4-11-2016 Gedruckt am 25-05-2017 aus www.monitor.co.at/index.cfm/storyid/17018

DDoS - Das IoT als Bot-Lieferant

Obacht, die Zombie-Devices kommen

DDoS-Angriffe sind nichts Neues und eigentlich seit den 1980er-Jahren bekannt. Doch in letzter Zeit häufen sich rekordverdächtige Attacken mit immer höherer Durchschlagskraft. Der Grund: Die riesigen Botnets, die dafür benutzt werden, bestehen nicht mehr nur aus Zombie-Rechnern, sondern immer mehr auch aus – IoT seit Dank – unzureichend gesicherten und über das Internet erreichbaren "Zombie-Devices" wie zum Beispiel IP-Webcams, Routern oder Druckern.

Rudolf Felser

CC0 Public Domain - pixabay.com

 Am 20. September kam der bekannte Security-Blogger Brian Krebs gehörig ins Schwitzen. Seine Internetseite brach unter einer massiven DDoS-Attacke (Distributed Denial of Service) mit Spitzenwerten von 620 Gigabit pro Sekunde zusammen. Drei Tage lang hat sich das Unternehmen Akamai, das Krebs damals unentgeltlich gegen solche Angriffe geschützt hat, wacker gehalten und die zu diesem Zeitpunkt größte bekannte DDoS-Welle gegen eine einzelne Webseite abgewehrt. Doch dann hat das Unternehmen die Entscheidung getroffen, Krebs von seiner Plattform zu nehmen. Man habe sich bewusst dazu entschieden, da schon zu viel Arbeitszeit und Geld in den Schutz des Pro-Bono-Kunden geflossen sei, so Akamai in einer Stellungnahme. Man sei es den zahlenden Kunden, Mitarbeitern und Shareholdern schuldig gewesen, die richtige finanzielle Entscheidung zu treffen. Wenn man hört, was andere für so einen Schutzdienst bezahlen, kann man die Vorgangsweise von Akamai verstehen: Laut Krebs würde ein kommerzielles Angebot in dieser Größenordnung rund 200.000 Dollar kosten. Glück für ihn, dass er künftig  durch Googles Project Shield geschützt wird, das Journalisten und Blogger rund um den Globus kostenlos von solchen Attacken abschirmt. 
 
Schon wenige Tage später wurde dieser bedenkliche Rekord schon wieder gebrochen. Diesmal war das Opfer der französische Web-Hoster OVH, Vermutungen zufolge war dafür dasselbe Botnet verantwortlich wie für den Angriff auf Krebs. Jedoch wurden Spitzenwerte von bis zu 1,1 Terabit pro Sekunde gemessen.  
 
 
Einen knappen Monat später, am 21. Oktober, kam es zu dem nächsten größeren Vorfall, der in den Medien breitere Kreise zog als seine Vorgänger. Denn von dieser DDoS-Attacke waren die bei "Otto Normaluser" beliebten Dienste von Anbietern wie unter anderem Netflix, Paypal, Amazon, Twitter, Airbnb, Reddit oder Spotify betroffen. Die Angreifer haben sich nämlich einen Knotenpunkt vorgeknöpft: das US-Unternehmen Dyn, das nicht nur den  Service DynDNS zur dynamischen Aktualisierung von Domain-Einträgen betreibt, sondern auch als Outsourcing-Partner die "normalen" DNS-Systeme zahlreicher großer US-Konzerne. Dadurch waren die Webseiten seiner Kunden mehrere Stunden lang nicht zu erreichen. 
 
 
Die ersten Probleme wurden am 21. Oktober an der Ostküste der USA registriert und breiteten sich im Verlaufe des Tages an die Westküste aus. Doch dabei blieb es nicht: Im Verlauf des 22. Oktober erreichten die Zugangsprobleme auch europäische Webseiten. Alleine in Frankreich erhöhte sich laut Messungen des Unternehmens Dynatrace die durchschnittliche DNS-Verbindungszeit von 64 untersuchten Websites von 0,3 Sekunden auf 12 Sekunden. In Deutschland berichtete unter anderem Amazon von Störungen. Messungen von Dynatrace bei 85 deutschen Websites zeigten ebenfalls einen deutlichen Anstieg der durchschnittlichen DNS-Verbindungszeit im Verlauf des 22. Oktober. 
 
