28 Okt 2016

Das Internet der schädlichen Dinge

In den frühen 2000ern trat ich auf die Bühne und prophezeite die Cyberlandschaft der Zukunft, so wie es noch heute der Fall ist. Damals warnte ich, dass eines Tages der Kühlschrank Spam an Ihre Mikrowelle senden würde und zusammen würden Sie einen DDoS-Angriff auf die Kaffeemaschine verüben.

Das Publikum runzelte die Stirn, kicherte, klatschte, und darauf würde ein Artikel zum „verrückten Professor“ folgen. Aber insgesamt wurde meine Vorwarnung im Stil der Cassandra belächelt, da sich um die Cyberbedrohungen dieser Zeit mehr Sorgen gemacht wurde. So viel zum „verrückten Professor“…

…Schlagen Sie nur einmal die aktuellen Zeitungen auf.

Jedes Haus kann heutzutage – ganz egal wie alt es ist – viele „intelligente“ Geräte beherbergen. Einige besitzen nur ein paar (Handys, TV-Geräte…), andere recht viele – einschließlich IP-Kameras, Kühlschränke, Mikrowellen, Kaffeemaschinen, Thermostate, Bügeleisen, Waschmaschinen, Trockner, Fitnessarmbänder, usw. Bei einigen Häusern werden heutzutage bereits intelligente Geräten bei dem Entwurf mit eingeplant. Und all diese intelligenten Geräte sind mit dem Haus-WLAN verbunden, um das gigantische, autonome – und sehr verwundbare –  Internet der Dinge zu bilden, dessen Ausmaß das des traditionellen Internets  bereits übertrifft, welches wir seit den frühen 90ern kennen.

Alles, sogar das Spülbecken, mit dem Internet zu verbinden, hat natürlich seinen Sinn. All Ihre elektronischen Haushaltsgeräte mit Ihrem Smartphone zu kontrollieren, kann (für einige Personen) praktisch sein. Es liegt auch im Trend. Jedoch hat die Art, wie sich das Internet der Dinge entwickelt hat, meine Vorhersage im Stil der Cassandra wahr werden lassen.

QuelleQuelle

Ein paar neue Fakten:

Letzten Freitag wurden 80 große Webseiten – einschließlich Twitter, Amazon, PayPal und Netflix – lahmgelegt oder funktionierten nur zeitweise. Es stellte sich heraus, dass die Ursache ein DDoS-Angriff gegen das Unternehmen Dyn war, das die betroffenen Seiten mit DNS-Diensten versorgt. Sie könnten jetzt denken „ah, DDoS-Angriff – solche Dinge geschehen ab und zu im Internet.“ Die Sache ist die, dass, wenn man tiefer gräbt, es sich herausstellt, dass Dyn vom Botnetz Mirai angegriffen wurde – zusammengesetzt aus… IP-aktivierten Kameras, PVRs und anderen verbundenen IdD-Geräten.

Mirai stellte sich als recht einfache Malware heraus, die das Internet nach IdD-Geräten durchsucht, durch Standardanmeldedaten und –Passwörter eine Verbindung mit ihnen herstellt, sich Administratorrechte verschafft und die Befehle der Hacker ausführt. Und da es eher selten ist, dass der User die Standardanmeldedaten und das –Passwort auf solchen Geräten ändert, war das Sammeln von Tausenden von Zombies für das Botnetz ein Kinderspiel.

Also war ein einfaches Botnetz, das von Amateuren erstellt wurde und aus allen möglichen intelligenten Geräten bestand, dazu in der Lage, einige der größten Internetseiten eine Zeit lang ernsthaft zu stören. Das Botnetz war schon zuvor in Erscheinung getreten: im mächtigsten DDoS-Angriff aller Zeiten, der den Blog von Brian Krebs als Ziel hatte (mit einer Höchstleistung von bis zu 665 Gbps).

