Der Fluch des IoT: Das World Wide Web kann einen Atomkrieg überstehen… und scheitert am smarten Toaster

Der Siegeszug des IoT, des Internet of Things, begann mit einem Toaster. 1990 verbanden der US-amerikanische Software- und Netzwerkexperte John Romkey und der australische Computerwissenschaftler Simon Hackett während einer Konferenz einen Toaster mit dem Internet. Das Resultat: Das Gerät konnte online ein- und ausgeschaltet werden. Mittlerweile reicht die Palette an IoT-konformen Devices, die über Netzwerke oder Cloud-basierte Plattformen mit dem Internet verbunden sind, von Wearables wie Smartwatches bis hin zu RFID-Inventarisierungschips – und natürlich ist auch der eine oder andere smarte Toaster dabei…

Die enge Vernetzung der physischen mit der digitalen Welt macht unseren Alltag komfortabler. Wir genießen es, in der Früh vom smarten Kaffeeautomaten mit einer duftenden Tasse empfangen zu werden, lassen uns vom Kühlschrank informieren, was ihm gerade fehlt, und entgehen dank intelligenter Navigationssysteme dem Stau auf dem Weg zur Arbeit. In der Wirtschaft wird das IIoT, das Industrial Internet of Things genutzt, um etwa Verbraucherbedürfnisse in Echtzeit zu verstehen, die Maschinen- und Systemqualität im laufenden Betrieb zu verbessern und Lieferketten zu rationalisieren. Also das perfekte Netzwerk an Technologien für ein schönes und erfolgreiches Leben wie aus dem Werbeclip?

IoT-Geräte sind der perfekte Host für Bots

Nicht ganz – es gibt da einen nicht ganz so kleinen Haken an der Sache: Cyberkriminelle können IoT-Geräte leicht ausnutzen, um in Systeme einzudringen. Viel zu oft handelt es sich hierbei nämlich um Produkte mit niedrigen Sicherheitsstandards, permanent eingeschaltet und auch online, sie werden nur selten überwacht und oft schlecht gewartet. Die heimliche Übernahme der IoT Devices beginnt mit der Ausnutzung einer Schwachstelle und der Angreifer übernimmt die Kontrolle über das System: Das Device agiert wie ein Roboter, kurz: Bot. Gesteuert werden die gekaperten Geräte meistens über sogenannte Command-and-Control-Server (C&C-Server), die Angreifer, die das so kreierte Botnet kontrollieren, werden Bot-Master oder Bot-Herder genannt.

Das erste IoT-Botnet wurde im Jahr 2009 entdeckt, mit der steigenden Digitalisierung nahm auch die Anzahl der Botnets und Angriffe stark zu. Besonders bekannt wurde eine Serie von Attacken durch die Linux-Schadsoftware „Mirai“ im Herbst 2016, vor allem jene am 21. Oktober gegen den US-amerikanischen DNS-Provider Dyn: Die DNS Infrastruktur von Dyn und davon betroffene Dienste wie Twitter, Reddit, GitHub, Amazon, Netflix, Spotify, Airbnb u.a. waren zeitweise lahmgelegt, Dyn verlor acht Prozent seines Managed-Service-Geschäfts. Seitdem wächst die Zahl der entdeckten Botnets exponentiell an.

Wie aus einem harmlosen Gerät ein Bot werden kann

Eine Infektion durch einen Bot oder ein Botnet ist über verschiedene Wege möglich:

  • Über hart kodierte, also in den Quelltext eingegebene, Anmeldeinformationen wie Benutzername und Passwort
  • Über öffentliche Exploits sowie Zero-Day-Exploits in IoT-Geräten durch remote Code-Ausführung, Umgehung der Authentifizierung, Privilege Escalation, u.a. Hier werden Schwachstellen, die bei der Entwicklung der Firmware entstanden sind, ausgenutzt, wobei dies bei einem sogenannten Zero-Day-Exploit geschieht, noch bevor ein Patch / Fix verfügbar ist.
  • Über Fehlkonfigurationen

Was wollen Bot-Herder eigentlich erreichen?

  • Ein Distributed Denial of Service (DDoS), die absichtlich herbeigeführte Überlastung des Netzwerks. Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nur schwer möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
  • Ein Permanent Denial of Service (PDoS), auch „Phlashing“ genannt: Es richtet so starke Schäden am System an, dass die Hardware ersetzt werden muss. Dabei handelt es sich um einen reinen Hardware-Zielangriff, der viel schneller durchgeführt werden kann und nur wenige Ressourcen benötigt.
  • Den Missbrauch des IoT-Geräts, um es in beispielsweise in einen Proxy-Server zu verwandeln, es zum Cryptomining oder zum Versand von Spam-Mails zu verwenden
  • Datendiebstahl
  • Netzwerk-Monitoring
  • Den Schutz der übernommenen IoT-Geräte durch den Herder selbst, um weitere Infektionen durch andere „KollegInnen“ zu verhindern – zumindest konnten White-Hat-Hacker in vereinzelten Fällen Malware identifizieren, die zu diesem Zweck eingeschleust wurde.

