Werbeinformationen erlangt werden können. Es lässt sich

viel Geld damit machen, ein Prämienkonto bei einer Fluggesellschaft oder

einem Hotel anzugreifen und ein mit Rabatt gebuchtes Zimmer zum vollen

Preis oder mit einem Aufschlag weiterzuverkaufen.

In der

Finanzdienstleistungsbranche,

in der Akamai während

des Berichtszeitraums

1,08 Milliarden Credential

Stuffing-Versuche

verzeichnete, handeln

Angreifer mit rein krimineller

Absicht.

„

StandortZum Abschluss wollen wir uns näher mit dem Thema Standort befassen. Wie in Abbildung 5 ersichtlich, stehen die USA bei den Ursprungsländern für Credential-Stuffing-Traffic an erster Stelle, gefolgt von Russland, Kanada, Brasilien und Indien. Viele der eingesetzten AIO-Bots wurden in den USA entwickelt; daher ist es nicht überraschend, dass dieses Land als häufigstes Ursprungsland für diese Bots gilt.

Was die am häufigsten angegriffenen Zielländer angeht, so stehen die USA mit 22,47 Milliarden Credential-Stuffing-Angriffen ebenfalls ganz oben auf der Liste, gefolgt von China (2,01 Milliarden), Indien (1,16 Milliarden), Deutschland (792 Millionen) und Kanada (400 Millionen).

Abschließende GedankenCredential-Stuffing-Angriffe und ATOs werden zwar bisweilen im Wiederverkaufsmarkt eingesetzt, aber der Großteil dieser Angriffe zielt darauf ab, Unternehmen zu kompromittieren oder persönliche und Finanzdaten zu sammeln und diese entweder zu verkaufen oder auf dem Schwarzmarkt damit Handel zu treiben.

Die einzige Möglichkeit, diese Art von Angriffen zu stoppen, besteht darin, die Bots selbst besser zu erkennen und abzuwehren sowie das Augenmerk darauf zu legen, dass Nutzer nicht für mehrere Websites dieselben Anmeldedaten verwenden. Solange Passwörter mehrfach verwendet werden, werden Credential Stuffing und ATOs auch weiterhin eine sichere Einnahmequelle für Kriminelle sein.

Indien910.123.604

Russland3.052.592.843

Brasilien1.065.564.544

USA8.921.290.730

Kanada1.650.976.949

Die 5 häufigsten Ursprungsländer für Missbrauch von Anmeldedaten

12„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Abb. 5:

Ursprungsländer für

Credential-Stuffing-

Angriffe, wie zwischen

dem 1. Mai und dem

31. Dezember 2018

verzeichnet

Die 5 häufigsten Ursprungsländer für Missbrauch von Anmeldedaten

13„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

API-TRAFFIC AUF DEM VORMARSCHIm Jahr 2014 stellten die Forscher von Akamai eine relativ einfache Frage: Wie hoch ist jeweils der API- bzw. HTML-gesteuerte Anteil des HTTPS-Traffics in unserem Netzwerk? Anders ausgedrückt: Wir wollten wissen, welcher Anteil des von uns verzeichneten Traffics, und somit des Internets als Ganzes, für Maschinen formatierter Inhalt ist, der teilweise durch menschliche Aktivitäten und teilweise durch automatisierte Daten ausgelöst wird, die hinter den Kulissen ohne direkte menschliche Interaktion ausgetauscht werden. Wir waren bis dahin davon ausgegangen, dass der API-Traffic nur einen geringen Anteil an diesem Traffic hatte. Eine informelle Analyse unserer Statistiken ergab jedoch, dass der API-Traffic sich auf 47 % des gesamten von uns registrierten Layout- und Datentraffics belief.

Dies war eine wichtige Erkenntnis, die in den letzten vier Jahren eine Vielzahl von Diskussionen befeuert hat. Wir haben kürzlich beschlossen, dass es an der Zeit ist, den API-Traffic erneut zu analysieren, und die Ergebnisse waren wieder überraschend: Der als API-Traffic klassifizierte Traffic beläuft sich derzeit auf 83 % aller Aufrufe, während der Anteil des HTML-Traffics auf ganze 17 % gesunken ist.

Diese Verschiebung im Trafficmuster hat erhebliche Auswirkungen auf die Sicherheitsbranche. Viele, wenn nicht sogar die meisten Kontrollmechanismen, die bisher zum Schutz von Traffic generierenden Servern und Systemen eingesetzt wurden, konzentrieren sich auf die Überwachung des Browsertraffics. Die erforderlichen Mechanismen für die Anwendung derselben Kontrollen für den API-Traffic sind möglicherweise weniger zuverlässig, schwieriger zu konfigurieren oder in bestimmten Umgebungen gar nicht vorhanden.

Der untersuchte Traffic stammt aus dem ESSL-Netzwerk, dem sicheren Content Delivery Network von Akamai, das hauptsächlich für sichere Transaktionen wie Banking und Einzelhandel entwickelt wurde. Weitere Informationen zu den in diesem Abschnitt verwendeten Daten, Begriffen und Definitionen finden Sie in der ausführlichen Beschreibung im Anhang.

Alles dreht sich um JSONIm Rahmen dieses Berichts definieren wir API-Traffic als sämtliche HTTPS-Antworten, die in unserem ESSL-Netzwerk den Inhaltstyp JSON oder XML enthalten. Dies kann zwar auch browserbasierten Traffic umfassen,

bei unserer Untersuchung wurde aber festgestellt, dass es sich dabei um einen äußerst kleinen Teil des Traffics handelt, der sich nicht erheblich auf unsere Messungen auswirken würde. Bei den Unternehmen in unserem Reporting haben wir uns auf diejenigen beschränkt, die innerhalb der 10 untersuchten Tage mehr als 1 Million Aufrufe erreichten.

Inhaltstyp

100 %

90 %

80 %

70 %

60 %

50 %

40 %

30 %

20 %

10 %

0 %2014 2018

Inhaltstyp

Anwendung/JSON

Anwendung/XML

Text/HTML

Text/HTML

14 %

54 %

6 %

14 %

17 %

69 %

26 %

Abb. 6:

Der anwendungsbasierte XML-Traffic ist seit 2014 nahezu komplett zurückgegangen.

14„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Unsere aktuellen

Messungen zeigen,

dass diese beiden

Dateitypen sogar

zusammengenommen

noch einen geringeren

Anteil als der JSON-

Traffic ausmachen.

„

API-Traffic, insbesondere JSON-generierter Traffic, basiert in der Regel auf einzelnen, atomaren Anfragen. Anders gesagt: Jede Anfrage ist nicht Teil eines Streams oder einer mehrteiligen Anfrage, sondern ein eigenständiges Datagramm. Im Gegensatz dazu kann der Umfang des zum Erstellen einer Seite erforderlichen HTML-Codes zwar relativ gering sein, doch die abhängigen Bilder und anderer Code sind im Allgemeinen recht umfangreich und bestehen aus Hunderten von Objekten.

Bei der Analyse der Inhaltstypen im HTTPS-Traffic stellten wir fest, dass JSON der beliebteste Inhaltstyp ist. In der Vergangenheit nahmen Bilddateien wie JPEGs und GIFs den Hauptanteil des Traffics im ESSL-Netzwerk ein. Unsere aktuellen Messungen zeigen, dass diese beiden Dateitypen sogar zusammengenommen noch einen geringeren Anteil als der JSON-Traffic ausmachen. Wenn wir jedoch alle Bildtypen als einen betrachten, so ergeben sie einen größeren Anteil als der JSON-Traffic.

Man kann somit wohl sagen, dass unser ESSL-Netzwerk zunehmend hauptsächlich der Weiterleitung von API-Traffic dient. Grund dafür sind einige sehr große Trafficverbraucher in den Branchen Medien und Hightech. Dabei handelt es sich in der Regel um Unternehmen, die Nachrichten, Wetterdaten, Medienstreaming und Spiele bereitstellen.

Insgesamt ist der Umfang des JSON-Traffics derzeit viermal so hoch wie der des HTML-Traffics – aber selbst wenn man die fünf trafficstärksten Unternehmen aus der Analyse herausnimmt, herrscht noch doppelt so viel JSON-Traffic wie HTML-Traffic. Es steht außer Frage, dass dieser API-Traffic zu einem wichtigen Teil dessen geworden ist, was Unternehmen aller

Größen sowohl verbrauchen als auch produzieren.

15„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

In Abbildung 7 wird die Verteilung des API-Traffics aufgezeigt. Auf einen

Blick lässt sich erkennen, dass der Bereich Medien insgesamt fast zwei

Drittel (63 %) der Aufrufe einnimmt. Dies ist nicht nur auf einen einzigen

großen Verbraucher zurückzuführen, sondern auch auf die hohe Anzahl

von Medienwebsites, die auf API-Traffic basieren. Der zweitgrößte

Erzeuger von API-Traffic stammt aus dem Hightech-Segment. Unsere

Branchenkategorisierung beruht auf Akamai-Klassifizierungen und

-Traffic und deckt sich möglicherweise nicht vollständig mit den üblichen

Branchenstandards.

Abgesehen von den Sicherheitsbedenken ist der Wechsel zum API-

Traffic auch aus Performance-Perspektive wichtig. Die Cachefähigkeit

als Maß dafür, wie viel Traffic auf den Servern gespeichert werden kann,

die von Content Delivery Networks wie Akamai verwendet werden, ist

zwischen HTML- und API-Aufrufen vergleichbar. Während ein Drittel

der dokumentierten Treffer mit „no-store“ (Nicht speichern) markiert

wurde, wodurch das Zwischenspeichern verhindert wurde, war die

Cachetrefferquote für den API-Traffic tatsächlich etwas höher als die für

API-AufrufeBranchen und Unternehmen (Millionen)

Marktsegment

Handel Unternehmen Gaming Hightech Medien & Entertainment Medien Sonstige Öffentlicher Sektor

Medien 89.235

Medien 17.635

Medien 16.838

Hightech 59.481

Hightech 11.972

Sonstige 15.523

Hightech 5.367

Hightech

Hightech 29.634

Medien 11.511

Medien 10.079

Medien 9.767

Medien 8.627

Medien 8.019

Medien 4.345

Medien

Medien

Medien

Medien 21.365

Medien 39.442

Abb. 7:

Medienunternehmen

liegen bei den API-

Nutzern deutlich vorne.

API-TrefferBranchen und Unternehmen

(Millionen)

16„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

den HTML-Traffic. Dies bedeutet, dass ein erheblicher Teil des API-Traffics

von den Ursprungsservern des Kunden ausgelagert und von Edge-Servern

in der Nähe des Endnutzers bedient wird. Dadurch wird die Last sowohl

auf dem Ursprungsserver als auch auf dem Internet-Backbone insgesamt

deutlich reduziert.

Die meisten JSON-Dokumente werden nicht über Browser gesendet.

Mindestens 66 % des API-Traffics werden über Smartphones,

Anwendungen und eingebettete Geräte (wie Spielkonsolen, Streaming-

Geräte und Smart-TVs) bereitgestellt. Im Gegensatz dazu sind alle Browser

zusammen für nur 27 % des API-Traffics verantwortlich; bei anderen

Programmen oder Geräten sind es nie mehr als einstellige Prozentsätze.

Smartphones greifen in hohem Maße auf APIs zu und benötigen zur

Verbindung mit dem Internet ein Mobilfunknetz. Da diese Kommunikation

größtenteils programmgesteuert ist, erfolgt ein größerer Teil des Mobilzugriffs

über APIs statt über HTML. Der Anteil der Anfragen aus Mobilfunknetzen liegt

mit 37 % im Vergleich zu 18 % doppelt so hoch wie bei HTML.

Der Großteil unserer vorherigen Untersuchung des API- und HTML-

Traffics konzentrierte sich auf die Anzahl der registrierten Aufrufe. Ein

weiterer wichtiger Aspekt sind jedoch die zur Unterstützung der einzelnen

Kommunikationsarten erforderlichen Bits und Bytes. Sowohl API- als auch

HTML-Traffic weist eine durchschnittliche Objektgröße von unter 1 KB auf.

Die meisten JSON-

Dokumente werden

nicht über Browser

gesendet. Mindestens

66 % des API-

Traffics werden

über Smartphones,

Anwendungen und

eingebettete Geräte

(wie Spielkonsolen,

Streaming-Geräte

und Smart-TVs)

bereitgestellt.

„

Abb. 8:

Der Großteil des API-

Traffics basiert auf

nutzerdefinierten

Anwendungen und lässt

sich nicht so einfach

kategorisieren.

API-Traffic nach User AgentAPI-Traffic nach User Agent

UA

Chrome

Mobile Safari

Firefox

Internet Explorer

Edge

Safari

IE Mobile

Sonstige

CFNetwork

Apache HttpClient

13 %

8 %

2 %

2 %

1 %

1 %

0 %

66 %

3 %

2 %

TYP

Browser

Kein Browser

%

17„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Beim High-End-Traffic gibt es dafür enorme Unterschiede: Das

95. Perzentil des API-Traffics beträgt beim JSON-Traffic 18 KB, während

es beim HTML-Traffic 105 KB sind. Diese Information ist wichtig, da ein

typisches TCP-Segment 1.400 bis 1.500 Byte umfasst, sodass große

Objekte nicht in ein einzelnes Segment passen. Darüber hinaus kann eine

geringe Anzahl von Segmenten in einem einzigen, von Akamai-Servern

verwendeten RTT-Auslastungsfenster (Round-Trip-Time) gesendet werden.

Aus diesem Grund kann es vorkommen, dass eine 18-KB-Nachricht in das

Anfangsfenster eines einzelnen RTT-Fensters passt, eine 105-KB-Nachricht

dagegen nicht. Das führt dazu, dass ein größeres HTML-Trafficvolumen

über mehrere RTTs übertragen werden muss, während JSON-Traffic selbst

bei einer neu eingerichteten Verbindung größtenteils innerhalb eines

einzigen RTT-Zeitraums übertragen wird.

