IoT Massenangriffe: Eine besorgniserregende Evolution
Ob Vernetzung von Alltagsgegenständen oder Produktionsstätten: Nicht nur im privaten Bereich gewinnt das Internet der Dinge an Relevanz. Auch große Unternehmen setzen zunehmend auf vernetzte Produktionslandschaften und verteilte Sensor-Kontrollsysteme. Die Vorteile durch den Einsatz von IoT-Geräten sind in vielen Bereichen unumstritten und weltweit bereits Milliardenfach in Gebrauch. Doch für eine Sache war das IoT noch nie berühmt: Sicherheit. Dabei ist es höchste Zeit, denn IoT Massenangriffe nehmen zu.
„Das S in IoT steht für Sicherheit“, heißt es gelegentlich in sarkastischer Art und Weise von resignierten IT-Sicherheitsforschern. Der Grund zur Besorgnis ist ebenso trivial wie offensichtlich: Kaum eine andere Klasse von Geräten in der Informationstechnik ist derart bekannt dafür, dass sie massenhaft und scheinbar mühelos von verschiedensten Angreifern für deren Ziele ausgenutzt werden kann.
IoT Massenangriffe: Eine Zombiearmee gehackter IoT Hardware
Masseninfektionen in der Größenordnung von Millionen von betroffenen Geräten haben vor allem in den vergangenen Jahren zunehmend an Bedeutung gewonnen. In konventionellen IT-Systemen war meist die Rede von Hackerangriffen, mit welchen gezielte Angriffe einer einzelnen Person oder Gruppe auf anvisierte Ressourcen gemeint waren. Hacker beabsichtigen bei derartigen Angriffen beispielsweise die gezielte Schädigung des Opfers, etwa durch die Exfiltration von sensiblen Daten und nachfolgende Erpressung der Eigentümer. Dass hinter gezielten Angriffen vielfältigste Interessen stecken können beweist auch Stuxnet, ein prominenter Computerwurm aus dem Jahr 2010, der Industriesteueranlagen von Siemens in iranischen Atomanlagen beschädigte.
Video: Stuxnet gehört mit über 10 Jahren nun schon zum „alten Eisen“. Das Programm machte sich damals so genannte „Zero-Days-Exploits“, also noch undokumentierte Sicherheitslücken zu nutze, um iranische Atomanlagen anzugreifen. Zero-Days gibt es auch heute noch. Und seit Stuxnet haben sich Schadprogramme weiterentwickelt.
In der neuesten Entwicklung der IoT-Sicherheit spielen klassische Hackerangriffe jedoch eine untergeordnete Rolle. An Prominenz gewinnen Vorgänge, die man als automatisierte Masseninfektion bezeichnen kann. Hierbei werden IoT-Geräte ohne aktives Zutun von Menschen angegriffen, und sobald ihre Kontrolle übernommen werden konnte, einem bestehenden Netzwerk infizierter Geräte hinzugefügt. Dies geschieht beispielsweise durch die Ausnutzung einer oder mehrerer bekannter Schwachstellen.
Drei Botnet-Typen
Netzwerke, die ein solche Verhalten aufweisen, werden häufig als Botnets bezeichnet. Hierbei kann zwischen drei Botnet-Typen unterschieden werden, die sich in ihren Auswirkungen unterscheiden:
Schädliche Botnets werden gebildet, um in weiterführenden Aktionen einen Schaden bei einem Angriffsziel zu verursachen. Das bekannteste Beispiel sind an dieser Stelle Distributed Denial-of-Service (DDoS) Angriffe, welche die verteilte Rechenleistung und Netzwerkbandbreite der angeschlossenen Geräte nutzen, um ein einzelnes Ziel wie etwa den Webserver eines Unternehmens, mit einer großen Anzahl an Anfragen zu überfluten. Durch die Masse der Anfragen soll das Ziel in der Folge handlungsunfähig werden.
Im Gegensatz zu diesem Botnet-Typen weisen unschädliche Botnets ein gutartiges Verhalten auf. In diesem Fall werden Sicherheitslücken in angeschlossenen Geräten geschlossen, um eine Übernahme durch bösartige Botnets zu verhindern.