Die Evolution des IoT-Ökosystems

Um das Jahr 2000 begann das Internet der Dinge Form anzunehmen. Zunächst fand es vor allem in der Wirtschaft Anwendung, etwa für Tracking & Tracing von mit RFID-Tags ausgestatteten Waren. Mittlerweile ist es auch in unserem privaten Alltag angekommen: Das IoT hat sich von auf passiven Devices beruhenden Architekturen zu einem smarten, dynamisch wachsenden IoT-Ökosystem entwickelt. Allerdings ist es dadurch verwundbarer geworden und erfolgreiche Attacken haben wesentlich größere Auswirkungen.

Konnten Mitte der 2000er-Jahre IoT-Geräte nur direkt via Internetverbindung und somit nur isoliert attackiert werden, entwickelte sich mit der zunehmenden Vernetzung der Devices auch ein größeres Gefahrenpotenzial. Der Einsatz von Universal Plug and Play (UPnP) vereinfacht die Verbindung und Steuerung herstellerübergreifend netzwerkfähiger Geräte, eröffnet jedoch auch neue Einfallstore: So kann etwa die Firewall eines UPnP-fähigen Routers von einer auf den Computer gelangten Malware unwirksam gemacht werden.

Mit der leistungsfähigen Cloud-Technologie und der Möglichkeit, die IoT-Devices auch mit mobilen Endgeräten zu kontrollieren, hat sich die Menge der praktischen, den Alltag erleichternden Geräte drastisch erhöht. Größer ist nun allerdings auch der mögliche Impact einer Infektion durch Schadprogramme, die über die Verbindung mit der Cloud ins private IoT-Netzwerk gelangen, etwa mittels gepushter Softwareupdates. Über eine einzige Schwachstelle in der Cloud kann so eine Unzahl von Devices attackiert werden, wie etwa beim Hijacking von mehr als 50.000 Baby-Cams im Jahr 2018 geschehen.

IoT Inspector für sichere Firmware

Besonders sorgfältig müssten daher in dieser boomenden Branche die Hersteller von IoT-Geräten vorgehen. Der chinesische Erstausrüster Xiongmai beliefert weltweit mehr als 100 Anbieter von Überwachungskameras, digitalen Videorekordern und Netzwerk-Videorekordern mit mehr als neun Millionen seiner IoT-Geräte. Im Jahr 2018 überprüften MitarbeiterInnen des SEC Consult Vulnerability Labs Xiongmai-Geräte und konnten mithilfe der Firmware-Sicherheitsanalyse-Plattform IoT Inspector eine Sicherheitslücke entdecken: Das unsichere Cloud-Feature „XMEye P2P cloud“  ist standardmäßig aktiv und eröffnet so Angreifern millionenfach Tür und Tor.

Dieses Beispiel zeigt auf, wie wichtig die Weiterentwicklung und die konsequente Anwendung von IoT-Sicherheitsstandards ist und dass deren Einhaltung von den IoT-Geräte-Herstellern eingefordert werden muss. Mit dem Compliance Checker, einem Feature des „IoT Inspector“, können Provider von IoT-Geräten auf Knopfdruck überprüfen, ob geforderte Normen von Herstellern verletzt werden.

Steht die nächste Generation von IoT-Botnets vor der Tür?

Der technologische Wettlauf zwischen den „Räubern“ Botnets und den „Gendarmen“ Hersteller oder auch IT-Security-Unternehmen hat sich durch die immer stärkere Digitalisierung intensiviert: Millionen von Geräten sind über nur eine anfällige IoT-Cloud zugänglich, Command-und-Control-Kommunikation findet versteckt in regulären Cloud-Kommunikationsprotokollen statt, damit ergibt sich für Bot-Herder ein bequemer Weg zur Umgehung der NAC (Network Access Control) – und letzten Endes erhalten sie damit Einsicht in Millionen von privaten Netzwerken.

Es ist jedoch kein schicksalhaftes, unabwendbares Ereignis, in ein Botnet eingegliedert zu werden. Auch gewitzte Cyberkriminelle können nicht zaubern, sondern bedienen sich lediglich der geringen IT-Kenntnisse und Sorglosigkeit vieler Anwender sowie der Sparsamkeit so mancher Hersteller, was die Implementierung von IoT-Sicherheit betrifft. Sich vor der Infektion durch einen Bot zu schützen, ist keine Hexerei, es sollten die gleichen Maßnahmen gesetzt werden, die auch dem Schutz vor anderen IT-Gefahren dienen.

Checkliste: Sind Ihre IoT-Geräte sicher?

1) Kennen Sie den aktuellen Sicherheitsstatus Ihrer IoT-Geräte?
Inventarisieren und analysieren Sie die Firmware Ihrer vorhandenen IoT-Geräte.

2) Bewerten Sie die Sicherheit von IoT-Geräten, bevor Sie sie zu Ihrem Netzwerk hinzufügen?
Analysieren Sie die Firmware Ihrer IoT-Geräte während des Beschaffungsprozesses.

3) Wie schützen Sie sich vor neu auftretenden IoT-Bedrohungen?
Überwachen Sie die Firmware Ihrer IoT-Geräte auf Schwachstellen.

4) Wie skaliert Ihr Prozess mit der exponentiell wachsenden Zahl von IoT-Geräten in Ihrem Netzwerk?
Die Kalibrierbarkeit und Automatisierung der Firmware-Sicherheitsanalyse von IoT-Geräten ist entscheidend.

Mehr darüber, wie Sie Ihr Netzwerk vor Angriffen per IoT-Geräten schützen können, erfahren Sie in einem persönlichen Gespräch.