IPFS: Ein neues Versteck für Cyberkriminelle?
IPFS, ein dezentrales Speicher- und Bereitstellungsnetzwerk, ermöglicht es, Inhalte im Internet zu einem günstigeren Preis zu hosten oder freizugeben mit garantierter Verfügbarkeit. Wie nutzen Cyberkriminelle diese neue Technologie für ihre Zwecke?
Save to Folio
Immer wieder gibt es neue Technologien und Innovationen, die uns bei unseren verschiedenen Aktivitäten helfen. Ein bemerkenswertes System, das in den letzten Jahren entstanden ist, ist das IPFS-System (Interplanetary File System), ein dezentrales Speicher- und Bereitstellungsnetzwerk, das auf Peer-to-Peer-Netzwerken (P2P) basiert und zu den aufkommenden „Web3-Technologien“ gehört. IPFS ermöglicht es den Nutzern, Inhalte im Internet zu einem günstigeren Preis zu hosten oder freizugeben, wobei die Verfügbarkeit und die Ausfallsicherheit gewährleistet sind. Leider bietet es auch Möglichkeiten für Cyber-Kriminelle.
Der größte Teil der aktuellen Inhalte im Internet wird über Webserver bereitgestellt, und verschiedene Computer fordern Daten von unterschiedlichen Servern an. Das können Webseiten, Dateien oder einfach beliebige Inhalte sein, die über einen Internetbrowser zugänglich sind. Meistens werden diese Inhalte auf einem einzigen Webserver gehostet, der seine Inhalte an jeden anfordernden Computer weiterleitet.
IPFS ist insofern anders, als es keinen zentralen Webserver gibt, der die Daten bereitstellt: Sie können von jedem der Peers (Knoten) bereitgestellt werden, die die Daten hosten.
Um Dateien auf IPFS zu teilen, können Benutzer einen IPFS-Desktop-Client oder eine API herunterladen und verwenden oder Online-Dienste nutzen. Sobald eine Datei von einem Knoten angefordert wird, der sie nicht hat, wird die Datei kopiert, damit sie später mit anderen geteilt wird. Auf diese Weise können mehr Knoten die Datei bereitstellen. Mit dieser Methode kann jeder Benutzer, auch Cyberkriminelle, ein kostenloses Konto bei einem Online-Service einrichten und Inhalte im IPFS-Netzwerk hosten, ohne unbedingt einen Knoten in der eigenen Infrastruktur betreiben zu müssen.
In dem von IPFS verwendeten P2P-Modell kann sich also eine bestimmte Datei auf einer Reihe verschiedener Peers befinden. Die Speicherung dieser Dateien wird durch einen kryptografischen Hash ihres Inhalts adressiert, der als Content Identifier (CID) bekannt ist. Der CID ist eine für Dateien eindeutige Zeichenfolge aus Buchstaben und Zahlen. Eine Datei hat immer dieselbe CID, unabhängig davon, wo sie gespeichert ist. Aus diesem Grund wird IPFS als inhaltsadressiert bezeichnet. Wird eine Datei in irgendeiner Weise verändert, so hat sie eine andere CID.
IPFS-Browsing
Auf CIDs und die zugehörigen Dateien lässt sich über zwei Wege zugreifen. Zum einen lässt sich ein Browser verwenden, der das IPFS-Protokoll von Haus aus beherrscht. Derzeit unterstützt nur der Browser Brave das Protokoll. Auf dem Computer läuft im Hintergrund ein IPFS-Daemon, den der Browser für den nativen Zugriff auf die IPFS-Inhalte verwendet.
Die zweite Möglichkeit besteht darin, über so genannte „IPFS-Gateways“ auf Inhalte zuzugreifen. Sie werden verwendet, um Workarounds für Anwendungen bereitzustellen, die IPFS nicht von Haus aus unterstützen. Weitere technische Details bietet der Originalbeitrag. Dort finden Interessierte auch Einzelheiten zu IPFS-Pinning, IPNS (Interplanetary Name System) oder DNSLink.
Nutzungsszenarien
Es gibt eine Vielzahl von Gründen für den Einsatz von IPFS, unter anderem die folgenden:
Datenspeicherung und Ausfallsicherheit
Dabei geht es um die Anpassungsfähigkeit eines Netzes im Falle einer Isolierung oder auch die darum, einen Service bei Störungen bereitzustellen und aufrechtzuerhalten, da die Daten im Allgemeinen auf mehreren verschiedenen Knoten gespeichert werden. Es ist auch möglich, jede Art von Daten zu einem sehr niedrigen Preis auf IPFS zu speichern, zum Beispiel über Services wie Filecoin.
Smart Contracts und non-fungible Token
Smart Contracts sind auf der Blockchain gespeicherte Programme, die durch Transaktionen getriggert werden. Während die Speicherung von Daten auf der Blockchain teuer sein kann, ermöglicht die Verwendung eines dezentralen Speichers wie IPFS als Datenbank eine Reduzierung der Kosten.
Signieren von Dokumenten
Einige Online-Dienste bieten dezentralisierte Versionen der Dokumentensignatur an. Benutzer können Dokumente mit ihren Wallets „unterschreiben“. Dabei werden die Dokumentdateien auf IPFS gespeichert, und die Signaturen auf der Ethereum Blockchain.
Weitere Einsatzmöglichkeiten sind Voting-Plattformen, Paste-Tools, dezentralisierte Apps, Ecommerce oder die Möglichkeit, Zensur zu umgehen.
Cyberkriminelle Aktivitäten
Wir haben mehrere Monate cyberkrimineller Aktivitäten im Zusammenhang mit IPFS anhand unserer Telemetrie analysiert.
Die Methode gibt zwar keine allumfassenden Ergebnisse, und die angegebenen Zahlen sind unter Umständen niedriger als die tatsächlichen. Zum einen funktionierten einige IPFS-URLs zum Zeitpunkt unserer Analyse einfach nicht. Zudem konnten URLs, die zu kennwortgeschützten Dateien (meist Archivdateien) führen, nicht analysiert werden, so dass wir den Inhalt dieser Archive nicht kennen. Schließlich wollen nicht alle Kunden Erkennungsdaten zurücksenden. Dennoch sind die Recherchen interessant.
Unsere Ergebnisse scheinen im beobachteten Zeitraum von Mai bis September 2022 von einem Monat zum anderen ziemlich konstant zu sein.
Die Zahl der von IPFS ausgehenden Bedrohungen nimmt laut unserer Daten stetig zu. Während sie im Mai 2022 noch 1,8 % des weltweiten IPFS-Verkehrs ausmachten, sind es jetzt schon fast 6 %. Wahrscheinlich wird dieser Anteil künftig noch steigen.
Scams
Wir fanden nur sehr wenige auf dem IPFS gehostete Inhalte, die mit Betrug zu tun haben. Bei den gefundenen Inhalten, die nie mehr als 0,02 % der Bedrohungen ausmachten, handelt es sich um Bilder, die von Betrügern z. B. für Lotterie- oder in jüngerer Zeit für NFT-Betrügereien von Bored Ape verwendet werden. Sie alle stehen im Zusammenhang mit seit langem existierenden Betrugsarten.
Die Verwendung von IPFS zum Hosten von Phishing-Seiten ist für die Täter sinnvoll, da die Seiten dann schwerer zu entfernen sind. Es sind die am häufigsten entdeckten Bedrohungen.
Auch wenn der prozentuale Anteil von IPFS im Vergleich zu Nicht-IPFS gering erscheinen mag (zwischen 3,5 % und 9 % der Phishing-Bedrohungen), ist das Volumen ein wachsendes Problem. Es ist schwierig, die tatsächliche Auswirkung von IPFS-Phishing zu bestimmen, da diese Statistiken nur eine Anzahl eindeutiger Domänen/CIDs widerspiegeln, nicht aber die Anzahl der Mails, die jede dieser Domänen verbreiten. Eine eindeutige Domäne kann durch Millionen von Mails ausgelöst werden, während eine andere vielleicht nur ein paar tausend Opfer erreicht. Der Originalbeitrag beinhaltet auch ein Beispiel einer Phishing-Seite auf IPFS.
Cyberkriminelle scheinen IPFS nur selten für das Hosting von Malware zu nutzen. Allerdings fanden wir einige RAT- und Infostealer-Familien. Auch gab es gängige Tools, die für legitime und nicht legitime Zwecke auf IPFS gehostet werden, z.B. Proxy-Tools, Scamming-Tools und File Binders. Schließlich konnten wir sieben Kryptominer-Samples auf IPFS finden, die für legitime oder illegale Zwecke verwendet werden können.
IPFS in Untergrundforen
Wie jede neue Technologie wird auch IPFS in cyberkriminellen Untergrundforen diskutiert. Die Diskussionen reichen von „Anfänger“-Themen (Was ist IPFS?) bis hin zu echten technischen Diskussionen über die IPFS-Infrastruktur.
Cyberkriminelle müssen oft Dateien, Methoden/Übungen oder auch nur Screenshots in den Untergrundforen austauschen und nutzen zu diesem Zweck kostenlose Daten-Hostingdienste wie MediaFire oder Mega. Einige setzen auch auf das Hosting im Tor-Union-Netzwerk. Seit 2021 verwenden immer mehr Cyberkriminelle IPFS, um solche Inhalte zu speichern und sie mit Gleichgesinnten zu teilen. Auch gab es in Untergrundforen Werbung für einige illegale kommerzielle Dienste, die auf IPFS gehostet wurden.
Fazit
IPFS und das zugehörige IPNS können wie jedes andere Protokoll von Cyberkriminellen missbraucht werden. Cyberkriminelle mit durchschnittlichen oder geringen Kenntnissen werden wahrscheinlich nicht viel von der Technologie nutzen, vor allem weil sie eine gewisse Vorbereitung und Kenntnisse erfordert, um effizient eingesetzt werden zu können. Die Fortgeschrittenen könnten jedoch darin ihre Chance wittern, das zeigen auch die Diskussionen in Untergrundforen. Außerdem nutzen einige von ihnen IPFS bereits für das Hosting und die Ausführung ihrer Taten.
Der elektronische Handel scheint in der IPFS-Umgebung zu gedeihen, und das haben sich die Cyberkriminellen definitiv zunutze gemacht. Sie haben Shops eingerichtet, in denen sie illegale Waren verkaufen, und für den Fall, dass ein Knoten ausfällt, tritt ein anderer an seine Stelle und sorgt für Ausfallsicherheit. Wir gehen auch davon aus, dass einige Bedrohungsakteure ihre eigenen IPFS-Gateways erstellen und Knoten betreiben werden, um ihre Inhalte so lange wie möglich online zu halten.
IPFS ist zwar ein beliebt, wenn es um die dezentrale Speicherung im Web 3.0 geht, aber es gibt noch weitere Optionen. Bedrohungsakteure werden in Zukunft auch andere Web 3.0-Speicher für ihre Operationen nutzen. Alle Einzelheiten zum Thema liefert der Originalbeitrag.