FazitIn den letzten vier Jahren haben wir festgestellt, dass API-Aufrufe im

Akamai-Netzwerk von weniger als der Hälfte des gesamten HTTP-Traffics

auf 83 % angestiegen sind und die HTML-Aufrufe überrundet haben.

Für Sicherheitsexperten ist dies von entscheidender Bedeutung – nicht

alle Tools sind in der Lage, diese Veränderung zu bewältigen, und

möglicherweise übersehen Sie daher bei Ihren Abwehrmaßnahmen eine

wichtige Quelle für schädlichen Traffic. Unseren Teamkollegen, die sich um

die Performance der Server kümmern, fehlt möglicherweise ein Großteil

der Gleichung, wenn JSON- und XML-Traffic nicht berücksichtigt wird.

Anwendungen unterscheiden sich von herkömmlichen Webseiten. Sie

benötigen keine Informationen zu Layout und Stil, da diese Informationen

bereits beim Zeitpunkt der Erstellung verfügbar sind. Stattdessen

benötigen sie aber für die ständig wechselnden Nachrichten, Wetterdaten

und Sportnews aktualisierte Daten und Bilder. Auch Ihre Gaming- und

Streamingsysteme benötigen Updates, damit Sie über die neuesten

Veröffentlichungen informiert sind. Wenn man sich einzelne Anfragen

ansieht, ist der Umfang der eingehenden Daten zwar wesentlich geringer,

aber das Volumen dieser Anfragen wird mit der Zeit wachsen.

Unseren Teamkollegen,

die sich um die

Performance der

Server kümmern, fehlt

möglicherweise ein

Großteil der Gleichung,

wenn JSON- und

XML-Traffic nicht

berücksichtigt wird.

„

18„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

WIRD IPV6 UNTERSCHÄTZT?Einführung von IPv6 in rekursiven DNS-ResolvernIn diesem Abschnitt geht es um die Einführung von IPv6 in rekursiven

Resolvern des Domain Name System. Rekursive Resolver sind eine

wichtige Komponente des Internet-Ökosystems, da sie von Clients zum

Auflösen von Hostnamen in IP-Adressen und zum Zwischenspeichern von

Antworten verwendet werden, um die Auflösungsverzögerung und auch

die Last auf autorisierenden Servern zu reduzieren.

Im Juni 2018 haben wir Statistiken zur Einführung von IPv6 auf der Akamai-

Plattform veröffentlicht. Der durchschnittliche Prozentsatz von Content-

Anforderungen an Dual-Stack-fähige Hostnamen, der von der Akamai-

Plattform registriert wurde, lag bei ca. 45 % und somit deutlich höher als

vor zwei Jahren. Der analysierte Netzwerktraffic ist Client (Endnutzer)-zu-

Edge-Traffic und deutet auf die Einführung von IPv6 im Edge-Netzwerk

hin. Wir untersuchen Daten, die vom rekursiven DNS-Resolver zum

autoritativen Server geleitet werden, um mehr über die Einführung in den

Kernkomponenten des Internets zu erfahren.

Wichtige Statistiken zum DNS-Traffic bei den autoritativen Nameservern

von Akamai zeigen, dass der Großteil des Traffics nach wie vor IPv4-Traffic

ist. Im Juli 2017 waren nur 11 % des Traffics auf IPv6 zurückzuführen,

was deutlich unter den 45 % des Traffics für die Inhaltsbereitstellung

über IPv6 liegt. Um zu verstehen, warum die Nutzung von IPv6 in diesen

Kernkomponenten wesentlich geringer erscheint, werfen wir einen

genaueren Blick auf den DNS-Traffic von Akamai.

Zunächst stellen wir fest, wie wichtig die Analyse von Dual-Stack-Resolvern

ist. Dies ist entscheidend, da es keine offensichtliche Möglichkeit gibt,

DNS-Anforderungen über IPv4 mit DNS-Anforderungen über IPv6 zu

korrelieren und den einzelnen rekursiven Resolver zu identifizieren, der

die beiden Trafficsätze generiert. Hierbei machen wir uns also die Tatsache

zunutze, dass Software für rekursive Resolver bei der Auflösung eines

einzigen Hostnamens unter bestimmten Umständen mehrere Schnittstellen

verwendet, wenn diese verfügbar sind (z. B. Dual Stacking). Mithilfe von

DNS-Trafficprotokollen vom Juli 2017, die 429.000 verschiedene rekursive

Resolver-IP-Adressen enthalten, bündeln wir zunächst die IP-Adressen

basierend auf der im Whitepaper „Das macht kooperative Lösungen in

rekursiven DNS-Resolvern aus“ beschriebenen Technik.

Die IP-Adressen innerhalb eines Clusters sind miteinander verbunden,

weil sie innerhalb derselben DNS-Auflösung analysiert werden. Cluster,

die sowohl IPv4- als auch IPv6-Adressen enthalten, umfassen daher

wahrscheinlich Dual-Stack-Resolver. Von den Clustern bestanden

6 % offenbar aus Dual-Stack-Resolvern. Die Dual-Stack-Cluster sind

tendenziell etwas größer als andere Cluster. Aus diesem Grund schätzten

wir, dass 7 % aller rekursiven Resolver ab Juli 2017 Dual-Stack-Resolver

sind. Wir stellten fest, dass einer der Hauptgründe für ein langsames

Im Juli 2017 waren nur

11 % des Traffics auf

IPv6 zurückzuführen,

was deutlich unter den

45 % des Traffics für die

Inhaltsbereitstellung

über IPv6 liegt.

„

19„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Wachstum des IPv6-Traffics bei rekursiven Resolvern darin besteht, dass

Betreiber die Resolver nicht mit IPv6-Adressen konfigurieren.

Dies ist jedoch nicht der einzige Grund. Bei unserer Analyse der Dual-Stack-

Resolver untersuchten wir auch, welche Schnittstelle jeweils für die DNS-

Auflösung gewählt wurde. Obwohl nur 7 % der rekursiven Resolver Dual-

Stack-Resolver sind, sind sie die Resolver mit dem höchsten Trafficvolumen.

Insgesamt wurden 37 % der DNS-Abfragen in den DNS-Trafficprotokollen

über Dual-Stack-Resolver gesendet. Doch warum erfolgt dann weniger

als 11 % des DNS-Traffics über IPv6? Bei Dual-Stack-Resolvern wird

IPv4 gegenüber IPv6 eindeutig bevorzugt. Für jeden Cluster wurde das

Verhältnis von DNS-Abfragen mithilfe von IPv4-Schnittstellen und DNS-

Abfragen mithilfe von IPv6-Schnittstellen berechnet und festgestellt, dass

der Mittelwert 11:1 beträgt. Bei weniger als 10 % der Cluster wird IPv6

bevorzugt gegenüber IPv4 eingesetzt. Unsere Ergebnisse zeigen, dass ein

zweiter Grund für einen geringen IPv6-Anteil in rekursiven Resolvern auf

die große Mehrheit der Dual-Stack-Resolver zurückzuführen ist, die DNS-

Abfragen eher über IPv4 als über IPv6 senden.

Der Entscheidungsprozess kann durch mehrere Aspekte beeinflusst

werden. Erstens weisen viele Domänen eine inkonsistente Anzahl von IPv4-

und IPv6-Delegationen auf. Wenn ein rekursiver Resolver mehr IPv4- als

IPv6-Delegierungsoptionen hat, kann es selbst dann, wenn die Abfragen

gleichmäßig zwischen den Delegationen verteilt sind, so aussehen, als ob

IPv4 gegenüber IPv6 vorgezogen wird.

Zweitens stellen viele Softwarepakete für rekursive Resolver bekannte

Gewichtungsdelegationen gemäß der inversen Latenz dar. Wenn

die IPv6-Konnektivität schlecht ist, was zu einer hohen Latenz führt,

wird bei rekursiven Resolvern aus diesem Grund möglicherweise

IPv4 bevorzugt. Schließlich können Betreiber rekursiver Resolver

Richtlinienentscheidungen erzwingen, um nicht IPv6, sondern IPv4 als

vertrautere Technologie zu verwenden.

Die Nutzung von IPv6 in rekursiven DNS-Resolvern scheint im Vergleich zur

Einführung an der Edge nicht zuzunehmen. Es gibt hierfür eine Vielzahl von

Ursachen und noch eine Menge zu tun. Betreiber autoritativer DNS-Server

müssen sicherstellen, dass genauso viele IPv6-Delegierungsoptionen wie für

IPv4 bereitgestellt werden und dass die Performance der IPv6-Delegationen

mit denen von IPv4 vergleichbar ist. Betreiber rekursiver Resolver sollten

überprüfen, ob eine Richtlinie vorhanden ist, durch die IPv4 bevorzugt wird,

und dafür sorgen, dass alle Bereitstellungen mit Dual Stack erfolgen.

Muster bei der IPv4-/IPv6-AdresszuweisungIn unserer Studie zu Clustern aus rekursiven Dual-Stack-Resolvern haben

wir bei IP-Adresszuweisungen Muster beobachtet, die in Zukunft zur

schnelleren Verknüpfung von IPv4- und IPv6-Adressen verwendet werden

könnten.

Die Nutzung von

IPv6 in rekursiven

DNS-Resolvern

scheint im Vergleich

zur Einführung

an der Edge nicht

zuzunehmen.

„

20„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Bei diesen Daten haben wir verschiedene Möglichkeiten untersucht, die IPv4- und IPv6-Adressen eines Dual-Stack-Resolvers miteinander in Beziehung zu setzen: (i) die IPv4-Oktette, die als letzte 4 Hextette eingebettet sind (z. B. 1.2.3.4 und 89ab::1:2:3:4), (ii) das endgültige IPv4-Oktett, das dem endgültigen IPv6-Hextett entspricht (z. B. 1.2.3.4 und 89ab::4) und (iii) die vollständige IPv4-Adresse, die in der IPv6-Adresse eingebettet ist, jedoch nicht in den endgültigen 4 Hextetten (z. B. 1.2.3.4 und 89ab::1:2:3:4:5678).

Außerdem konnten wir inkrementelle IP-Zuweisungsmuster zwischen den Dual-Stack-Resolvern innerhalb desselben autonomen Systems (AS) beobachten, die ebenfalls zur positiven Identifizierung von Dual-Stack-Resolvern beitragen. Beispielsweise kann die IP-Zuweisung sowohl bei IPv4 als auch bei IPv6 inkrementell erscheinen, in Wirklichkeit aber verschoben sein: w.x.y.z bildet einen Cluster mit a:b:c:${z+C}, wobei C eine Konstante ist. Es ist offensichtlich, dass Betreiber bei der IPv4-/IPv6-Adresszuweisung viele unterschiedliche Muster verwenden. Wenn die Muster für ein autonomes System von vornherein bekannt sind, kann dies für den Abgleich von IPv4- und IPv6-Aufrufen über Dual-Stack-Resolver nützlich sein, wodurch der Erkennungsprozess erheblich vereinfacht wird.

IP-Cluster aus rekursiven Resolvern schützen vor Cache PoisoningBei den zuvor erwähnten IP-Adress-Clustern rekursiver Resolver stellten wir fest, dass viele Cluster (38 %) mehr als zwei IP-Adressen enthalten und daher mehr sind als nur Dual-Stack-Resolver. Stattdessen verwenden Betreiber von rekursiven Resolvern mehrere IPv4- bzw. mehrere IPv6-Adressen innerhalb derselben DNS-Auflösung. Diese größeren Cluster belaufen sich auf fast 72 % des von uns beobachteten DNS-Traffics.

Dieses Verhalten kann unterschiedliche Gründe haben, wie z. B. der Lastausgleich über physische Hardware hinweg. Allerdings ergibt dich dadurch auch ein Sicherheitsvorteil. DNS-Cache-Poisoning-Angriffe wie beispielsweise der Kaminsky-Angriff erfordern gegebenenfalls das Spoofing von DNS-Antworten, die mit den vom rekursiven Resolver gesendeten DNS-Abfragen übereinstimmen. Die Felder der DNS-Antwort, die mit der DNS-Abfrage übereinstimmen müssen, sind (i) Quell-IP/-Port, (ii) Ziel-IP/-Port, (iii) DNS-Abfrage und (iv) DNS-Transaktions-ID. Innerhalb eines Clusters aus rekursiven DNS-Resolvern kann jede DNS-Abfrage von einer beliebigen IP-Adresse im Cluster stammen.

Daher muss beim Spoofing einer passenden DNS-Antwort neben den anderen Feldern auch die korrekte Ziel-IP-Adresse aus dem Cluster erraten werden. Viele Cluster enthalten nur zwei IP-Adressen; es gibt aber auch häufig sehr große Cluster mit mehr als 10 IP-Adressen. Dadurch wird es erheblich schwieriger, DNS-Cache-Poisoning-Angriffe durchzuführen. Somit sind Cluster aus rekursiven Resolvern eine nützliche Methode, um das Risiko von Cache Poisoning zu verringern.

Viele Cluster enthalten

nur zwei IP-Adressen;

es gibt aber auch

häufig sehr große

Cluster mit mehr als

10 IP-Adressen.

„

21„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

AusblickWir hoffen, dass Sicherheitsteams und Sicherheitsexperten in den

kommenden Jahren zunehmend in alle Aspekte der Geschäftsbereiche

integriert werden. Wurden wir früher noch als „Neinsager-Abteilung“

wahrgenommen, so haben wir uns im Laufe der Zeit erheblich

weiterentwickelt. Die Sicherheitsbranche als Ganzes ist zwar gewachsen,

es gibt aber weiterhin viel zu tun. Unser Beruf wirkt sich mittlerweile auf

alle Unternehmensbelange aus, und der Bereich Sicherheit spielt bei

Geschäftsplanung und Wachstum heute eine zentrale Rolle.

In jedem Abschnitt dieser Ausgabe des „State of the Internet“-

Sicherheitsberichts wurden Sicherheitsaspekte behandelt, die insgesamt

häufig übersehen werden, aber dennoch entscheidend für den täglichen

Betrieb sind. Diese Untersuchungen liefern Hintergrundinformationen für

das, was wir für die kommenden Quartale und Jahre erwarten.

Einer der wichtigsten Aspekte, die man im Auge behalten sollte, ist die

Entwicklung von API. Da der API-Traffic den HTML-Traffic mittlerweile in den

Hintergrund gedrängt hat, müssen Sicherheitsteams und Unternehmen

dieser neuen Realität gerecht werden. Wie bereits erwähnt, sind viele derzeit

verwendete Tools nicht in der Lage, diese Verlagerung zu bewältigen, was

zu Schwachpunkten führt. Aufgrund der Verbreitung von Mobilgeräten und

der IoT-Technologie wird sich dieser Trend auch in Zukunft fortsetzen. Die

Art und Weise, wie Unternehmen diese Herausforderung angehen, wird

große Auswirkungen auf diese Entwicklung haben.

Im Zusammenhang mit der API-Entwicklung zeigt der Bericht über

Credential Stuffing, wie gefährlich mehrfach verwendete Anmeldedaten

für verschiedene Märkte sein können. Es ist zwar nicht das erste Mal,

dass Sicherheitsexperten empfehlen, nicht dieselben Anmeldedaten

für verschiedene Konten zu verwenden; aber manchmal sind alte

Gewohnheiten schwer abzulegen. Obwohl es diesem Bericht in erster

Linie um den Einzelhandel geht, ist dies ist nicht die einzige Branche,

die von diesen Angriffen betroffen ist. Die Tragweite von Credential

Stuffing in anderen Märkten und Branchen sowie die verheerenden

Auswirkungen von Kontoübernahme-Angriffen auf Unternehmen dürfen

nicht unterschätzt oder ignoriert werden.

Die Internetumgebung verändert sich rasant schnell, und diese Trends

sind erst der Anfang eines großen Wandels. Sicherheitsteams und

-experten müssen ständig neue Wege auftun, um die Sicherheit von

Nutzern und Unternehmen zu gewährleisten.

Da der API-Traffic

den HTML-Traffic

mittlerweile in

den Hintergrund

gedrängt hat, müssen

Sicherheitsteams und

Unternehmen dieser

neuen Realität gerecht

werden.

„

22„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Anhang: MethodikALLGEMEINE HINWEISEWir treffen die bewusste Entscheidung, die Nennung von Produkten im

„State of the Internet“-Sicherheitsbericht auf ein Minimum zu beschränken

und Produkte nur so oft wie nötig zu erwähnen, um zu erläutern, wo und

wie die Daten erfasst wurden. In aktuellen Berichten haben wir an einer

umfangreicheren Beschreibung der Datenerfassung gearbeitet, damit

Leser die Text- und Statistikdaten richtig einordnen können.

Bei den Themen in dieser Ausgabe, insbesondere bei der Untersuchung

des API-Traffics, war es uns wichtig, näher auf unsere Lösungen und die Art

und Weise einzugehen, wie wir Terminologie in unseren Inhalten verwenden.

Bei der von verschiedenen Segmenten der Internet-Tech-Community

verwendeten Terminologie gibt es viele Unstimmigkeiten. Daher ist es uns

wichtig ist, die Verwendung unserer Terminologie zu verdeutlichen.

SCHÄDLICHE TOOLS IM EINZELHANDELDie Daten zum Missbrauch von Anmeldedaten in dieser Ausgabe

stammen aus einem internen Tool namens Cloud Security Intelligence (CSI).

Bei diesem Tool handelt es sich um ein Datenrepository aus mehreren

Produktlinien. Die Daten sind nur vorübergehend verfügbar und werden

innerhalb von höchstens 90 Tagen gelöscht. Der Umfang des vollständigen

Datensatzes liegt derzeit bei über neun Petabyte und wächst ständig an.

Versuche, Anmeldedaten zu missbrauchen, wurden als fehlgeschlagene

Anmeldeversuche für Konten identifiziert, bei denen eine E-Mail-Adresse als

Nutzername verwendet wird. Zur Abgrenzung von Missbrauchsversuchen

gegenüber Aktivitäten von echten Nutzern, die Tippfehler machen, wurden

zwei verschiedene Algorithmen verwendet. Der erste ist eine einfache

volumetrische Regel, die die Anzahl der Anmeldefehler für eine bestimmte

Adresse zählt. Dieser Vorgang unterscheidet sich insofern von dem, was

ein einzelnes Unternehmen ermitteln könnte, als dass Akamai Daten über

Hunderte von Unternehmen hinweg korreliert.

Der zweite Algorithmus verwendet Daten aus unseren Bot-

Erkennungsservices, um Missbrauch von Anmeldedaten durch bekannte

Botnets und Tools zu identifizieren. Mit einem gut konfigurierten Botnet

kann eine volumetrische Erkennung vermieden werden, indem der Traffic

auf viele Ziele verteilt wird. Erreicht wird dies durch eine große Anzahl von

Systemen im Scan oder durch Verteilen des Traffics über einen bestimmten

Zeitraum hinweg, um nur einige wenige Gegenmaßnahmen zu nennen.

Mit einem gut

konfigurierten Botnet

kann eine volumetrische

Erkennung vermieden

werden, indem der

Traffic auf viele Ziele

verteilt wird. Erreicht

wird dies durch eine

große Anzahl von

Systemen im Scan

oder durch Verteilen

des Traffics über

einen bestimmten

Zeitraum hinweg, um

nur einige wenige

Gegenmaßnahmen zu

nennen.

„

23„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

API-TRAFFIC AUF DEM VORMARSCHÄhnlich wie bei anderen großen Unternehmen ist die Intelligent Edge-

Plattform von Akamai keine einzelne monolithische Einheit. Die Wurzeln

von Akamai liegen in unserem Content Delivery Network, und viele der

heute von uns angebotenen Lösungen sind daraus entstanden.

Der ESSL-Service (Enhanced-SSL) wurde ursprünglich als separates

Netzwerksegment für die Anforderungen der PCI-DSS-Standards (Payment

Card Industry Data Security) entwickelt. Das ESSL-Netzwerk ist für Händler,

Handelsunternehmen und Finanzinstitute konzipiert und verfügt über

zusätzliche physische, logische und digitale Kontrollen, die von PCI und

anderen behördlichen und Compliance-Vorschriften gefordert werden.

Anders als der Name vermuten lässt, unterstützt ESSL TLS und andere

moderne Verschlüsselungsschemata.

Seit der Einführung von ESSL ist der Wunsch nach sicheren,

verschlüsselten Systemen für den gesamten Traffic keine Ausnahme mehr,

sondern zum Standard geworden. Aufgrund dieser Änderung wird für

fast 20 % des gesamten von Akamai bereitgestellten Traffics das ESSL-

Netzwerk verwendet; dieser beläuft sich derzeit auf etwa 8 Tbit/s. Bei der

Messung des Traffics anhand von Aufrufen statt Bits ist ESSL eines der

wichtigsten Akamai-Netzwerke und bedient den Großteil unseres HTTPS-

basierten Traffics.

Im Zuge unserer Analyse des API- und HTML-Traffics haben wir im

Oktober 2018 über einen Zeitraum von 10 Tagen den Traffic im ESSL-

Netzwerk untersucht. Seitdem wurden ähnliche Abfragen über kürzere

Zeitspannen durchgeführt, die nahezu identische Trends zeigen.

Bei den Abfragen wurden speziell API- und HTML-Traffic und keine Bilder

oder anderweitiger Traffic berücksichtigt, der kein API- (JSON und XML)

oder HTML-Traffic ist. Wir haben uns bewusst darum bemüht, zwischen

Aufrufen (Anfragen/Antworten) und Traffic (die per Volume gesendeten

Bits und Bytes) zu unterscheiden.

Seit der Einführung

von ESSL ist der

Wunsch nach sicheren,

verschlüsselten

Systemen für den

gesamten Traffic keine

Ausnahme mehr,

sondern zum Standard

geworden.

„

24„State of the Internet“-Sicherheitsbericht – Angriffe im Einzelhandel und API-Traffic: Band 5, Ausgabe 2

Quellen

„State of the Internet“-Sicherheitsbericht – das Team

Tony Lauro, Senior Manager, Security Strategy – Schädliche Tools im Einzelhandel

Martin Flack, Principal Architect – API-Traffic auf dem Vormarsch

Moritz Steiner, Principal Architect – API-Traffic auf dem Vormarsch

Kyle Schomp, Performance Engineer Senior II – Wird IPv6 unterschätzt?

Rami Al-Dalky, Intern – Wird IPv6 unterschätzt?

Redaktionsteam

Martin McKeay, Editorial Director

Amanda Fakhreddine, Sr. Technical Writer, Managing Editor

Steve Ragan, Sr. Technical Writer, Editor

Kreativteam

Benedikt Van Holt, Art Direction

Brendan John O’Hara, Graphic Design

Georgina Morales Hampe, Kylee McRae und Murali Venukumar, Project Management

Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-Architekturen zu optimieren. Akamai hält Angriffe und Bedrohungen fern und bietet im Vergleich zu anderen Anbietern besonders nutzernahe Entscheidungen, Anwendungen und Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.de, im Blog blogs.akamai.com/de oder auf Twitter unter @AkamaiDACH sowie @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.de/locations. Veröffentlicht: Februar 2019