"Unsere Untersuchungen zeigen, dass auch in Deutschland durch den DDoS-Angriff die durchschnittlichen DNS-Verbindungszeiten vieler Webseiten von unter einer Sekunde auf teils über 10 Sekunden angestiegen sind", so Christian Grimm, Sales Engineering Director EMEA Central bei Dynatrace. "Auch wenn die Seiten selbst kein direktes Ziel der Attacke waren, spürten sie die Auswirkungen deutlich. Viele Unternehmen war dies aber gar nicht bewusst, da sie die Reaktionszeiten nicht messen. In Zeiten neuartiger Angriffsmethoden der Cyberkriminellen ist es aber umso wichtiger, die Performance der eigenen Seiten ständig zu prüfen, um mögliche Probleme sofort zu erkennen. Diese Attacke ist ein Weckruf für alle Unternehmen mit einer Online-Präsenz: Sie sind 24 Stunden am Tag online und solche Performance-Probleme werden Teil des täglichen digitalen Lebens." 
 
Übrigens hätte der Vorfall in den USA nicht so weite Kreise ziehen müssen. Denn eines der Grundprinzipien des Internet ist eigentlich die Dezentralität. Da aber die betroffenen Unternehmen sich lediglich auf die Dienste von Dyn verlassen haben, anstatt ihre Nameserver selbst zu betreiben oder zumindest redundant auszulegen, haben die Angreifer gleich mehrere Webseiten-Fliegen mit einer DDoS-Klappe geschlagen. Ausgerechnet "Schmuddelseiten", wie das Porno-Streaming-Portal Pornhub haben den seriösen IT-Unternehmen gezeigt, wo der Hammer hängt. Sie haben nicht alles auf eine Karte gesetzt, sondern schon vor den Attacken mehrere DNS-Dienstleister bemüht. Dadurch ist die DDos-Welle relativ glimpflich an ihnen vorbeigeschrammt. Nicht das erste Mal, dass die Erotik-Industrie in technischen Belangen wegweisend für andere Branchen ist –  die VHS-Kassette lässt grüßen.  
 

Das Internet der bösen Dinge 

Diese  DDoS-Attacken haben etwas gemeinsam: Es wird vermutet, das alle mit Hilfe des Botnets Mirai begangen wurden. Die Besonderheit an diesem Botnet ist, dass es aus Geräten aus dem Internet of Things (IoT) besteht – es kapert also massenhaft internetfähige Geräte in Unternehmen und Haushalten, angefangen von Überwachungskameras über TV-Receiver bis hin zu Babyphones – von den Benutzern völlig unbemerkt. Sich solcher Geräte zu bedienen, ist fatalerweise relativ einfach, wie Prüfungsergebnisse des Vulnerability Labs des österreichischen Security-Spezialisten SEC Consult zeigen: Demnach verwenden Millionen IoT-Geräte weltweit ein und denselben Sicherheitsschlüssel, verfügen über kritische Schwachstellen und sind sogar online auffindbar – natürlich auch in Österreich. "Weltweit sind zwischen 8,5 und 13,5 Milliarden IoT-Geräte mit dem Internet verbunden. Exponentiell steigend. Wir sprechen mittlerweile nicht nur von ,Zombie-Rechnern‘, die für kriminelle Machenschaften von Hackern zweckentfremdet werden, sondern von ‚Zombie-Devices‘. Hersteller müssen endlich Verantwortung für die Sicherheit ihrer IoT-Produkte übernehmen, ansonsten stehen wir einer rasant wachsenden Cyber-Armada gegenüber", warnt daher Markus Robin, General Manager von SEC Consult. Erst kürzlich untersuchte das Wiener Unternehmen mit einem eigens entwickelten IoT-Inspector, der demnächst auch am Markt erhältlich sein soll, die Firmware von 4.693 unterschiedlichen Produkten auf deren Sicherheitsmängel, darunter auch namhafte Hersteller. "Dabei stellte sich heraus, dass 96,8 Prozent kritische Sicherheitslücken enthalten, davon waren knapp 40 Prozent hart codierte Passwörter, die vom Hersteller vorgegeben sind und oftmals nicht geändert werden können", betont der Cyber Security-Experte. Pikant: Laut SEC Consult ist Mirai, dessen Quellcode mittlerweile frei im Internet zugänglich ist, lediglich mit 61 verschiedenen Benutzernamen und Passwörtern ausgestattet. Kaum auszudenken, welche Wucht die Angriffe noch erreichen könnten, wenn hunderte oder gar tausende weitere Zugangsdaten hinzugefügt würden.  
 
