Land

Security Blog

Abseits von Clients und Server: Verwundbare „Dinge“ als unterschätze und zunehmende Gefahr

In den letzten Jahren entwickelten sich viele Systeme zu vernetzten und dauerhaft mit dem Internet verbundenen Services weiter. Waren es Mitte der 2000er Jahre besonders IP-Telefonie Anlagen, die große Verbreitung fanden, weitete sich der Trend in alle denkbaren Richtungen aus. Neben der Videoüberwachung, der Haussteuerung, Unterhaltungssystemen oder auch vieler Industrie- und Anlagensteuerungen – nichts blieb vor der zunehmenden Internetanbindung und Digitalisierung verschont. Sieht man sich heutzutage eine IT-Infrastruktur und die beteiligten Komponenten an, sind oft viele kleine Systeme vorhanden, die oft recht unbedacht an das (Heim-) Netzwerk angeschlossen werden. Während Server und Clients meist recht gut betreut sind, werden die oftmals proprietären Systeme nur selten inventarisiert und softwaretechnisch am letzten Stand gehalten. Dies begründet sich auch darin, dass ein Server oder Client alle paar Jahre erneuert wird. Wie oft tauschen Sie aber einen Fernseher, Klimaanlage oder gar einen Aufzug aus? Wer kümmert sich um Softwareupdates am digitalen Videorekorder oder am Router ihres Service Providers?

Von dieser Vielzahl an oft „unsichtbaren“ Systemen geht eine nicht zu unterschätzende Gefahr aus. Zusätzlich sind aufgrund fehlender oder schlechter Standards meist nur schwache Protokolle und Passwörter eingesetzt bzw. bei der Installation erst gar keine Änderungen der Default-Einstellungen erforderlich, um den Kundennutzen nicht unnötig einzuschränken.
Als gutes Beispiel für das Gefahrenpotential kam hier das Botnet „Mirai“ 2016 in die Schlagzeilen: Ein riesiges Netzwerk an fast 3 Millionen unscheinbaren Dingen, alle an das Internet angebunden, legten durch einen Distributed Denial of Service Angriff weite Teile des DNS-Systems lahm. Betroffen waren Branchengrößen wie Spotify, Twitter und Amazon. Dabei war die „Rekrutierung“ der verschiedenen Router, Kameras, Fernseher oder anderer „embedded devices“ gar nicht aufwändig: Oft wurde einfach der Standard-Administrator-Account über Telnet abgefragt – nur allzu oft waren die unveränderten Werkseinstellungen zu finden, mit denen dann Kontrolle auf die Geräte ausgeübt wurde.

Aktuell sind hier weitere, besorgniserregende Entwicklungen zu beobachten. Die letzte große Welle an Schadsoftware für solche Geräte trug den Namen „VPNFilter“ und vereinte ein Netzwerk aus ca. 500.000 kleiner Internet-Home-Router. Meist waren dies Anschlüsse privater Kunden oder kleiner Unternehmen. Betroffen waren Systeme von MicroTik, Linksys, Netgear, Asus und vieler ähnlicher Hersteller. Auch hier wurde zumeist der Zugang zu den Systemen mit einfachen Standard-Passwörtern durchgeführt. Die Malware selbst war für mehrere aufbauende Stufen ausgelegt und deutlich weiterentwickelter als aktuell bekannte Schadsoftware. Als neue Besonderheit war es auch möglich über ein Modul jeglichen Verkehr durch die betroffenen Systeme selbst zu belauschen und auf anderen Ziele hin umzuleiten. Denkbar wäre die weitreichende Beeinflussung von Zahlungen oder Bestellungen, da über eine solche Man-in-the-Middle Attacke auch jeder verschlüsselte Datentransfer manipulierbar ist.

Die Entdeckung dieses neuen Malware-Netzwerks geschah eher zufällig durch das FBI, die den Kontroll-Server durch andere Nachforschungen entdeckte und ungeplant übernahm. Zuerst ist man davon ausgegangen das ein Reboot der betroffenen Geräte ausreicht, um die Schadsoftware wieder zu entfernen. Bei weiteren Analysen sind die weiterentwickelnden Mehrfachfunktionen entdeckt worden, die auch in der Lage sind einen Reboot zu überstehen. Falls die betroffenen Systeme von den Herstellern keine Updates mehr erhalten, wird sogar empfohlen die Geräte zu entsorgen und einen neuen Router zu kaufen - andererseits kann die Sicherheit nicht mehr garantiert werden. Es ist zu hoffen, dass bei der Installation eines neuen Systems zumindest die Standardpasswörter geändert werden.

Solange Hersteller die Installationsprozeduren und Softwareupdates nicht verbessern, müssen die Anwender und Konsumenten sich um die Einhaltung der Sicherheitsaspekte kümmern. Zumindest der Zwang neue Passwörter zu vergeben und keine unsicheren Protokolle zu verwenden, sollte aufgrund dieser Vorkommnisse eine Best-Practice in der Industrie werden. Die anderen Begleitumstände, wie die Bereitstellung von Softwareupdates auf Lebenszeit von Geräten, verursachen wiederum nachvollziehbare Kosten. Egal aus welcher Perspektive betrachtet, hier ist noch viel Entwicklung und Verbesserung nötig, um zukünftig sichere Systeme zu erreichen. Inzwischen liegt es am Anwender hierbei verantwortungsvoll mit der Beschaffung und den Betrieb solcher Systeme umzugehen.