zurück zur Übersicht

Sicherheitslücke IoT: Insecure on arrival

IoT Geräte wie IP-Kameras lassen sich tückisch leicht als Bots missbrauchenDOA (Dead On Arrival) ist ein bekannter Ausdruck für Geräte, die bei Lieferung bereits defekt sind und den Dienst versagen. Betroffene Kunden nehmen in der Regel sofort entsprechende Garantieleistungen des Herstellers in Anspruch, um das defekte Gerät gegen ein funktionsfähiges einzutauschen. Betrachtet man die aktuelle Situation bei Embedded-Geräten wie IP-Cams oder DVRs dürfte sich bald ein weiterer Terminus im Zusammenhang mit dem Internet Of Things (IoT) etablieren – „Insecure On Arrival“.

Dass viele Hersteller entsprechender Geräte den Fokus bei der Entwicklung ausschließlich auf Funktion legen und dabei die Absicherung gänzlich vernachlässigen, lässt sich an der aktuellen Serie von DDoS-Attacken (Distributed Denial of Service) ableiten. Mit den Angriffen auf den DNS-Service-Provider Dyn fand die Welle ihren vorläufigen Höhepunkt. Beteiligt an dem massiven Angriff, der zum Ausfall weitverbreiteter Internet Services wie Twitter, Netflix, Amazon, Spotify und GitHub führte, war das Botnet Mirai.

Ihre Webcam könnte schon dazu gehören!

Das beosndere an Mirai: das Netz besteht aus kompromittierten IoT-Geräten. Mit diesem Botnet wurde eine Cyberwaffe geschaffen, die durch die pure Anzahl der ihm angehörenden Systeme und der damit verknüpften Bandbreite in der Lage ist, neuralgische Punkte des Internets anzugreifen und Services quasi On-Demand abzuschalten.

Seine besondere Schlagkraft bezieht das Botnet auch aus dem fortschreitenden Breitbandausbau. Der Großteil der kompromittierten Geräte wird wohl hinter Consumer-Breitbandanschlüssen betrieben und so hat eine einzelne IP-Cam nicht selten eine Bandbreite von 50 bis 100Mbit zur Verfügung. Die Anzahl der infizierten Hosts gibt der Botnet Tracker von Malwaretech mit über 1,3 Million Geräten an. Geht man von einer durchschnittlichen Upstream-Bandbreite von 1Mbit aus ergibt sich daraus eine gigantische Angriffsbandbreite von 1,3 Terrabit – Tendenz klar steigend. Dadurch sind die Herrscher über das Mirai-Botnetz nicht einmal auf gängige DDoS-Techniken wie Amplification oder Reflection angewiesen, um ihren Angriffen noch mehr Macht zu verleihen.

Embeded Linux als Schwachstelle

Doch wie konnten diese Geräte kompromittiert werden? Die meisten „smarten“ IoT-Geräte verwenden Linux als Betriebssystem und bieten auch die gängigen Remoteadministrationswerkzeuge wie SecureShell (ssh) und dessen Vorgänger telnet. Um sich damit an einem System anzumelden sind typischerweise ein Benutzername und das dazugehörige Passwort notwendig.

Und genau hier beginnt die Nachlässigkeit vieler Hersteller: diese Zugänge sind standardmäßig aktiviert. Dabei weisen meistens alle Geräte einer Serie oder eines Herstellers gleichlautende Benutzername -/Passwort -Kombinationen auf. Diese Logins sind meistens leicht zu erraten (der altbekannte Nutzer „admin“ mit Passwort „12345“) oder sind weiläufig bekannt. Letzlich reicht es eine einzelne Kamera zu erwerben, und diese in aller Ruhe per BruteForce zu bearbeiten, bis das Passwort ermittelt ist. Die Chancen sind hoch, dass damit der Schlüssel zu zehntausenden Geräten vorliegt.