Ich gehe davon aus, dass in nächster Zeit viel Popcorn – oder Antidepressiva – gelegen kommen werden…

Im Rennen um bessere Funktionalität haben IdD-Hersteller die Sicherheit vernachlässigt

Die Größe von Mirai wird auf etwa 550.000 Bots geschätzt, während das gesamte IdD bei etwa sieben und 19 Milliarden Geräten liegt (in fünf Jahren wird ein Anstieg auf bis zu 50 Milliarden erwartet). Nun, wie viele von ihnen sind angreifbar? Wie viele können für Hacker-Angriffe missbraucht werden? Darauf kann nur schwer geantwortet werden, aber eins ist sicher: Marai hat enormes Potential, um enormen Ärger anzurichten. Besonders seitdem der Quelltext der Malware in Cyber-Untergrundforen veröffentlicht wurde; d. h., dass die Techniken jedem zur Verfügung stehen, der daran ein Interesse haben könnte – und das umfasst die vielen Amateure mit einem Größenwahn im Stil des Herostratos.

Die Besitzer der infizierten IdD-Geräte würden nicht bemerken, dass ihr Gerät Teil dieses Angriffs gewesen ist, genauso wie Sie, genau in diesem Moment, nicht wissen würden, ob Ihre IP-Kamera für einen DDoS-Angriff auf die eine oder andere Ressource verwendet wurde. Und User werden kaum durch den unmerklichen Anstieg des ausgehenden Verkehrs dazu motiviert sein, einen Basisschutz für ihre Geräte zu erwerben (so grundlegend wie neue Anmeldedaten und ein neues Passwort). Jedoch gibt es andere Cyberbedrohungen, die weniger gutartig sind und ein Smartphone in einen schrecklichen Albtraum verwandeln können, indem sie den Inhalt der Geldbörse des Besitzers leeren.

Die dunkle Bedrohung

Ich werde keine Schätzungen dazu anstellen, wie viele Milliarden Euro Cybererpresser in den vergangenen Jahren gemacht haben – es werden viele gewesen sein. Trotz gemeinsamer Aktionen verschiedener Gesetzvollzugsbehörden und der IT-Sicherheitsindustrie, haben sich Verschlüsseler und Locker  im Internet so seuchenartig ausgebreitet, dass es kaum einen User gibt, der nicht selbst angegriffen wurde oder jemanden persönlich kennt, der einem Angriff zum Opfer gefallen wäre.

Das Ransomware-Geschäft läuft gut, aber jedes Geschäft auf der Welt möchte sich stets verbessern. Milliarden von ungeschützten IdD-Geräten kommen da wie gerufen. Leider denken Besitzer von intelligenten Kühlschränken und Trocknern, dass Ihre Geräte nicht im Interesse von Cyberkriminellen stehen. Nun, Sie haben zum Teil Recht: die Cyberkriminellen haben kein Interesse an den Kühlschränken und Trocknern – aber sie wären sehr daran interessiert, für sie ein Lösegeld zu erhalten. Sie sehen, worauf ich hinaus möchte?…

… Hier hätten wir ein Beispiel (ein Thermostat):

QuelleQuelle

Ihre Eingangstür öffnet sich nicht? Die Heizung stellt sich mitten im Winter ab? Die Kaffeemaschine hört nicht auf, Espresso zu produzieren, ganz egal, was Sie anstellen? Der Fernseher macht einen auf Poltergeist? Der Staubsauger tanzt den Fandango? Leider Gottes sind diese Hacking-Beispiele keine Science-Fiction; sie können einfach im wahren Leben geschehen.

Wie es oft bei neuen Märkten der Fall ist, vernachlässigten IdD-Hersteller im Rennen um bessere Funktionalität die Sicherheit.

Ja, natürlich sind wir da und bereit, mit Fachwissen und fertigen Lösungen zu helfen (ganz genau – unser Testlabor wird aussehen wie ein Geschäft für Haushaltsgeräte). Aber wir werden erst nach dem Vorfall informiert, also können wir nur zur Rettung eilen, nachdem etwas schief gegangen ist: Wir werden auf Ebene des Designs nicht zu Rate gezogen, da der Sicherheit kein großer Wert zugeschrieben wird, und Nutzer bemerken nicht, wie real die Bedrohung ist.

Es hat einen Grund, warum intelligente Geräte als „intelligente“ Geräte bezeichnet werden – d. h. in Anführungsstrichen. Letzten Endes passt das Hirn dieser Geräte auf eine kleine Speicherkarte eines Handys. Es liegt noch ein langer Weg vor den Herstellern, bevor intelligente Geräte ohne „“ geschrieben werden können. Und es ist schwer zu sagen, wie lange es brauchen wird, damit man wirklich von Intelligenz sprechen kann; daher liegt „das Retten der Welt“ und der Geldbörsen in unseren Händen. Deshalb rate ich Ihnen, liebe Leser, dass Sie sich direkt ans Werk machen und Ihre IdD-Geräte zumindest mit einer Grundsicherheit ausstatten, einschließlich Router, Drucker, usw.:

Erstens: Ändern Sie Ihre Anmeldedaten und Passwörter, selbst wenn es sich bereits nicht mehr um die Standardvorgaben handelt.

Zweitens: Installieren Sie die neusten Patches von der Herstellerseite.

Drittens: Erstellen Sie eine Erinnerung in Ihrem Handy, damit Sie alle zwei Monate die ersten zwei Schritte durchgehen.

Brian Krebs und – genau genommen – das ganze Internet werden Ihnen dankbar sein und Sie werden niemals das hier erleben:

5e8f6e0d3a029807dfe181dc3d160cf0

Was könnte die nächste Bedrohung im Internet der Dinge sein? @e_kaspersky erklärt auf IdD ausgerichtete #RansomwareTWEET

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.
Facebook

27 Jun 2023

Infosec top-brass: wieder da – persönlich – bei SAS!

Trompeten, Trommelwirbel, Beifall, Jubel, Pfiffe! Hiermit habe ich zwei Neuigkeiten für euch: eine gute und eine noch bessere!… Erstens: In diesem Jahr werden wir unsere 15. jährliche Cybersecurity-Konferenz veranstalten – den Security Analyst Summit (SAS). Fünfzehn? Oh mein Gott, wo ist nur die Zeit geblieben?! Zweitens: Wir sind endlich wieder offline, d. h. persönlich, d. h. von […]

19 Jan 2023

Rückblick 2022: Patente trumpfen auf!

Und die Erfindung neuer Spitzentechnologien ist nur ein Teil davon. Moment, nein: Lassen Sie uns nicht so kategorisch denken… Eine innovative, bahnbrechende Technologie setzt einen Lebenszyklus in Gang, der wahrscheinlich sehr viel komplexer und langwieriger ist, als sich viele vielleicht vorstellen können. Natürlich steht die Erfindung selbst an erster Stelle, aber ohne den Lebenszyklus, der […]

16 Nov 2022

11.11: Zwanzig Jahre auf den Tag genau!

Hallo zusammen! Wir haben ein weiteres Jubiläum zu feiern. Hurra!… Unser cyber-immunes Betriebssystem – KasperskyOS – ist heute… Moment. Nein, das ist nicht ganz richtig… Vor genau 20 Jahren – am 11. November 2002 – begann unsere lange, bedeutsame Reise; eine Reise, auf der wir uns tatsächlich immer noch befinden. Ein großes, grandioses Projekt, das […]

21 Jul 2022

Cyber-News von der dunklen (und nicht ganz so dunklen) Seite: Ein waghalsiger Krypto-Hack, K wird neuromorph und der Einstieg in ein Rechenzentrum über eine… Toilette!

Hallo miteinander! Für alle, die immer noch im Büro schwitzen und (noch) nicht das Glück hatten, in den Urlaub zu fahren, hier einige unterhaltsame iNews, alias „Cyber-News von der dunklen (oder auch nicht so dunklen) Seite“, die es in sich haben. Außergewöhnliche, kaum zu glaubende Geschichten aus der Welt der Cybersicherheit. Ein Krypto-Malheur Die Gaming-Community […]

5 Jul 2022

Ein Vierteljahrhundert? Wo ist das geblieben?!…

Hallo Leute! Vor 25 Jahren und neun Tagen – am 26. Juni 1997 – wurde das Unternehmen, das zufällig den gleichen Namen wie ich trägt, eingetragen. Und es waren im wahrsten Sinne des Wortes „bescheidene Anfänge“: etwa ein Dutzend Leute mit null Umsatz – aber mit einigen besonderen technischen Kenntnissen und einigen ebenso besonderen und […]

Mehr

Reise-Vlog