DDoS-Atta­cken über IoT-De­vices

Computerwoche - - Inhalt - Von Tho­mas Snor, Exe­cu­ti­ve En­ter­pri­se Se­cu­ri­ty Ar­chi­tect bei NTT Se­cu­ri­ty und Spe­zia­list für In­for­ma­ti­ons­si­cher­heit und Ri­si­ko-Ma­nage­ment

An­grei­fer nut­zen im­mer häu­fi­ger schlecht ge­si­cher­te Ge­rä­te im In­ter­net of Things (IoT) als Aus­gangs­ba­sis, um Ser­ver ab­zu­schie­ßen. Auch Smart-TV-Ge­rä­te und Web­cams sind oft Aus­gangs­punkt für Dis­tri­bu­ted-De­ni­al-of-Ser­vice­An­grif­fe.

DDoS-Atta­cken nut­zen schlecht ge­si­cher­te Ge­rä­te im In­ter­net of Things (IoT) als Aus­gangs­ba­sis. Da die Si­cher­heits­la­ge zu­nächst un­be­frie­di­gend blei­ben dürf­te, müs­sen sich Un­ter­neh­men auf her­kömm­li­che Wei­se schüt­zen.

En­de 2016 wur­de erst­mals das IoT als Platt­form für ei­nen groß an­ge­leg­ten Dis­tri­bu­ted-De­ni­al-of-Ser­vice-(DDoS-) An­griff ver­wen­det. Das ent­spre­chen­de Bot­netz be­stand aus rund 300.000 IoT-Ge­rä­ten, vor al­lem aus un­ge­si­cher­ten Über­wa­chungs­ka­me­ras, die mit der Schad­soft­ware Mi­rai in­fi­ziert wor­den wa­ren. Auf die­ser Ba­sis er­folg­te dann ein DDoS-An­griff auf Dyn, den DNS-Pro­vi­der von nam­haf­ten Con­tent-An­bie­tern wie Ama­zon, Spo­ti­fy oder Net­flix. De­ren Di­ens­te wa­ren zeit­wei­se nur noch mit Ein­schrän­kun­gen oder gar nicht mehr er­reich­bar. Wie ge­wal­tig die­ser An­griff war, zei­gen die Zah­len: Zum ers­ten Mal wur­de bei ei­ner DDoSAtta­cke das Vo­lu­men von ei­nem Te­ra­bit pro Se­kun­de über­schrit­ten. Ein ge­nau­er Blick auf die Ei­gen­hei­ten die­ses An­griffs lässt dar­auf schlie­ßen, dass künf­tig mit wei­te­ren, wo­mög­lich noch mas­si­ve­ren Vor­fäl­len die­ser Art zu rech­nen ist. Das In­ter­net der Din­ge ist in sei­ner der­zei­ti­gen Ver­fas­sung die idea­le Platt­form für Bot­net­ze und da­mit für DDoS-Atta­cken. Der er­wähn­te An­griff über Mi­rai ist ein ty­pi­scher Fall: An­satz­punkt wa­ren be­kann­te Schwach­stel­len in Web-Ka­me­ras, in de­nen so­wohl Pass­wort als auch User-Na­me hart co­diert wa­ren, von den Be­trei­bern al­so nicht ge­än­dert wer­den konn­ten. Die Ka­me­ras er­füll­ten dem­nach nicht ein­mal die grund­le­gends­ten Si­cher­heits­an­for­de­run­gen. Ge­nau des­halb sind IoT-Sys­te­me als In­stru­men­te der An­grei­fer so at­trak­tiv: Sie sind in der Re­gel auf Funk­tio­na­li­tät hin op­ti­miert, wäh­rend Si­cher­heits­as­pek­te nur ei­ne Ne­ben­rol­le spie­len.

In­dus­trie 4.0 bie­tet Chan­cen – für An­grei­fer

Zu­gleich aber er­freu­en sich IoT-De­vices ei­nes ra­sant wach­sen­den Zu­spruchs sei­tens der Nut­zer: Ob Web-Ka­me­ras, Be­leuch­tun­gen, Hei­zungs­an­la­gen oder smar­te Fern­seh­ge­rä­te – die Web-In­te­gra­ti­on lässt sich gut ver­kau­fen, und gera­de im Sek­tor Smart Ho­me will kein An­bie­ter auf ent­spre­chen­de Pro­duk­te ver­zich­ten. Aber auch im Un­ter­neh­mens­be­reich bie­tet

das IoT gu­te Vor­aus­set­zun­gen. Der­zeit wer­den ja nicht nur hoch­wer­ti­ge An­la­gen und Ma­schi­nen Web-fä­hig ge­macht, auch re­la­tiv ein­fa­che Sys­te­me wie et­wa Stra­ßen­be­leuch­tun­gen wer­den ins Web in­te­griert.

Ne­ben dem ge­rin­gen Si­cher­heits­ni­veau und der gro­ßen Ver­brei­tung der Ge­rä­te kommt An­grei­fern ein wei­te­rer Aspekt ent­ge­gen: Gera­de in der ver­trau­ten häus­li­chen Um­ge­bung ver­hal­ten sich die Nut­zer meist nicht ri­si­ko­be­wusst. Die An­bie­ter ha­ben ih­rer­seits auch kein In­ter­es­se da­ran, Si­cher­heits­the­men auf­zu­brin­gen und da­mit Be­den­ken zu we­cken. Ih­re Ar­gu­men­te dre­hen sich eher um Kom­fort und Be­nut­zer­freund­lich­keit. So kommt es, dass die Be­nut­zer Stan­dard-Pass­wör­ter bei­be­hal­ten oder nur schwa­che Pass­wör­ter ein­ge­ben – so­fern das her­stel­ler­sei­tig über­haupt er­mög­licht wird. Sol­che Nut­zer neh­men dann oft auch kei­ne Up­dates der Soft­ware vor.

Für DDoS-An­grei­fer sind das op­ti­ma­le Aus­gangs­be­din­gun­gen. Über den Foot­print, den die Ge­rä­te im Netz hin­ter­las­sen, kön­nen sie ein­fach her­aus­fin­den, wel­che Haus­sys­te­me über ei­ne IP-Adres­se zu er­rei­chen sind, und die­se an­grei­fen. Sol­che Atta­cken er­fol­gen in der Re­gel au­to­ma­ti­siert. Der An­grei­fer sucht nicht selbst nach ei­nem ge­eig­ne­ten Ob­jekt und in­fi­ziert es, son­dern über­lässt das ei­nem ent­spre­chend pro­gram­mier­ten Ro­bot.

Bot­net­ze wer­den heute meist von ge­schäfts­tüch­ti­gen Ex­per­ten ent­wi­ckelt und dann an kri­mi­nel­le Drit­te ver­kauft. Da­bei ar­bei­ten die Ent­wick­ler der Bot­net­ze so, dass die Be­trei­ber be­fal­le­ner IoT-Sys­tem nichts oder we­nig da­von be­mer­ken. Sie sind nicht das Ziel, son­dern das Mit­tel ei­nes An­griffs.

Um der Be­dro­hung Herr zu wer­den, gibt es drei An­satz­punk­te. Zu­nächst ein­mal sind die Her­stel­ler von IoT-Ge­rä­ten in der Pflicht. Sie müs­sen zu­min­dest für ei­ne Gr­und­ab­si­che­rung ih­rer Sys­te­me sor­gen. Hart co­dier­te Pass­wör­ter wie im Mi­rai-Fall sind ein Un­ding. Die Ge­rä­te müs­sen zum Bei­spiel durch ein star­kes in­di­vi­du­el­les Pass­wort schon ab Werk ge­si­chert sein. Al­ler­dings ha­ben vie­le Ent­wick­ler von IoT-Ge­rä­ten kaum Ver­ständ­nis für die Si­cher­heits­pro­ble­ma­tik, sie sind in der Re­gel auf Funk­tio­na­li­tät aus.

Auf Dau­er wird man da­her kaum um Stan­dards, Vor­schrif­ten oder Prüf­zei­chen her­um­kom­men. Es bleibt je­doch die Fra­ge, wie der­glei­chen prak­tisch durch­zu­set­zen ist, han­delt es sich bei den schwach ge­si­cher­ten Kom­po­nen­ten doch häu­fig um Bil­lig­pro­duk­te oder -bau­tei­le. Ent­spre­chen­de Re­gu­lie­run­gen sind nicht in Sicht und hän­gen wohl in ho­hem Ma­ße von der in­dus­trie­po­li­ti­schen Aus­rich­tung ab.

Si­che­re Pass­wör­ter und Pat­ches

Ne­ben den Her­stel­lern müs­sen na­tür­lich auch die Nut­zer von IoT-Sys­te­men be­zie­hungs­wei­se die Be­trei­ber an Si­cher­heit den­ken. Gera­de Pri­vat­an­wen­der ha­ben hier Nach­hol­be­darf. Noch sind es vor­wie­gend tech­ni­kaf­fi­ne Nerds, die sich ein Smart Ho­me ein­rich­ten, in dem sie Hei­zung, Licht und Rol­lä­den mit dem Smart­pho­ne steu­ern kön­nen. Über kurz oder lang sol­len aber al­le Haus­hal­te in die La­ge ver­setzt wer­den, ihr Heim smar­ter zu ge­stal­ten. Es ist ab­seh­bar, dass vie­le Men­schen da­mit heil­los über­for­dert sein wer­den. Wer lässt sich schon ein Smart Ho­me ein­rich­ten, um dann re­gel­mä­ßig Se­cu­ri­ty-Up­dates für Ga­ra­gen­tor und Kühl­schrank ein­zu­spie­len?

Stets ver­däch­tig sind in den hei­mi­schen Wohn­zim­mern Smart-TVs so­wie TV-Re­cei­ver und Set-Top-Bo­xen. Die­se Ge­rä­te wur­den längst in Mas­sen aus­ge­lie­fert und sind auch bei un­er­fah­re­nen Nut­zern im Ein­satz. Smar­tTVs ver­fü­gen na­tur­ge­mäß über ei­ne breit­ban­di­ge An­bin­dung, so dass sich An­grif­fe auch wirk­lich „loh­nen“.

Schließ­lich müs­sen aber auch die Pro­vi­der in die Pflicht ge­nom­men wer­den. Sie kön­nen er­ken­nen, ob bei­spiels­wei­se in Ho­me-Net­zen un­üb­li­cher Traf­fic ent­steht, und die­sen ge­ge­be­nen­falls un­ter­bin­den. Bis­her ha­ben In­ter­ne­tSer­vice-Pro­vi­der (ISPs) al­ler­dings nur we­nig ge­gen die Ge­fahr aus dem IoT un­ter­nom­men. Die Be­kämp­fung der Ur­sa­chen sol­cher An­grif­fe ist al­so noch nicht weit ge­die­hen, und es ist frag­lich, ob sie je im er­wünsch­ten Um­fang statt­fin­den wird. Da­her müs­sen sich Un­ter­neh­men und Pri­vat­per­so­nen, die im Vi­sier der An­grei­fer ste­hen – al­so im Grun­de al­le –, ge­gen die Fol­gen schüt­zen.

Für die Op­fer ist es un­er­heb­lich, ob ih­re Rech­ner durch ei­nen DDoS-An­griff via IoT oder klas­sisch via Com­pu­ter lahm­ge­legt wur­den. Bei­de Va­ri­an­ten un­ter­schei­den sich vor al­lem durch das Aus­maß des An­griffs. Wird die Zu­sam­men­ar­beit mit ei­nem Se­cu­ri­ty-Pro­vi­der er­wo­gen, soll­te der über ein spe­zi­el­les Scrub­bing-Cen­ter aus­rei­chend Band­brei­te zur Ver­fü­gung stel­len kön­nen, um den ver­däch­ti­gen Traf­fic um­zu­lei­ten und zu ana­ly­sie­ren. In die­sem Fall wird nur der „ge­säu­ber­te“Traf­fic durch­ge­las­sen. Wich­ti­ger als al­le tech­ni­schen Lö­sun­gen ist aber das ganz­heit­li­che Si­cher­heits­kon­zept, das Un­ter­neh­men recht­zei­tig – al­so lan­ge vor ei­nem An­griff – er­ar­bei­tet ha­ben soll­ten.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.