Hinzu kommt, dass bei diesen Geräten meist webbasierte Benutzeroberflächen für die Konfiguration verwendet werden. Diese werden ebenfalls mit Benutzernamen und einem Passwort gesichert. In der Regel werden Benutzer der Geräte im Rahmen der Inbetriebnahme darauf aufmerksam gemacht, dieses zu ändern. Selbst wenn Benutzer dieser Empfehlung folgen – was längst nicht alle tun – Oft wirken sich diese Änderungen nur auf die Weboberfläche aus, da diese keine Kenntnis von den Benutzern auf Betriebssystemebene hat. Die Folge: Standardpasswörter auf Betriebssystemebene bleiben erhalten.

Das Loch im Zaun

Doch wie sind die Systeme nun über das Internet erreichbar, damit diese Schwachstellen ausgenutzt werden können? Die meisten dieser Geräte werden hinter einem Breitbandrouter betrieben der meist eine Adressumsetzung (NAT) zwischen dem dahinterliegenden Netzwerk und dem Internet betreibt und auch Firewallfunktionen enthält, die Zugriffe auf Systeme im privaten Netz eigentlich verhindern. Soweit korrekt.

Doch viele der smarten Geräte sind darauf angewiesen, dass sie aus dem Internet erreichbar sind. Nur so kann per App auf dem Smartphone die IP-Cam bedientoder die Temperatur der smarten Heizung eingestellt werden. Gerade die Hersteller von Geräten im Niedrigpreissegment verzichten dann gerne auf Lösungen, bei denen ein Connection Broker diese Verbindung auf sichere Weise herstellt. Sie legen ihre Geräte lieber darauf aus, dass sie direkt aus dem Internet erreichbar sind. Und an dieser Stelle kommt das Protokoll UPnP ins Spiel. Auf vielen Consumer-Routern ist Universial Plug and Play aktiviert und dient dazu, dass sich Geräte im Heimnetzwerk ganz einfach die von Ihnen benötigten Firewallfreischaltungen, sozusagen auf Zuruf besorgen können: „Hallo Router, hier IP-Cam. Bitte TCP-Port 22 auf mich weiterleiten. Danke! Over and Out!“ .

Was ursprünglich der Benutzerfreundlichkeit dienen sollte, wird in Kombination mit ungeschützten Administrationszugängen nun zum Seicherheitsdesaster: Die Webcam oder das Onlineradio werden im Nu zum Teil einer durchschlagsstarken Cyber-Waffe, wenn das smarte Gerät zum Mitglied eines IoT-Botnetzes wird.

Gegenmaßnahmen

Die Frage nach technischen Gegenmaßnahmen ist eigentlich recht einfach zu beantworten:

  • Standardpasswörter bei Inbetriebnahme sofort ändern (unumgänglich, auch wenn eine Wirkung nicht garantiert ist)
  • Systeme nach Inbetriebnahme einem Schwachstellenscan unterziehen, um undokumentierte Zugriffsmöglichkeiten zu identifizieren und abzustellen
  • Firewallfreischaltungen nur nach Bedarf anlegen
  • UPnP niemals aktivieren!
  • Systeme regelmäßig mit Updates versorgen

Was im Unternehmensumfeld gängige Praxis ist, wird der Großteil der Privatbenutzer der betroffenen Geräte kaum umsetzen können. Hier fehlen entsprechendes Know-how und Tools. Und so werden diese Geräte wohl weiterhin ein lohnendes Ziel für Botnetzbetreiber sein, bis sie eines Tages das Ende ihrer Lebensdauer erreicht haben.

In Zukunft werden die Hersteller gefragt sein, bei der Entwicklung ihrer Produkte neben Funktionen auch deren Absicherung im Auge zu haben. Dies wird aber nicht passieren, wenn potentielle Käufer dies nicht einfordern, indem sie unsichere Geräte als „Insecure On Arrival“ betrachten und im Zweifel gegen besser abgesicherte Produkte austauschen.


Podcast: Interesssante Diskussion zum Thema DDoS: https://www.youtube.com/watch?v=4grUaWZnKKM
Gartner Market Guide zum Thema IoT (bei ForeScout): http://resources.forescout.com/gartner_marketguide_iot_social.html

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar