Smarte Geräte als Sicherheitsrisiko
Mehr als 15 Milliarden Alltagsgeräte sind mittlerweile ständig mit dem Internet verbunden. Diese werden zu einer immer größeren Gefahr für das gesamte Netz, wie Experten angesichts aktueller Angriffe warnen.
Wien – Was am vergangenen Freitag passiert ist, klang für viele bereits nach einem Worst-Case-Szenario: Aufgrund von Angriffen gegen den Internetdienstleister Dyn waren zahlreiche große Webseiten stundenlang nicht zu erreichen – darunter Twitter, Spotify oder auch der Bezahldienstleister Paypal. Doch in Wirklichkeit könnte dies nur ein kleiner Vorgeschmack auf kommende Angriffe gewesen sein, warnen nun Sicherheitsexperten. Laut einer ersten Analyse von Dyn wurden die eigenen Server durch dauernde Aufrufe von Millionen Internetadressen parallel überlastet, etwas, das im Fachjargon Distributed-Denial-of-Service-(DDoS)-Attacke genannt wird. Auch wenn die vollständige Auswertung noch einige Zeit in Anspruch nehmen würde, so sei doch jetzt schon klar, dass dabei eine Malware namens Mirai eine entscheidende Rolle gespielt hat. Diese stürzt sich zur Gänze auf Geräte aus dem Bereich des Internets der Dinge – also von digitalen Videorekordern bis zu Sicherheitskameras und Druckern.
Internet der Dinge
Mirai hatte in den letzten Monaten bereits mehrfach für Schlagzeilen gesorgt, zuletzt, als die Malware sein riesiges Botnet gegen den Sicherheitsblogger Brian Krebs in Stellung brachte und so dessen Webseite mehrere Tage lang nicht mehr erreichbar war. Vor kurzem wurde dann der Quellcode von Mirai veröffentlicht, und dieser Einblick darf durchaus Sorgen bereiten. Denn was an Mirai verblüfft, ist vor allem, welch einfacher Methoden es sich bedient. Wurden in der Vergangenheit meist nichtgeschützte Windows-Rechner zu Teilen eines solchen Bot-Netzes gemacht, beschreitet Mirai einen wesentlich simpleren Weg: Es probiert einfach werkseitig von den Herstellern festgelegte Loginund Passwortkombinationen aus, teilweise bedient man sich dabei auch nicht öffentlich dokumentierter Hintertüren der Anbieter. Damit kann man zwar nur einen Bruchteil aller Geräte aus dem Bereich des Internets der Dinge übernehmen, angesichts der Masse smarter Alltagsgeräte – aktuelle Schätzungen gehen von 15 Milliarden Devices aus – bekommen die Angreifer trotzdem recht schnell mehrere Millionen Angriffspunkte unter ihre Kontrolle.
Effektive Attacke
Auch wenn die Angreifer für die aktuelle Attacke offenbar ein neues Mirai-Netz mit anderen Geräten als bei früheren Attacken aufgebaut haben, ist doch davon auszu- gehen, dass sie sich ähnlich simpler Methoden bedient haben. Immerhin haben bereits die Vorfälle der letzten Monate gezeigt, dass sich damit Attacken mit Volumen von einem Terabit pro Sekunde und mehr erzeugen lassen. Und solch einer riesigen Belastung können weltweit nur wenig Betreiber etwas entgegensetzen. So musste etwa das Content-Delivery-Network Akamai vor der DDoSWelle gegen den Blog von Krebs kapitulieren, da sonst das gesamte eigene Netzwerk in Mitleidenschaft gezogen worden wäre, wie das Unternehmen öffentlich eingestand. Erst als Google Krebs unter die Fittiche seines „Project Shield“nahm, war die Webseite wieder zu erreichen.
Dass bisher noch keinerlei klassische Sicherheitslücken für solche Angriffe genutzt wurden, bedeutet natürlich auch, dass es für Angreifer noch einiges an brachliegendem Potenzial gibt, warnt etwa Matthew Garrett. Der LinuxEntwickler, der sich zuletzt auch stark mit der Unsicherheit des Internets der Dinge beschäftigt hat, sieht ein Versagen der Industrie. Für viele Anbieter solcher Geräte sei Sicherheit ein Fremdwort, Updates zur Bereinigung von Sicherheitslücken seien die absolute Ausnahme.
Keine guten Optionen
Die entscheidende Frage sei, wie man solche Attacken in den Griff bekommen kann, und auch hier kann Garrett keinen positiven Ausblick liefern. Es sei kaum zu erwarten, dass sich dieSic herheits situation dieser Geräte in absehbarer Zeit verbessern werde. Eine schnelle Suche nach IP-Kameras auf Amazon würde 30.000 Listings liefern, dass man all die dahinter stehenden Billig hersteller zu einer vernünftigen Sicherheitspolitik überreden kann, sei kaum zu erwarten. Auch von regulatorischen Maßnahmen hält Garrett nur wenig. Aufgrund der mitlaufenden Sicherheit s aktualisierungen einhergehenden Kosten sei es unrealistisch, dass alle Hersteller jedes einzelne Modell über Jahre hinweg mit Updates versorgen. Im Endeffekt bleibe wohl also nur eine Maßnahme über: Die Internet-Provider müssten Kunden, die zu unfreiwilligen Botnet-Teilnehmern werden, schlicht vorübergehend das Netz abdrehen. Klar sei aber jedenfalls eines: Bevor die Situation besser werde, werde sie sicher noch um einiges schlechter, zeichnet Garrett ein reichlich düsteres Bild für die nahe Zukunft des Internets.