Im Jahr 2016 wurden einige Ereignisse publik, die das Interesse an dem Thema Sicherheit so genannter intelligenter Geräte spürbar verstärkt haben. Zu diesen Ereignissen zählten beispielsweise die bezüglich ihrer Durchschlagskraft rekordverdächtigen DDoS-Attacken auf das französiche Hosting-Unternehmen OVH und den amerikanische DNS-Provider Dyn. Es ist bekannt, dass sie mit Hilfe eines beeindruckenden Botnetzes aus Routern, IP-Kameras, Druckern und anderen Geräten durchgeführt wurden.
Außerdem erfuhr die Welt Ende letzten Jahres von einem gigantischen Botnet (fast fünf Millionen Geräte), das sich aus Routern zusammensetzte. Mit dem Hack von Routern musste sich auch die Deutsche Telekom herumschlagen, deren Nutzergeräte mit dem Schädling Mirai infiziert waren. Die Angelegenheit beschränkt sich aber nicht ausschließlich auf Netzwerkausrüstung: Sicherheitsprobleme wurden auch in „intelligenten“ Geschirrspülern von Miele und in AGA-Kochherden gefunden. Den Vogel abgeschossen hat allerdings BrickerBot, der im Gegensatz zu seinen „Kollegen“ angreifbare Geräte nicht nur infizierte, sondern diese auch noch komplett außer Betrieb setzte.
Nach Angaben von Gartner gibt es aktuell weltweit mehr als 6 Milliarden „intelligente“ Geräte. Eine derart hohe Anzahl potentiell angreifbarer Gadgets blieb auch den Cyberkriminellen nicht verborgen: Laut Daten aus dem Mai 2017 befanden sich in der Kollektion von Kaspersky Lab mehrere tausend verschiedene Samples von Schadsoftware für „intelligente“ Geräte, von denen ungefähr die Hälfte im Jahr 2017 hinzugefügt wurde.
Zunahme der Samples von Schadspftware für „smarte“ Geräte, 2013-2017
Bedrohung für den Endnutzer
Gibt es im Heimnetzwerk schlecht konfigurierte oder verwundbare IoT-Geräte, so kann das betrübliche Folgen nach sich ziehen. In dem am weitesten verbreiteten Szenario werden diese Geräte einem Botnetz angeschlossen. Und das ist wohl noch die harmloseste Variante für den Nutzer – andere Ausnutzungsvarianten sind weitaus gefährlicher. So kann ein Gerät aus einem Heimnetzwerk als Zwischenglied bei der Durchführung ungesetzlicher Aktivität missbraucht werden. Überdies ist ein Verbrecher, der Zugriff auf ein IoT-Gerät erhalten hat, unter Umständen in der Lage, den Besitzer des Gerätes auszuspionieren, um ihn daraufhin zu erpressen – in der Vergangenheit hat es solche Vorfälle durchaus schon gegeben. Und schließlich (und das ist bei weitem nicht das schlimmste Szenario), kann ein infiziertes Gerät problemlos zerstört werden.
Die Hauptprobleme „intelligenter“ Geräte
Firmware
Im besten Fall veröffentlichen die Hersteller mit Verspätung aktualisierte Software für ihre „smarten“ Geräte. Im schlimmsten Fall (und das kommt weitaus häufiger vor) wird die Firmware überhaupt nicht aktualisiert – in vielen Geräten ist die Möglichkeit, ein Update zu installieren, gar nicht vorgesehen.
Die Software dieser Geräte kann Fehler enthalten, die Cyberkriminelle zu ihren Zwecken ausnutzen können. So versuchte der Trojaner PNScan (Trojan.Linux.PNScan) beispielsweise, Router zu hacken, indem er eine der folgenden Schwachstellten ausnutzte:
- CVE-2014-9727 für Angriffe auf Fritz!Box-Router;
- eine Sicherheitslücke in dem Protokoll HNAP (Home Network Administration Protocol) und die Sicherheitslücke CVE-2013-2678 für Angriffe auf Linksys-Router;
- ShellShock (CVE-2014-6271).
Gelang ihm das, so infizierte er die Geräte mit der Backdoor Tsunami.
Der Trojaner Persirai nutzte eine Sicherheitslücke aus, die in mehr als 1.000 verschiedenen IP-Kameramodellen vorkommt. Im Erfolgsfall konnte er willkürlichen Code mit Superuser-Rechten ausführen.
