Das Security-Team von Verizon veröffentlicht regelmäßig den Data Breach Digest mit „Scenarios from the field“, dazu kommen auch immer wieder Updates. Hier werden eben auch immer Beispiele aus dem echten Leben gebracht, was so alles schief laufen kann. In einem Sneak Peek für den Report in diesem Jahr (PDF) ist ein solcher Fall beschrieben. Tatort war das Netzwerk einer Universität und die Angreifer missbrauchten hier so ziemlich jedes IoT-Device am Campus, dessen sie habhaft werden konnten – inklusive der Getränkeautomaten.

Langsames Netzwerk durch Meeresfrüchte

Die Folge des Angriffs fiel zuerst auf: Reihenweise Meldungen über ein „langsames Netzwerk“. Als Ursache dafür konnten recht schnell die Nameserver ausgemacht werden. Nicht das Netzwerk selbst war langsam, sondern die für die Namensauflösung zuständigen Server waren einfach überlastet. Alle 15 Minuten wurden die Nameserver mit Unmengen von Anfragen nach Subdomains bombadiert, die alle mit Meeresfrüchten zu tun hatten. Diese stammten nicht von plötzlich an maritimer Ernährung interessierten Studenten, sondern von über 5.000 IoT-Devices auf dem Campus.

Bei diesen Geräten fand sich so ziemlich alles, was es in dem Bereich gibt, von Lampen bis eben zu den erwähnten Getränkeautomaten. Diese waren von einer Malware infiziert, die sich selbstständig verbreitete und die Geräte zum Teil eines Botnetzes machte. Per Brute-Force wurde das Passwort eines Geräts geknackt, dieses dann geändert und Kontakt zu einem Control-Server aufgebaut, um weitere Anweisungen zu empfangen.

Schlampige Entwickler

Glücklicherweise waren die Entwickler der Malware schlampig, so dass es nicht nötig war, alle Geräte auszutauschen. Denn die haben das gleiche Passwort als neues Passwort für das Gerät benutzt wie auch für die Authentifizierung des Control-Servers gegenüber diesen Geräten. Letzteres wurde auch noch im Klartext übertragen, so dass es abgefangen werden konnte. Sobald das Passwort abgefangen war, wurden die IoT-Geräte vom Internet getrennt und konnten wieder unter Kontrolle gebracht werden.

Lessons learned

So amüsant die Beschreibung des Vorfalls zu lesen ist, ist natürlich deutlich wichtiger, welche Lehren man daraus ziehen kann. Vor allem, da diese eben nicht nur für den einzelnen Fall von Bedeutung sind, sondern auch für die IoT-Geräte in der eigenen Wohnung sinnvoll sein können.

Natürlich kann oder will nicht jeder daheim ein eigenes Netzwerk für die IoT-Devices aufbauen, aber man kann zum Beispiel in einer Fritzbox verschiedene Zugangsprofile definieren und so den Internetzugang für diese Geräte über die Kindersicherung beschränken. Das macht natürlich etwas Arbeit, gerade wenn man den Geräten über eine Whitelist den Zugriff nur auf die Websites erlauben möchte, die auch nötig sind – erleichtert aber im Falle einer Infektion mit Malware, diese Geräte vom Netz zu nehmen.

Der Tipp, dass man die Default-Passwörter aller Geräte ändern und jedes Passwort immer nur einmal verwenden sollte, ist nicht neu. Leider halten tatsächlich immer noch zu viele Menschen und darunter sogar solche mit dem Job-Titel „Systemadministrator“ diesen Hinweis für nicht beachtenswert.

UPnP oder PCP sind praktische Protokolle, die es Geräten erlauben, selbstständig beim Router Port-Weiterleitungen ins interne Netz aufzumachen. Praktisch, weil man so nicht jede Portweiterleitung von Hand einrichten muss – aber eben auch gefährlich, schließlich kann in dem Fall ein durch eine Malware infiziertes Gerät auch Ports aufmachen, die nicht offen sein sollten. Hier sollte man immer überlegen, ob man dieses zusätzliche Risiko für die Bequemlichkeit wirklich eingehen will.

Wenn man dieses Feature nutzt, sollte man wenigstens regelmäßig ein Auge darauf werfen, welche Ports von welchen Geräten aufgemacht werden und bei verdächtigen Aktivitäten hier ein Gerät lieber mal offline nehmen und prüfen, ob es sich noch auf die vorgesehenen Funktionen beschränkt. Aber auch andere Aktivitäten im Netzwerk sollten immer mal wieder auf verdächtiges Verhalten hin geprüft werden. Wenn zum Beispiel das Babyphone plötzlich anfängt, große Datenmengen aus dem Netz zu ziehen oder ins Internet zu schicken, obwohl es gar keinen Fernzugriff geben sollte, dann sollte man das untersuchen.

Regelmäßige Updates auch und gerade von IoT-Devices sollten natürlich immer selbstverständlich sein. Lieber regelmäßig die Seiten der Hersteller checken, ob es hier Updates oder sicherheitsrelevante News gibt, statt sich nur auf die automatischen Updates verlassen.

Nicht neu

Im Prinzip bringt auch dieser Fall keine neuen Informationen: Geräte, die am Internet hängen, sind darüber auch angreifbar. Egal ob Drucker, Heizungen, Lampen oder eben Getränkeautomaten. Der Umgang mit diesen Geräten ist oftmals viel zu sorglos – nicht nur im privaten Umfeld, sondern auch bei Firmen und Universitäten. Das alles wurde jetzt schon so oft durch entsprechende Hacks demonstriert, dass es sich doch inzwischen überall herum gesprochen haben sollte, was man dagegen tun kann und muss.

via Futurezone