Bricker stellen den dritten Botnet-Typen dar. Sie infizieren Geräte, um diese in der Folge zu zerstören. Dies kann beispielsweise durch das Löschen des internen Gerätespeichers geschehen. Auch wenn die Geräte physisch nicht beeinträchtigt sind, erfordert es einen hohen Aufwand und Fachwissen, die Software der Geräte erneut aufzuspielen. In manchen Fällen weisen Bricker ein noch aggressiveres Vorgehen auf und zerstören Geräte auch physisch.
Biete Botnet gegen Geld: Hacking-as-a-Service
Diese automatisierte Form der Ausbreitung wird von Sicherheitsforschern mit großer Sorge beobachtet. Und das aus verschiedenen Gründen. Zum einen ermöglicht sie es, innerhalb von kürzester Zeit riesige Zahlen von IoT-Geräten zu infizieren, die gefürchteten IoT Massenangriffe. Durch die Größe der Netzwerke steigt auch der Nutzen, den Angreifer erzielen können. Große Netzwerke bieten eine höhere Leistung für DDoS-Angriffe. Weiterhin steigt Wahrscheinlichkeit, dass auch Geräte von für Angreifer potenziell interessanten Unternehmen im Botnet enthalten sind.
Zum anderen führt die massenhafte Verbreitung zu neuen Geschäftsmodellen der Angreifer. So können beispielsweise bereits für geringe Geldbeträge die Kapazitäten von Botnets für gezielte Angriffe „gemietet“ werden.
Inzwischen existiert eine große Anzahl verschiedener Botnets, was nicht zuletzt darauf zurückzuführen ist, dass der Quellcode einiger Botnets öffentlich bekannt gemacht wurde. Auf dieser Basis haben zahlreiche Angreifer Modifikationen, Verbesserungen und Erweiterungen implementiert und einen Ableger des bekannten Botnets erschaffen. Insgesamt unterscheiden sich verschiedene Botnets teilweise sehr voneinander. Im Rahmen einer ausführlichen Analyse bestehender Botnets konnten diese in verschiedenen Generationen gruppiert werden.
Botnets wandeln sich von der brachialen Waffe zum außer Kraft setzen von großen Systemen hin zum flexiblen Werkzeug, um an verschiedensten Punkten im Netzwerk Informationen exfiltrieren zu können.
Die Botnet-Evolution
Frühe IoT-Botnets der ersten Generation verfolgen Ansätze die erstaunlich trivial, aber dennoch erfolgreich sind. Meist breitet sich das Botnet aus, indem von den bereits infizierten Geräten zufällige weitere IP-Adressen gescannt werden. Sofern eine Antwort erfolgt, wird mit Hilfe eines Wörterbuches bekannter Benutzername/Passwort Kombinationen der Login auf verschiedenen Diensten des angegriffenen Gerätes versucht. Es zeigte sich, dass bereits kleine Wörterbücher mit 20 bis 80 verschiedenen Einträgen enorm erfolgreich sein können. Dies ist möglich, da die Angriffe meist auf einige wenige, spezielle Gerätetypen abzielen, die in großer Anzahl ähnlich konfiguriert eingesetzt werden.
Um den Angriff erfolgreich zu Ende zu führen, besitzen die Botnets der ersten Generation Listen von Befehlen für den Angriff, die sie sukzessive ausführen, bis das Gerät das gewünschte Verhalten zeigt. Stellenweise werden zusätzlich zu den Versuchen mit Wörterbuch-Passwörtern auch öffentlich bekannte CVE-Schwachstellen (Common Vulnerabilities and Exposures) genutzt. Um die Aktionen des Botnets zu koordinieren, kommen gewöhnlich zentralisierte Command-and-Control Server (CnC-Server) zum Einsatz. Diese Geräte organisieren das Netzwerk und leiten Befehle an die Bots weiter. Beispiele von Botnets der ersten Generation sind Mirai, Nyadrop und Bashlite.