Ein weiteres Loch in der Sicherheit hängt mit der Umsetzung des Protokolls TR-069 zusammen. Es ist für die entfernte Steuerung der Geräte seitens des Betreibers vorgesehen und basiert auf dem Protokoll SOAP, das seinerseits bei der Übermittlung von Befehlen das Format XML verwendet. Und eben im Befehlsparser wurde eine Sicherheitslücke gefunden. Eine solche Infektionsart wird in einigen Versionen des Trojaners Mirai sowie in Hajime benutzt. Und auf diese Weise wurden auch die Geräte der Deutschen Telekom infiziert.
Passwörter, Telnet und SSH
Ein weiteres Problem sind die vom Hersteller vorinstallierten Passwörter. Sie sind unter Umständen nicht nur für ein Modell identisch, sondern, sagen wir einmal, für eine gesamte Produktlinie. Dabei ist es keinesfalls so neu, dass Listen mit Kombinationen von Nutzername und Passwort derart einfach im Internet zugänglich sind, dass auch Cyberkriminelle durchaus davon profitieren könnten. Die Arbeit wird ihnen noch dadurch erleichtert, dass ein erheblicher Teil der „intelligenten“ Geräte nach außen durch die Ports Telnet und/oder SSH „hindurchscheint“.
Als Beispiel für so eine Liste mit Kombinationen von Nutzername und Passwort hier die Aufstellung aus den Versionen des Trojaners Gafgyt (Backdoor.Linux.Gafgyt):
| root | root |
| root | – |
| telnet | telnet |
| !root | – |
| support | support |
| supervisor | zyad1234 |
| root | antslq |
| root | guest12345 |
| root | tini |
| root | letacla |
| root | Support1234 |
Statistik
Wir haben mehrere Fallen (honeypots) installiert, die verschiedene Geräte unter dem Betriebssystem Linux imitieren, um zu überprüfen, was mit ihnen in „freier Wildbahn“ passieren würde. Die Ergebnisse ließen nicht lange auf sich warten: Die ersten Versuche, sich mit dem offenen Telnet-Port zu verbinden, konnten wir bereits nach einigen Sekunden beobachten. Innerhalb von 24 Stunden registrierten wir mehrere zehntausend Verbindungsversuche von eindeutigen IP-Adressen.
Zahl der Verbindungsversuche mit unseren Honeypots von unikalen IP-Adressen, Januar bis April 2017
In den meisten von uns registrierten Fällen wurde das Telnet-Protokoll verwendet, der übrige Teil entfiel auf SSH.
Verteilung der Verbindungsversuche mit den Fallen nach Ports, Januar bis April 2017
Liste der populärsten Paarungen von Nutzername/Passwort, die von Schädlingen bei Verbindungsversuchen mit dem Telnet-Port verwendet werden:
| Nutzername | Passwort |
| root | xc3511 |
| root | vizxv |
| admin | admin |
| root | admin |
| root | xmhdipc |
| root | 123456 |
| root | 888888 |
| root | 54321 |
| support | support |
| root | default |
| root | root |
| admin | password |
| root | anko |
| root | |
| root | juantech |
| admin | smcadmin |
| root | 1111 |
| root | 12345 |
| root | pass |
| admin | admin1234 |
Die Liste der populärsten Kombinationen, die bei Attacken auf SSH verwendet werden, unterscheidet sich etwas davon:
| Nutzername | Passwort |
| admin | default |
| admin | admin |
| support | support |
| admin | 1111 |
| admin | |
| user | user |
| Administrator | admin |
| admin | root |
| root | root |
| root | admin |
| ubnt | ubnt |
| admin | 12345 |
| test | test |
| admin | <Any pass> |
| admin | anypass |
| administrator | |
| admin | 1234 |
| root | password |
| root | 123456 |
Unter den Geräten, von denen unseren Beobachtungen zufolge Attacken ausgingen, ließen sich mehr als 63 Prozent als digitale Video-Services oder IP-Kameras identifizieren, weitere 16% als verschiedene Netzwerkgeräte, Router praktisch aller gängigen Hersteller. Insgesamt 1% entfiel auf WiFi-Repeater und andere Netzwerkausrüstung, Smart TV-Boxen, IP-Telefonie, Tor-Ausgangsknoten, Geräte eines „intelligenten“ Hauses. Weitere etwa 20% der Geräte konnten nicht eindeutig identifiziert werden.
Verteilung der Angriffsquellen nach Gerätetyp, Januar bis April 2017
Die Mehrzahl der IP-Adressen, von denen aus es Verbindungen zu unseren Honeypots gab, antworten auf HTTP-Anfragen. Dabei stecken hinter einer IP-Adresse meist mehrere Geräte (Anwendung der Technologie NAT). Nicht zwingend antwortet auf eine HTTP-Anfrage genau das Gerät, das unseren Honeypot angegriffen hat, doch normalerweise verhält es sich genau so.
Als Antwort auf eine solche Anfrage erscheint eine Webseite – das Control Panel des Geräts, irgendein Monitoring oder beispielsweise ein Video von der Kamera. Über diese Seite kann man unter anderem versuchen zu bestimmen, um was für ein Gerät es sich handelt. Unten aufgeführt ist eine Liste der bei den angreifenden Geräten am häufigsten anzutreffenden Titel von Webseiten:
| HTTP-Titel | Prozentualer Anteil der Geräte |
| NETSurveillance WEB | 17,40% |
| DVR Components Download | 10,53% |
| WEB SERVICE | 7,51% |
| main page | 2,47% |
| IVSWeb 2.0 – Welcome | 2,21% |
| ZXHN H208N V2.5 | 2,04% |
| Web Client | 1,46% |
| RouterOS router configuration page | 1,14% |
| NETSuveillance WEB | 0,98% |
| Technicolor | 0,77% |
| Administration Console | 0,77% |
| MГіdem – Inicio de sesiГіn | 0,67% |
| NEUTRON | 0,58% |
| Open Webif | 0,49% |
| hd client | 0,48% |
| Login Incorrect | 0,44% |
| iGate GW040 GPON ONT | 0,44% |
| CPPLUS DVR – Web View | 0,38% |
| WebCam | 0,36% |
| GPON Home Gateway | 0,34% |
An unseren Honigtöpfen sehen wir nur einen gewissen Teil der Geräte. Will man einschätzen, wie viele Geräte dieses Typs es weltweit tatsächlich gibt, so helfen dabei spezialisierte Suchdienste, wie etwa Shodan oder ZoomEye. Sie scannen Bereiche von IP-Adressen nach unterstützten Services, fragen sie ab und indizieren die Ergebnisse. Wir haben die bei IP-Kameras, digitalen Videorekordern und Routern populärsten Titel ausgewählt und sie mit ZoomEye gesucht. Die Resultate sind beeindruckend – wir haben Millionen von Geräten gefunden, die potentiell mit Malware infiziert sein könnten (und höchstwahrscheinlich auch infiziert sind).
Zahl der IP-Adressen potentiell verwundbarer Geräte – IP-Kameras und digitale Videorekorder.
| HTTP-Titel | Geräte |
| WEB SERVICE | 2 785 956 |
| NETSurveillance WEB | 1 621 648 |
| dvrdvs | 1 569 801 |
| DVR Components Download | 1 210 111 |
| NetDvrV3 | 239 217 |
| IVSWeb | 55 382 |
| Insgesamt | 7 482 115 |
Anzahl der IP-Adressen potentiell angreifbarer Geräte: Router.
| HTTP Titel | Geräte |
| Eltex NTP | 2 653 |
| RouterOS router | 2 124 857 |
| GPON Home Gateway | 1 574 074 |
| TL-WR841N | 149 491 |
| ZXHN H208N | 79 045 |
| TD-W8968 | 29 310 |
| iGate GW040 GPON ONT | 29 174 |
| Insgesamt | 3 988 604 |
Bemerkenswert ist auch, dass sich unter den Netzwerkgeräten, von denen aus wir Angriffe auf unsere Fallen beobachtet haben, nicht nur Heimausrüstung befindet, sondern auch Equipment für den gewerblichen Bereich.
Was allerdings noch gefährlicher ist: Unter den IP-Adressen, von denen aus Angriffe durchgeführt werden, gibt es auch solche, auf denen sich Überwachungssysteme und/oder Steuerungssysteme für Geräte befinden, die mit der Industrie und Sicherheit in Verbindung stehen:
- Kassenterminals von Geschäften, Restaurants und Tankstellen;
- digitale Fernsehsysteme;
- Zugriffskontrollsysteme;
- Ökomonitoring-Geräte;
- Überwachung der seismischen Station in Bangkok;
- in der Industrie eingesetzte speicherprogrammierbare Steuerungen;
- Systeme zur Steuerung der Stromversorgung.
Wir können nicht belegen, dass ausgerechnet die oben aufgezählten Geräte infiziert sind. Allerdings haben wir Attacken auf unsere Fallen von ihren IP-Adressen aus beobachtet, was zumindest bedeutet, dass ein oder mehrere Geräte in ihrem Netz infiziert sind.
Geografische Verteilung der infizierten Geräte
Schaut man sich die geografische Verteilung der Geräte an, von deren IP-Adressen aus wir Angriffe auf unsere Fallen beobachtet haben, so ergibt sich das folgende Bild:
Verteilung der IP-Adressen der angreifenden Geräte nach Ländern, Januar bis April 2017
Wie bereits oben erwähnt, entfällt ein großer Teil der infizierten Geräte auf IP-Kameras und Bordkameras, die in China, Vietnam sowie auch in Russland, Brasilien, der Türkei und anderen Ländern weit verbreitet sind.
Geografische Verteilung der IP-Adressen von Servern, von denen aus Schadsoftware auf Geräte geladen wird
Insgesamt registrierten wir im Jahr 2017 mehr als 2 Millionen Hacking-Versuche und mehr als 11.000 individuelle IP-Adressen, von denen aus Schadsoftware für IoT-Geräte geladen wurde.
Die Verteilung dieser IP-Adressen stellt sich wie folgt dar (ТОР 10):
| Land | Individuelle IP |
| Vietnam | 2136 |
| Taiwan | 1356 |
| Brasilien | 1124 |
| Türkei | 696 |
| Südkorea | 620 |
| Indien | 504 |
| Vereinigte Staaten | 429 |
| Russische Föderation | 373 |
| China | 361 |
| Rumänien | 283 |
Geht man bei der Verteilung nicht nach IP-Adressen, sondern nach Zahl der Downloads, so ergibt sich ein anderes Bild:
| Land | Downloads |
| Thailand | 580267 |
| Hong Kong | 367524 |
| Südkorea | 339648 |
| Niederlande | 271654 |
| Vereinigte Staaten | 168224 |
| Seychellen | 148322 |
| Frankreich | 68648 |
| Honduras | 36988 |
| Italien | 20272 |
| Vereinigtes Königreich | 16279 |
Wir nehmen an, dass dieser Unterschied damit zusammenhängt, dass es in diesen Ländern Bulletproof-Server gibt, die eine weitaus schnellere und zuverlässigere Verbreitung von Malware gewährleisten als infizierte Geräte.
Verteilung der Aktivität der Angreifenden nach Wochentagen
Im Zuge unserer Analyse der Aktivität von IoT-Botnetzen erkannten wir bestimmte Parameter ihrer Funktionsweise. Wir stellten fest, dass die Höhepunkte der Aktivitäten (Scannen, Ausprobieren der Passwörter, Verbindungsversuche) häufig auf bestimmte Wochentage entfielen.
Verteilung der Aktivität der Angreifenden nach Wochentagen, April 2017
Allem Anschein nach ist der Montag auch für Cyberkriminelle ein harter Tag. Eine andere Erklärung konnten wir für diese Dynamik auch nicht finden.
Fazit
Die Zunahme der Zahl von Schadprogrammen für das Internet of Things und der damit verbundenen Vorfälle zeigt, wie ernstzunehmend das Sicherheitsproblem „intelligenter“ Geräte ist. Das Jahr 2016 hat gezeigt, dass es nicht nur eine mögliche, sondern eine absolut reale Bedrohung ist. Die starke Konkurrenz auf dem Markt für DDoS-Attacken motiviert Cybergangster dazu, nach immer neuen Ressourcen zu suchen, die ihnen dabei helfen, immer gewaltigere Attacken zu organisieren. Das Botnet Mirai hat demonstriert, dass auch „smarte“ Geräte solche Ressourcen sein können. Ihre Zahl geht heute schon in die Milliarden, und bis zum Jahr 2020 sagen Analysten verschiedener Unternehmen eine Zunahme im Bereich von 20 bis 50 Milliarden Geräte voraus.
Abschließend möchten wir gern einige Empfehlungen abgeben, die Ihre Geräte unter Umständen vor einer Infektion schützen können:
- Wenn es für den Gebrauch des Gerätes nicht notwendig ist, verhindern Sie, dass aus einem externen Netz darauf zugegriffen werden kann.
- Deaktivieren Sie alle Netzwerkdienste, die Sie für die Nutzung des Gerätes nicht benötigen.
- Wenn auf dem Gerät ein universales oder ein Standardpasswort installiert ist, das man nicht ändern kann, oder ein Account voreingestellt ist, der sich nicht deaktivieren lässt, so schalten Sie die Netzwerkdienste ab, in denen diese benutzt werden oder blockieren Sie den Netzwerkzugriff von außen darauf.
- Bevor Sie ein Gerät in Gebrauch nehmen, ändern Sie das Standardpasswort und stellen Sie ein neues, starkes Passwort ein, das nicht problemlos geknackt werden kann.
- Aktualisieren Sie die Firmware des Gerätes regelmäßig auf die neuste Version (wenn es solche Updates gibt).
Die Einhaltung dieser einfachen Regeln kann dazu beitragen, dass ein großer Teil der Angriffe von derzeit weit verbreiteten IoT-Schädlingen vermieden wird.
