Auch das sog. „Internet of Things“ und die weitgehend ungelösten Sicherheitsfragen standen angesichts der DDoS-Attacke vom 21.10.2016 im Mittelpunkt vieler Diskussion. Hier zusammengefasst einige Punkte aus den Diskussionen im Rahmen der KISK.
Riesige Mengen gefälschten Traffics
Dyn ist ein bedeutender Anbieter von DNS-Diensten für andere Unternehmen. Bei den Angriffen wurden riesige Mengen gefälschten Traffics gezielt gegen Dyn-Server gerichtet. Dyn hat dann einige wichtige Websites, Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast und das Playstation-Netzwerk mit in den Abgrund gezogen. Doch diese großen Domains waren nur die Spitze eines Eisbergs tatsächlich wurden z.B. tausende von kleinen und mittleren eCommerce Seiten gestört.
Das hatte natürlich auch mit mangelder Redundanz bei DNS Diensten auf Seiten der Betroffen zu tun – es sein denn sie hätten es so gemacht, wie viele Pornoseiten 😉 – Pornoredundanz.
Die Angriffe vom 21.10. wurden durch eine große Anzahl von ungesicherten Internet-Verbindungen digitaler Geräte, wie Heim-Router und Überwachungskameras ermöglicht. Die Angreifer verwendeten Tausende solcher Geräte, die mit bösartigem Code infiziert waren, um ein Botnetz zu bilden. Die Software, die verwendet wurde, um das Netz nach ungesicherten Geräten zu durchforsten, ist frei verfügbar. Diese Geräte sind zwar keine leistungsstarken Computer, doch sie können massive Mengen an einfachem TCP/IP Traffic verursachen.
Standard-Passwörter und „Service Ports“ – die alte Leier
Das Versenden der DDoS Pakete wurden durch die Verwendung von Standard-Passwörtern auf diesen Geräten ermöglicht. Da die Standard-Passwörter für die meisten Geräte weithin bekannt sind, macht jeder, der ein solches Gerät mit Internetkonnektivität einsetzt, ohne vorher das Standardpasswort zu ändern (falls überhaupt möglich), diese Form der Angriffe durchführbar.
Perspektivich kann die Ausnutzung ungesicherter netzwerkfähiger Geräte im Internet durch schädlichen Code den Alltag und die Ökonomie ernsthaft beeinträchtigen. Insbesondere (die jetzt schon) enorme Zahl von IoT Geräten hebt diese Form des Angriffs auf ein neues Niveau. Bei einer weiteren Forcierung der IoT Technologien, ohne deutlich verstärkt auf Sicherheitsaspekte zu achten, kann sich jeder selbst ausmahlen, was passieren kann.
Allein durch den 21/10 Angriff dürften viele Millionen (insbesondere Dollar) im Online-Vertrieb verloren gegangen sein. Viele Unternehmen mussten Ressourcen verteilen, um die Auswirkungen der Angriffe auf ihre Kunden und Mitarbeiter zu analysieren und dann entsprechend zu reagieren.
Fünf Basis-Tipps
Hier sind fünf grundlegende Tipps für die Sicherung von Heim-Routern und anderen IoT Geräten:
- Stellen Sie sicher, dass alle Standardkennwörter zu starken Kennwörtern geändert werden.
- Aktualisieren Sie IoT-Geräte mit Sicherheits-Patches, sobald Patches verfügbar sind. Verfolgen Sie wenigstens sporadisch Security News z.B. bei Heise
- Deaktivieren Sie Universal Plug and Play (UPnP) auf Routern, sofern dies nicht unbedingt erforderlich ist.
- Kaufen Sie IoT-Geräte von Unternehmen, die sich einen guten Ruf in Sachen Sicherheit erworben haben.
- Prüfen Sie wirklich gewissenhaft, ob Sie heute schon z.B. Smart Home Technologien einsetzen wollen, wo immer wieder deutlich wird, dass die Industrie hier bisher wenig Wert auf Sicherheit legt. Im Internet von 1997 hat sich auch noch niemand für Sicherheit interessiert.
Ein Wurm namens „Moose“
Bereits 2015 tauchte der Wurm „Moose“ auf, der Geräte u.a. von 3Com, Alcatel-Lucent, Allied Telesis, Avaya, Belkin, Brocade, Buffalo, Celerity, Cisco, D-link, Enterasys, Hewlett-Packard, Huawei, Linksys, Mikrotik, Netgear, Meridian, Nortel, SpeedStream, Thomson, TP-Link, Zhone, ZyXEL befallen konnte. Moose griff Consumer-Router und -Modems sowie die Hardware an, die von Internet Service Providern (ISPs) an die Verbraucher ausgeliefert wird. Moose kann die Kommunikation zwischen infizierten Routern und den angeschlossenen Endgeräten wie etwa Desktops, Laptops und Mobiltelefone belauschen. Der Wurm führt einen umfassenden Proxy-Dienst (SOCKS und HTTP) aus, auf den nur bestimmte IP-Adressen zugreifen können. Die Angreifer verwenden die infizierten Geräte, um „Social Network Betrug“ auf Twitter, Facebook, Instagram, Youtube und vieles mehr durchzuführen. Moose kann außerdem so konfiguriert werden, dass Router-DNS-Verkehr umgeleitet wird, was dann wiederum Man-in-the-Middle-Angriffe aus dem Internet ermöglicht.
Insbesondere in der abschließenden Podiumsdiskussion bei der KISK 2016 kamen Referenten und Konferenzteilnehmer darin überein, dass gerade im IoT Bereich Sicherheit bisher sträflich vernachlässigt wird, dass aber der wirtschaftliche Erfolg von Produkten aus diesem Bereich stark von einer Verbesserung der Sicherheit abhängen wird.
Und zum Schluss – kleiner Exkurs zum Trinkwasser 😉
Industrial Control Systems (ICS) sind Syteme, die der Administration von technischen Infrastrukturen dienen. Sie bieten auch Oberflächen für Techniker, die über das Netz erreichbar sind. Und – wen wundert es eigentlich noch – diese Oberflächen sind häufig komplett ungesichert. Das kann auch schon mal ihr Wasserwerk betreffen:
- Wasserwerke: 4
- Parkplatzanlagen: ~10
- Smart Homes + Hotels: >5
- Biogasanlagen / Blockheizkraftwerke / Fernheizwerke: 7
[ Wie wir Wasserwerke im Internet entdeckten ]
[ Der leichtfertige Umgang mit kritischen Infrastrukturen ]
Na dann: Prost!