zurück zum Artikel

Das Internet der (verräterischen) Dinge

Infotech
Das Internet der (verräterischen) