Von dem seit Mittwoch, 24. Januar am frühen Morgen auftretenden Problem waren alle wichtigen Microsoft-Sites betroffen. Von Microsoft.com über MSN, MSNBC und Hotmail bis hin zu WindowsMedia, Expedia, Encarta und Carpoint bekamen die Surfer nur leere Seiten zu sehen.
Erst am Mittwochabend gegen 21.30 Uhr brachte Microsoft das Problem wieder halbwegs unter Kontrolle, indem das Unternehmen seine Internetpräsenzen auf eine andere Domain umschaltete. Die letzten Störungen waren jedoch erst am Donnerstag, 25. Januar gegen 02.00 Uhr behoben. Ursache laut Microsoft: eine Router-Fehlkonfiguration durch einen Mitarbeiter.
Keine 24 Stunden später, am Abend des Donnerstag, wurde Microsofts Webpräsenz erneut von massiven Störungen beeinträchtigt. Diesmal betrafen die Probleme vor allen Dingen Microsoft.com und MSN.com. Daneben wurden zeitweilig die MS-Domains Carpoint, Encarta, Expedia und WindowsMedia in Mitleidenschaft gezogen. Diesmal dauerten die Ausfälle bis gegen 05.00 Uhr früh am Freitag, 26. Januar. Und Microsoft räumte nun ein, von einer Denial-of-Service-Attacke (DoS) getroffen worden zu sein.
Zweite DoS-Attacke
Damit war die Angelegenheit jedoch nicht erledigt. Noch ein drittes Mal musste Microsoft massive Ausfälle seiner Webpräsenz über sich ergehen lassen. Am Freitag, 26. Januar gegen 19:15 Uhr wurde Microsofts Webpräsenz erneut von massiven Störungen beeinträchtigt. Diesmal betrafen die Probleme vor allen Dingen Microsoft.com und Encarta. Daneben wurden zeitweilig die MS-Domains Carpoint und WindowsMedia in Mitleidenschaft gezogen. Wieder gab Microsoft zu, von einer Denial-of-Service-Attacke (DoS) getroffen worden zu sein. Die Störungen habe man nach gut zwei Stunden jedoch beheben können.
Dagegen weisen von tecChannel vorgenommene Messungen darauf hin, dass sich die Attacke wie am Vortag in zwei Angriffswellen aufteilte und insgesamt bis kurz nach 5 Uhr morgens am 27. Januar andauerte. Ab etwa 04:50 Uhr waren die DNS-Server wieder durchgängig erreichbar, rund 20 Minuten später auch die Webserver.
Ereignis | Quelle | Tag / Zeit (MEZ) |
|---|---|---|
| ||
24./25. Januar: "Router-Ausfall" | ||
Beginn der Störungen | Microsoft | Mi., 03.30 Uhr |
Ende der Störungen | Microsoft | Do., 02.00 Uhr |
25./26. Januar: 1. DoS-Angriff | ||
Beginn des Angriffs | Microsoft | Do., "abends" |
Wired News | Do., "etwa 21 Uhr" | |
Beginn der tecChannel.de-Messungen | tecChannel.de | Do., 21.50 Uhr |
Angriffswelle A, massiv | tecChannel.de | Do., 22.00 Uhr, bis Fr., 01.30 Uhr |
Angriffswelle B, leicht | tecChannel.de | Fr., 02.30 Uhr, bis Fr., 04.30 Uhr |
Ende der Störungen | tecChannel.de | Fr., 04.50 Uhr |
26./27. Januar: 2. DoS-Angriff | ||
Beginn der Störungen | Microsoft | Fr., 19:15 |
tecChannel.de | Fr., 19:16 | |
Angriffswelle A | tecChannel.de | Fr., 19:16 Uhr bis Sa., 01:22 Uhr |
Angriffswelle B | tecChannel.de | Sa., 02:21 Uhr bis 05:08 Uhr |
Ende der Störungen | Microsoft | Fr., 21:30 |
tecChannel.de | Sa., 05:09 Uhr |
Ausfallursache
Delikaterweise liefen die eigentlichen Webserver von Microsoft während der Störungen unbeeindruckt weiter. Wer ihre IP-Adressen kannte, konnte sich auch während der "Ausfälle" weiter zu den Websites verbinden. Bei beiden Ereignissen betrafen die Probleme die DNS-Server des Softwaregiganten.
Die DNS-Server zeichnen für die Namensauflösung im Internet verantwortlich. Fragt ein Surfer eine Seite auf www.microsoft.com an, ermittelt der DNS-Server die zugehörige IP-Adresse und gibt diese zurück. Microsoft nutzt für alle seine Domains - von microsoft.com über microsoft.net und mcirosoft.org bis zu msft.net - dieselben vier Maschinen. Bei beiden Vorfällen waren diese vier DNS-Server nicht mehr zu erreichen, so dass die Namensauflösung für insgesamt rund 40 Stunden innerhalb vier Tagen ganz oder partiell lahmgelegt wurde. Microsofts Produktionsserver liefen zwar, konnten aber auf normalem Weg nicht mehr erreicht werden.
Offizielle Lesart
Für den ersten, gut 22-stündigen Ausfall macht Microsoft offiziell einen eigenen Techniker verantwortlich. Der habe durch eine Fehlkonfiguration eines Routers die Kommunikationswege zwischen Microsofts DNS-Server und deren Pendants im Internet abgeklemmt. Dass das Problem durch einen Angriff von außen ausgelöst worden sein könnte, streitet das Unternehmen kategorisch ab.
Auch beim zweiten und dritten Zwischenfall lag das selbe Störungsbild vor: Durch den Ausfall eines Routers wurden Microsofts DNS-Server vom Internet abgeschnitten. Diesmal räumt Microsoft jedoch ein, das Opfer von Denial-of-Service-Angriffen geworden zu sein. Die Ausfälle seien jedoch "völlig getrennt" von den Router-Problemen beim ersten Zwischenfall zu sehen, betont das Unternehmen. Auch habe der Angriff lediglich den Router betroffen und stehe in "keinerlei Zusammenhang mit irgendwelchen Microsoft-Produkten".
Völlig getrennt? Keinerlei Zusammenhang? Das mögen nicht nur viele Anwender, sondern auch etliche Netzwerk- und Sicherheitsexperten nicht so ganz glauben. Zumindest, so der Tenor der Experten, habe das schludrige Microsoft-Netzdesign die Katastrophe geradezu herausgefordert.
"Deppen machen Fehler"
Selbst die moderatesten Kommentatoren apostrophieren das Design von Microsofts Internetanbindung als bestenfalls schlecht. Andere machen ihrem Unmut deutlicher Luft: "Deppen machen Fehler, aber eine Firma in der Größe von Microsoft hat wirklich keine Ausrede für solche Schnitzer", mosert etwa Russ Cooper vom NTBugTraq.
Was Russ Cooper damit meint, verdeutlicht ein Blick in die Datenbank des zuständigen Internetregistrars Network Solutions. Nicht nur, dass Microsoft für alle seine Internetpräsenzen dieselben vier Nameserver nutzt: Sie sind auch noch im selben Netzsegment platziert, hinter einem einzelnen (dem am Dienstag ausgefallenen) Router. Das widerspricht eklatant der Grundanforderung jeder professionellen IT-Infrastruktur - no single point of failure.
Das Domain-Name-System sei doch eine weltweit verbreitete Datenbank, wundert sich etwa Stuart Bailey, CTO des DNS-Server-Spezialisten Infoblox. Es sei eigentlich üblich, Kopien der Daten auch über das ganze Netz zu verteilen, und: "Kunden dieser Größenordnung legen nie alle Server ins selbe Segment!"
Nachgerade witzig findet diese Vorgehensweise auch der in der Internetszene bekannte deutsche Webmaster Rob Liebwein. Im tecChannel.de-Forum weist er auf eine besonders amüsante Auswirkung des Microsoft-Netzdesigns hin: Da auch die Mailserver des Unternehmens nur über die ausgefallenen DNS-Maschinen zu erreichen sind, hätte Microsoft noch nicht einmal die Umschaltung auf einen Ersatz-DNS-Server schnell vornehmen könne. Dazu wäre ein MODIFY an den Registrars nötig gewesen - per E-Mail.
Späte Reaktion
Dass diese Ballung wichtiger Maschinen hinter einem einzelnen Router nicht gerade für Professionalität spricht, scheint auch Microsoft selbst inzwischen aufgefallen zu sein. So sprach Microsoft beim ersten Ausfall noch von einem fehlkonfigurierten Router. Beim folgenden Denial-of-Service sind es schon die Angreifer, die "the routers in Microsoft's Internet Data Centers" (zweimal Mehrzahl!) attackieren. Und das, obwohl der Effekt in beiden Fällen identisch war - vier nicht zu erreichende DNS-Server.
Nach dem jüngsten Zwischenfall räumt sogar Microsofts Chief Information Officer Rick Devenuti in einer Pressemitteilung öffentlich ein, für sein Netzwerk keine "ausreichenden Selbstverteidigungstechniken angewandt" zu haben. Man habe sich zum Kundennutzen stets darauf konzentriert, die eigenen Produkte gegen Angriffe zu schützen. Darüber habe man die Sicherheit "der Produkte einiger Drittherstellern am Rand von Teilen unseres Kernnetzes" (sic!) vernachlässigt.
Aufgrund "der schmerzlichen Lektionen der vergangenen Tage", so Devenuti, habe man bereits Schritte eingeleitet, um die Netzstruktur zu ändern und ihre "Verlässlichkeit und Verfügbarkeit" zu erhöhen. Über deren Aussehen klärt eine kurze whois-Abfrage auf: Neben den vier Microsoft-Maschinen steht nun auch vier DNS-Server von Akamai (z1, z2, z6 und z7.mfst.akadns.com) zur Namensauflösung zur Verfügung. Der Server z1.msft.akadns.com findet sich auch im Domaineintrag für microsoft.com bei Network Solutions.
Ungereimtheiten
Die lange Dauer des ersten Ausfalls sorgt bei Kennern der Materie für gelindes Misstrauen. Über 22 Stunden, um einen fehlkonfigurierten Router wieder auf die Reihe zu bringen? Firmen in der Größenordnung von Microsoft verfügen für solche Zwischenfälle üblicherweise über präparierte Notfallpläne, mit deren Hilfe sich derartige Probleme innerhalb kürzester Zeit lokalisieren und beheben lassen. Bei entsprechender Vorbereitung würden 24 Stunden sogar genügen, um ein komplettes Ausweichrechenzentrum zu beziehen.
Microsoft ist der "Netzfeind #1" aller Cracker. Die oft schlecht gewarteten MS-Server dienen als beliebtes Angriffsziel, wie zuletzt etwa der neuseeländische Microsoft-Server. Dass sich Cracker, und solche die es werden wollen, schon des Längeren mit Microsofts DNS beschäftigen, beweist eine kurze whois-Abfrage beim nächsten Registrar (siehe Bild).
Nimmt man alle Indizien zusammen, liegt die Vermutung nahe, dass es sich auch beim ersten Zwischenfall am 24. Januar schon um einen Angriff auf Microsofts DNS-Server gehandelt hat. Beweisen lässt sich das allerdings nicht, zumal nach Meinung einiger Experten selbst für den Betroffenen unter Umständen die Unterscheidung zwischen Router-Fehler und Attacke schwierig wäre.
Fazit
Ob Fehlkonfiguration oder Angriff: Microsofts Reputation hat unter den drei Vorfällen jedenfalls schwer gelitten. Das Unternehmen hat nicht nur sein eigenes Netz unsicher konfiguriert - als eine "Einladung zur DoS-Attacke" bezeichnet es etwa der Forschungs- und Entwicklungsleiter des Security-Experten @stake. Selbst nachdem Microsoft durch den ersten Vorfall gewarnt war, wurde nichts unternommen, um eine mögliche Wiederholung zu vermeiden. Erst nachdem zum dritten Mal die Server für Stunden nicht zu erreichen waren, reagierte das Unternehmen mit vier weiteren, unabhängigen DNS-Servern - eine Maßnahme, die von vornherein hätte selbstverständlich sein sollen.
Unter diesem Aspekt wirkt die am Montag angelaufene, 200 Millionen Dollar schwere Werbekampagne für Microsoft wie ein Witz. "Software for the Agile Business - Ready, Set, Done!" lautet der Slogan. "Ready, Set, Gone!" frozzeln die ersten Spaßvögel inzwischen, und .NET wird zu Dot-NJET umgetauft. Als besonders amüsant empfinden viele Kommentatoren auch das Backup der MS-DNS-Server durch Akamai-Maschinen: Akamai gilt als klassische Unix-Company und verwendet vornehmlich Solaris-Rechner, gelegentlich auch einmal Linux-Maschinen. Selbst der Weg zu Microsoft führt jetzt also über Unix. Da besteht bei Microsoft wohl noch Nachholbedarf - auch im eigenen Haus. (jlu)