IoT Botnet, IdO

Ihr IoT-Spielzeug vs. Meine Freiheit

Die Quellcode-Veröffentlichung des „Mirai“-IoT-Botnets macht es für Möchtegernhacker noch einfacher, eine Armee aus IoT-Geräten zu erstellen. So können diese Hacker ein Ziel ihrer Wahl noch effizienter angreifen, was unsere Pressefreiheit und damit unseren gewohnten freien Zugriff auf Informationen einschließt.

Die Frage ist nur: Wen werden sie angreifen und wird eines Ihrer IoT Geräte Teil dieser Armee?

Ende September fand ein DDoS (Distributed Denial of Service)-Angriff auf KrebsOnSecurity statt. KrebsOnSecurity wurde dazu gezwungen, offline zu gehen. Graham Cluley hat DDoS-Angriffe mal wie folgt beschrieben: „DDoS-Angriffe sind wie 15 dicke Männer, die zeitgleich durch eine Drehtür wollen“. Dabei erhalten Webseiten so viel Traffic, dass sie das Aufkommen nicht mehr handhaben können. Drei interessante Fakten zu diesem Angriff:

  1. Es war ein gigantischer Angriffder größte bis dahin bekannte DDoS-Angriff der Internetgeschichte. Es wurden hier bis zu 665 Gigabit an Traffic pro Sekunde gemessen.
  2. Das Ziel war sichtbar – KrebsOnSecurity ist in den USA eine der führenden unabhängigen Newsseiten zu sicherheitsrelevanten Themen.
  3. Es waren viele Angreifer – der Angriff kam von einem Botnet aus gehackten IoT-Geräten.

Anstelle der gewohnten 15 dicken Männer, die durch die Drehtür wollen, wurde dieser Angriff mit Hilfe eines Mobs von tausenden von kleinen Zombie-Geräten durchgeführt. Die kleinen Zombie-Geräte sind in diesem Fall natürlich die IoT-Geräte, die gehackt und ins Mirai-Botnet gezwungen wurden.

Nur wenige Tage später ging es weiter. OVH, eine französisches Webhosting-Unternehmen, wurde von zwei parallelen DDoS-Angriffen gebeutelt. Hier wurde eine Gesamtbandbreite von nahezu 1 Terabit (das sind 1,000 Gigabit) pro Sekunde erreicht. Die Anzahl der IoT-Geräte, die an diesem Angriff teilnahmen, wurde auf 152,000 Geräte geschätzt. Mit dabei waren Überwachungskameras wie auch ganz normale Videorekorder.

Wie kommt das Botnet zu seiner IoT-Armee?

Das Mirai-Botnet findet seine „Mitglieder“ durch eine andauernde Suche nach IoT-Geräten, deren Nutzername und Passwort sich noch auf Werkszustand befinden. Kurz nach den Angriffen veröffentlichte KrebsOnSecurity eine aus 68 Nutzernamen und Passwörtern bestehende (unvollständige) Liste aus dem Quellcode des Botnets. Dabei wurde hervorgehoben, dass viele dieser Zugangsdaten sehr generisch sind und auf die gesamte IoT-Produktpalette eines Herstellers zutreffen können.

Und es gibt noch weitere schlechte Nachrichten: The Quellcode von Mirai wurde auf Hackforum veröffentlicht. Für Möchtegern-Hacker wird es noch einfacher, eine eigene Botnet-Armee zu erstellen. Die Veröffentlichung ist nicht ganz uneigennützig. Man kann das mit einem Kind vergleichen, dass einen geklauten Lolli in der Klasse herumreicht. Dabei wird der Pool an Kindern, die davon schlussendlich profitieren, erhöht.

Die Kosten solcher DDoS Angriffe sind hoch

Solche DDoS-Angriffe können Opfer wie auch Gesellschaft teuer zu stehen kommen. Der kostenlose Schutz, den KrebsOnSecurity vom Akamai, einem der weltweit größten Anbieter für Cloud- und CDN-Lösungen (Content Delivery Network), erhalten hatte, wurde auf einen Kostenwert von ca. 150.000 US-Dollar geschätzt. Um andere Kunden und eigene Netzwerke zu schützen, musste Akamai den Schutz von KrebsOnSecurity zu guter Letzt aufgeben. Google’s Project Shield sprang ein und sorgte dafür, dass die Webseite von KrebsOnSecurity wieder online gehen konnte.

Die Kosten für die Gesellschaft sind eher indirekt (aber dennoch substantiell): Als investigativer Journalist ist Krebs die Quelle für Informationen rund um Datenpannen, geschröpfte Geldautomaten und vielem mehr.  Indem seine Webseite zwangsweise offline geschickt wurde, fand eine technische Art der Zensierung statt. Auch wenn die Auswirkungen dieses Mal nur für kurze Zeit spürbar waren, werden weitere Angriffe erwartet. Und das nächste Mal trifft es vielleicht einen der großen Tech-Blogs.

Sind Sie sicher, dass Sie die Default-Einstellungen all Ihrer IoT-Geräte geändert haben?

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.