Deine Kamera greift mich an

Autor: Stefan Hager / Erstveröffentlichung 2016

Deine Kamera greift mich an

Wer in der IT arbeitet hat in den letzten Jahren sicher etwas vom “Internet of Things” (kurz: IoT) gehört. Wo einst Menschen miteinander kommuniziert haben, hängen jetzt Geräte im Netz und sind jederzeit bereit, auf Signal Befehle auszuführen.
Das Internet of Things hat schon einige interessante Dinge geschafft. Bei einer Veranstaltung von Cisco wurde vor Jahren schon gepredigt, dass inzwischen mehr Dinge, also Things, im Internet unterwegs sind als Menschen. Streng genommen sind da eh nie Menschen unterwegs gewesen, zumindest kenne ich niemand, der einen direkten Anschluss ans Netz implantiert hat (übrigens eine Vorstellung, die schon vor Jahrzehnten vom Erfinder des Cyberpunk, William Gibson, in seinen Stories beschrieben wird). Aber ich schweife ab.

Fast alle Geräte, die gemeinhin zum IoT gezählt werden, haben eines gemeinsam: Beim Design geht es nur nebensächlich um Sicherheit. Funktionalität und Konnektivität haben höchste Priorität; eine sichere Kamera, die leider keine Bilder machen kann, verkauft sich schlechter als eine gute Kamera, deren Sicherheit mehr als fragwürdig ist.

Mitte September wurde das beliebte Securityblog “Krebs On Security” von Brian Krebs mit einem bisher noch nie gesehenen Volumen von 620 Gbps angegriffen. Das Blog wird von Akamai gehostet, das ist die Firma, die sich auf die Verteilung riesiger Datenmengen spezialisiert hat und auch jemand, der mit DDoS normalerweise gut umgehen kann. In diesem Fall hat aber auch Akamai die Segel gestrichen und das Blog irgendwann vom Netz genommen; aber das war eher eine Frage der durch den Angriff verursachten Kosten.

Angriffe im 100 Gbps-Bereich sind nicht ungewöhnlich. Fast immer nutzen die Angreifer hier Dienste von Dritten, welche das Datenvolumen vervielfachen und dann an das Ziel schicken; aber der Angriff auf Brian Krebs hat auf solche Mechanismen komplett verzichtet und war dennoch mit großem Abstand der Angriff mit dem höchsten bis dato gesehenen Volumen.
Um das zu veranschaulichen: wir reden hier von knapp 18 prall gefüllten DVDs, deren kompletter Dateninhalt pro Sekunde auf das Ziel einprasseln. Man kann solchen Traffic mitigieren (d.h. bereinigen), wie das Beispiel zeigt, aber es ist teuer und man muss schon in der Bandbreiten-Oberliga mitspielen.

Wie konnte der Angreifer das bewerkstelligen?

Die Formel für das vernichtende Potential ist: Vernetzte Geräte plus Standardpasswörter. Der Programmierer des “Mirai” getauften Botnets hat ihren oder seinen Sourcecode ins Netz gestellt. 68 User/Passwort-Kombinationen waren ausreichend, um eine hohe Anzahl an Geräten zu übernehmen (der Autor/die Autorin von Mirai spricht von 300.000 bis 380.000 Geräten im Schnitt) und als Angriffsplattform auf Brian Krebs zu nutzen.

Was ist im Nachgang geschehen? Haben die vielen Besitzer der Bots nach dem Angriff betroffen und verantwortungsbewusst ihr Passwort geändert, damit das nicht wieder auftritt? Natürlich nicht.
Zum einen dürfte es sehr vielen Betroffenen gar nicht klar sein, dass ihre Geräte quasi hinter ihrem Rücken Angriffe ausführen. Zum anderen machen es einem Hersteller solcher Dinge auch nicht immer einfach, Passwörter zu ändern; und was für einen IT-ler meistens ein kleiner Eingriff ist, kann für andere Menschen eine undurchführbare Aufgabe sein.

Mirai wurde letzte Woche dafür benutzt, einen großflächigen Angriff auf Dyn zu starten. Dyn betreibt Infrastruktur für Firmen wie Twitter, Amazon, Tumblr, Reddit, Spotify und Netflix. Der Angriff auf Dyn war so erfolgreich, dass viele große Webseiten zeitweise nicht mehr über reguläre Wege erreichbar waren. Die Verfügbarkeit des Sourcecodes von Mirai und die schlechte Absicherung von den vielen Dingen im IoT lässt erwarten, dass weitere Angriffe bevorstehen. Inzwischen geht man übrigens davon aus, dass dieser zweite Angriff von ungeübten Angreifern — auch Script Kiddies genannt — durchgeführt wurde.

Falls Sie also IoT-Geräte im Einsatz haben, ändern Sie doch bitte mal das Passwort — wenn das Gerät es erlaubt.

Zum Schluss möchte ich aber noch einen positiven Aspekt der ganzen Geschichte beleuchten. Wer auch immer für Mirai verantwortlich ist, hat etwas geschafft, an dem so mancher IoT-Hersteller nach wie vor knabbert: die reibungsfreie und übergreifende Vernetzung verschiedenster IoT-Geräte untereinander und anschließende Kooperation zum Erreichen eines gemeinsamen Ziels.