Verbesserte IoT-Botnets der zweiten Generation weisen im Gegensatz zu den doch recht einfachen Mechanismen der vorherigen Generation einige Optimierungen auf. So reagieren die Botnets beispielsweise auf Scanning-Versuche anderer Botnets und nutzen diese Information, um bekannte Lücken auszunutzen und das Gerät ihrerseits anzugreifen. Sobald der Angriff erfolgreich war betreiben die verbesserten Botnets häufig opportunes Patchen, was bedeutet, dass die vorhandenen Schwachstellen geschlossen werden, um eine erneute Übernahme durch ein feindliches Botnet zu verhindern. Um eine Detektion der Infektion durch den Geräte-Nutzer zu verhindern setzen sie Mechanismen ein, um aktive Prozesse zu verbergen. Neben der umfangreichen Nutzung bekannter CVE-Schwachstellen werden vereinzelt auch Zero-Day Exploits ausgenutzt, Schwachstellen, die bis dato noch nicht öffentlich bekannt waren. Beispiele von Botnets der zweiten Generation sind IoTroop / Reaper und Hakai.
Hoch entwickelte IoT-Botnets der dritten Generation haben im Gegensatz zu ihren Vorgängern nochmals an Komplexität und Funktionalität hinzugewonnen. Anstelle von zentralisierten CnC-Servern setzen sie häufig auf angepasste Peer-to-Peer Kommunikationsnetzwerke, die eine vollständig dezentrale Organisation ermöglichen. Mechanismen zur Bot-Detektion sorgen dafür, das konkurrierende Bots auf demselben Gerät entfernt werden. Weiterhin findet die Verbreitung nun auch über IoT-Plattformen statt, es wird also beispielsweise gezielt nach ähnlichen Geräten gesucht, die im gleichen Netzwerk erwartet werden. Um die Kontrolle über Geräte zu erlangen werden weiterhin zahlreiche CVE-Schwachstellen ausgenutzt. Diese erstrecken sich in der dritten Generation über viele verschiedene Geräteklassen, beispielsweise werden auch exotische Bereiche wie Yacht-Steuersysteme anvisiert. Um noch höhere Infektionsquoten erreichen zu können nimmt besonders die Nutzung an Zero-Day-Exploits zu. In vielen Fällen werden Geräte zunächst aufwändig analysiert (Reverse Engineering), um bisher unbekannte Schwachstellen zu entdecken.
Während Botnets der ersten Generation primär für DDoS-Angriffe genutzt wurden, gewinnt Cyber-Spionage in Netzen der zweiten und dritten Generation zunehmend an Relevanz. Botnets wandeln sich von der brachialen Waffe zum außer Kraft setzen von großen Systemen hin zum flexiblen Werkzeug, um an verschiedensten Punkten im Netzwerk Informationen exfiltrieren zu können.
In der Software-Entwicklung müssen Maßnahmen ergriffen werden, um die Verfügbarkeit und Lesbarkeit von Quellcode zu erschweren. So wäre es für Angreifer deutlich schwerer, neue Zero-Day Schwachstellen aufzudecken.
Sicheres IoT stellt Hersteller vor große Herausforderungen
Durch die steigende Gefährdung ist es umso wichtiger, dass effektive Maßnahmen zur Verhinderung von Infektionen ergriffen werden. Ein nüchterner Blick auf den sicherheitstechnischen Status Quo des IoT zeigt jedoch, dass bereits Maßnahmen für die Verteidigung gegen einfachste Botnet-Angriffe die Gerätehersteller vor große Probleme zu stellen scheinen. Auch im Jahr 2020 erscheinen noch Geräte auf dem Markt, die einfachste Standard-Passwörter benutzen oder in welchen schlicht vergessen wurde, Protokoll-Schnittstellen aus dem Entwicklungsprozess zu schließen. Die Situation wird umso dramatischer, wenn man berücksichtigt, dass für die neueren Generationen von Botnets noch wesentlich weitreichendere Maßnahmen zur Verteidigung benötigt werden.
Tatsächlich verhindert bereits die Vermeidung von Standard-Passwörtern große Teile der Ausbreitung von Botnets der ersten Generation. Um eine weitere Absicherung zu erreichen wäre es hilfreich, Mechanismen gegen Scanning-Versuche einzusetzen. Auf diese Weise könnte mit einfachen Maßnahmen das Massen-Scanning verhindert werden, auf Basis dessen die angreifenden Geräte identifizieren können, welche Angriffsziel vielversprechend ist.
Um auch Angriffe von Botnets der zweiten Generation erfolgreich zu erschweren, muss zusätzlich zu diesen rein technischen Maßnahmen auch ein organisatorischer Ansatz verfolgt werden. Da hier ein Großteil der ausgenutzten Schwachstellen sowohl bekannt als auch vergleichsweise alt ist, unterbindet ein konsequentes und zeitnahes Patchen von Sicherheitslücken in den Geräten die Angriffe effektiv. An dieser Stelle sind primär die Hersteller gefragt, trotz des vorherrschenden Kostendrucks und dem allgemein kurzen Lebenszyklus von IoT-Geräten Konzepte zu entwickeln, die dauerhafte Sicherheit gewährleisten.
Auch bei der dritten Generation von IoT-Botnets setzt sich der Trend fort, dass die Angriffe hauptsächlich durch organisatorische Maßnahmen verhindert werden können und es kaum technische, pauschal gültige Vorkehrungen zur Verteidigung gibt. So besteht die größte Gefahr dieser Generation darin, dass die Nutzung von Zero-Day Exploits massiv zunimmt. Ein Patchen von derartigen Exploits ist folglich im Vorfeld nicht möglich, da sie zum Zeitpunkt der Benutzung öffentlich noch nicht bekannt sind. In der Folge sollten die Entstehung und Auffindbarkeit derartiger Schwachstellen eingedämmt werden. Um das zu erreichen könnten Maßnahmen in der Software-Entwicklung und im Rollout-Prozess von Geräte-Updates ergriffen werden, welche die Verfügbarkeit und Lesbarkeit von Quellcode erschweren. Auf diese Weise wäre es für Angreifer deutlich schwerer, neue Zero-Day Schwachstellen aufzudecken.
Vortrag von Stephan Dufhues und Jens Neureither auf der „Konferenz Internet of Things – vom Sensor bis zur Cloud 2020
Sicherheitskonzepte gegen IoT Massenangriffe zu Entwicklungsbeginn notwendig
Der Schlüssel zur langfristigen Prävention von IoT Massenangriffen liegt bereits in der Produktentwicklung und den zugehörigen Entwicklungsprozessen. Hierbei müssen zu Entwicklungsbeginn bereits durchgängige Sicherheitskonzepte aufgestellt werden, die sich durch alle Ebenen eines IoT Produkts durchziehen. Nicht nur Softwareschnittstellen, sondern auch Hardwareschnittstellen und dedizierte Hardwaresicherheitselemente müssen in einem vollständigen Sicherheitskonzept betrachtet werden. Schlüsselübertragungsmechanismen und Speicherbereiche müssen dediziert ausgewählt und konsequent implementiert werden, so dass einfaches Ausnutzen von Sicherheitslücken nicht den direkten Zugang zu Schlüsseln ermöglicht.
Ist ein vollumfängliches Sicherheitskonzept erstellt, so gilt es im Rahmen der Entwicklung zu prüfen, ob alle Maßnahmen auch entsprechend umgesetzt wurden. Dazu benötigt man ein Test- & Qualitätsmanagement, das auch sicherheitsrelevante Anforderungen abdeckt und auf den Prüfstand stellt. Nicht zuletzt verwenden Entwicklungsingenieure während der Produktentwicklung vorgefertigte Software-Stacks und Hardwarereferenzschaltungen, die nicht zwangsläufig den Sicherheitsanforderungen im IoT Embedded-Bereich standhalten.
Eine durchdachte und an einem Sicherheitskonzept orientierte IoT-Produktentwicklung ermöglicht in Kombination mit einem langfristigen Patch-Management ein hohes Maß an Sicherheit und trägt zur Prävention von IoT Massenangriffen bei.
Co-Autor dieses Beitrags ist Jens Neureither.
Jens Neureither berät bei Cassini rund um Themen der technischen IT-Security. Besonderen Fokus legt er auf den Bereich „Securing Emerging Tech“, der sich dem sicheren Design und Betrieb von neuen und aufstrebenden Technologien befasst. Hierzu zählt auch das Internet of Things, das zur effektiven Absicherung von Anwendungsfällen eine ganzheitliche Sicherheitsbetrachtung benötigt.