"Es ist nur eine Frage der Zeit, bis der Missbrauch von IoT-Geräten für DDoS-Attacken auf breiter Front Schule macht", erklärt auch Thomas Snor, Executive Enterprise Security Architect bei NTT Security, Teil der NTT Group und Spezialist für Informationssicherheit und Risikomanagement. "Das Problem ist nicht nur die mangelhafte Absicherung der Geräte, sondern auch deren blitzschnelle Verbreitung." Tatsächlich rechnen Marktforscher mit einer rasanten Ausdehnung von internetfähigen Geräten, vor allem im günstigen B2C-Segment, wo Sicherheit aus Kostengründen viel zu oft keine vorrangige Rolle spielt. "Damit entsteht ein hochexplosives Gemisch, und wir rechnen damit, dass die Wucht künftiger DDoS-Attacken auf Unternehmen schon in naher Zukunft spürbar steigen wird", sagt Snor voraus. Wenn Hacker die explodierende Zahl von ungeschützten IoT-Geräten verstärkt für DDoS-Angriffe kapern, steige der Druck auf Unternehmen massiv. Dieser Entwicklung müsse die IT-Branche rechtzeitig einen Riegel vorschieben, warnt NTT Security. Dem Unternehmen zufolge müsste die Branche dafür zwei große Aufgaben erfüllen: die Abwehr gegen die zunehmende Flut der immer aggressiveren DDoS-Attacken und, ebenso wichtig, die Absicherung der einfach zu missbrauchenden IoT-Devices. "Nicht der Vorstoß einzelner Hersteller ist dabei ausschlaggebend, vielmehr müssen alle Hersteller an einen Tisch und gemeinsam Standards entwickeln, und zwar zügig", fordert Snor. "Die IT muss von A bis Z abgesichert sein, und dazu gehört eben auch IoT." Auch Markus Robin plädiert für mehr Verantwortung seitens der Hersteller: "Zukünftig braucht es bestimmte Qualitätsstandards und Sicherheitsvorschriften, die bei der Software- und Produktentwicklung eingehalten werden müssen." 
 

Die Welle schwappt auch nach Europa 

Die DDoS-Wellen brechen nicht nur in den USA. Laut den Zahlen des Kaspersky DDoS Intelligence Report für das dritte Quartal 2016 haben auch die über Botnetze ausgeführten DDoS-Attacken in und aus Westeuropa zugenommen. Erstmals seit einem Jahr sind Deutschland, Frankreich und Italien wieder unter den zehn am stärksten von Angriffen betroffenen Ländern. Die Zunahme der Angriffe in Westeuropa geht einher mit einer wachsenden Zahl von Command-and-Control-Servern, die die Botnetze steuern. Diese Server stehen vor allem in Großbritannien, Frankreich und den Niederlanden. 
 
Die Anzahl der Attacken durch Linux-basierende DDoS-Bots – die meisten IoT-Geräte laufen unter dem freien Betriebssystem – ist ebenfalls weiter angestiegen. 79 Prozent der DDoS-Angriffe werden mittlerweile über Linux-Geräte durchgeführt. Der Einsatz Linux-basierter Geräte aus dem Internet der Dinge für DDoS-Angriffe wird immer beliebter und wird sich Kaspersky zufolge durch die Veröffentlichung des Mirai-Schadcodes weiter ausbreiten. "Die Infektionsmethode über das Internet der Dinge ist sehr einfach und stützt sich auf menschliche Nachlässigkeit: Hersteller liefern Geräte mit Standardkonfiguration aus und Nutzer ändern diese nicht. Die Angreifer nutzten Standardanmeldeinformationen, um Zugang zu Online-Geräten wie Heimrouter, IP-Kameras oder digitale Videorekorder zu erhalten. Sobald sich der schädliche Code auf einem Gerät befindet, wird dieses Teil des Botnetzes und dient als Helfer, um das Angriffsziel mit Netzverkehr bzw. Anfragen zu überfluten und damit zu verhindern, dass Webseiten regulär funktionieren. Jeder, der internetverbundene Geräte nutzt, sollte alle voreingestellten Passwörter ändern. Es sollten einzigartige und komplexe Passwörter verwendet werden – das gilt vor allem für den Heimrouter, der die Tür zum Heimnetzwerk darstellt", rät David Emm, Principal Security Researcher bei Kaspersky Lab. 
 
Die Studie "Corporate IT Security Risks", die von B2B International im Auftrag von Kaspersky Lab im Jahr 2016 durchgeführt wurde und in 25 Ländern über 4.000 Unternehmen befragte, ergänzt die Erkenntnisse des Kaspersky DDoS Intelligence Reports. Die Studie zeigt, dass unabhängig von der Art der DDoS-Angriffe die Folgen für betroffene Unternehmen verheerend sein können. Die durchschnittlichen Folgeschäden eines DDoS-Angriffs betragen demnach etwa 100.000 Euro bei kleineren Unternehmen und reichen bei Großunternehmen bis an die 1,5 Millionen-Euro-Grenze, so die Studie von Kaspersky Lab. 
 
Die höchsten Kosten (etwa 20 Prozent) entstehen bei mittleren und großen Unternehmen durch ein schlechteres Rating bei Versicherungen in Folge der Angriffe. Überstunden der Angestellten sind dagegen bei Unternehmen mit unter 100 Mitarbeitern der größte Kostenfaktor (17 Prozent). Daneben entstehen Kosten für die Wiederherstellung der Reputation, den Ausbau der IT-Infrastruktur und Software, Mitarbeiterschulungen sowie Kompensationen für Kunden. 
 

In 3 Minuten gehackt 

Wie leicht es für einen Profi ist, sich Zugang zu vielen IoT-Geräten zu verschaffen, hat das Security-Unternehmen ForeScout mit seinem "IoT Enterprise Risk Report" kürzlich gezeigt, an dem Samy Kamkar, einer der bekanntesten ethischen Hacker in den USA, maßgeblich beteiligt war. Die Studienergebnisse geben einen Einblick, wie gängige IoT-Geräte in Unternehmen grundlegende Risiken für die Sicherheit aufwerfen. 
 
"Das IoT ist nicht mehr wegzudenken, doch die Verbreitung und Allgegenwart dieser Geräte vergrößert die Angriffsfläche enorm – und bietet Hackern leicht nutzbare Einfallstore", erklärt Michael DeCesare, Präsident und CEO von ForeScout Technologies. "Die Lösung dieses Problems beginnt mit kontinuierlicher Sichtbarkeit, Transparenz und Kontrolle von IoT-Geräten in Echtzeit, und zwar von dem Augenblick an, in dem sie sich mit dem Netz verbinden. Denn man kann nichts absichern, was man nicht sieht." 
 
Kamkar untersuchte für die Studie sieben IoT-Geräte, die in Unternehmen häufig verwendet werden, wie beispielsweise über IP verbundene Sicherheitssysteme, intelligente Klimaanlagen und Energiemessgeräte, Videokonferenzsysteme und Netzwerkdrucker. Anhand eines physischen Tests sowie der Analyse unabhängig begutachteter Branchenuntersuchungen gelangt Kamkar zu dem Schluss, dass diese Geräte für Unternehmen erhebliche Risiken mit sich bringen, da sie zumeist keine integrierten Sicherheitsfunktionen besitzen. Bei denjenigen Geräten, die über rudimentäre Sicherheitsfunktionen verfügten, stellte Kamkar fest, dass viele mit gefährlich veralteter Firmware ausgestattet waren. 
 
Im Rahmen seiner Untersuchungen hackte sich Kamkar physisch in eine netzwerkbasierende, für Unternehmen ausgelegte Überwachungskamera ein. Die Kamera wurde laut ForeScout in keiner Weise verändert und war mit der neuesten Firmware des Herstellers ausgerüstet. Dennoch erwies sie sich als angreifbar und ermöglichte letztlich die Installation einer Hintertür, die von außerhalb des Netzwerks gesteuert werden konnte. 
 
 
Erschreckend: Die sieben untersuchten IoT-Geräte konnten in nur drei Minuten gehackt werden. Wird ein solches Gerät infiziert, können Hacker Hintertüren einrichten, um einen automatisierten IoT-Botnet-DDoS-Angriff zu entwickeln und zu starten. Mittels Jamming- oder Spoofing-Techniken können sich Cyber-Kriminelle zudem laut dem Security-Experten in intelligente Sicherheitssysteme von Unternehmen einhacken und auf diese Weise Bewegungsmelder, Schlösser und Überwachungstechnik unter ihre Kontrolle bringen. Bei VoIP-Telefonen können die Konfigurationseinstellungen ausgenutzt werden, um die Authentifizierung zu umgehen, was Angreifern die Möglichkeit gibt, Telefongespräche abzuhören und mitzuschneiden. Über vernetzte Klimaanlagen und Energiemessgeräte können Hacker außerdem erreichen, dass wichtige Infrastruktur in kritischen Räumen (zum Beispiel Serverräumen) überhitzt wird, und auf diese Weise physische Schäden anrichten. 
 
Spätestens da hört der Spaß auf. Wenn man als Privatmensch einen oder zwei Tage auf die neueste Serie auf Netflix verzichten muss oder nicht auf Amazon bestellen kann, ist das unangenehm aber verschmerzbar. Wenn jedoch beispielsweise kritische Infrastruktur, von der womöglich Menschenleben abhängen, physisch zerstört wird, weil ein ungenügend gesichertes Gerät einem Hacker Zugang zum Netzwerk verschafft hat, dann nicht. Höchste Zeit also, dass sich die Hersteller mehr mit ihren Produkten auseinandersetzen – die Hacker tun es schließlich auch.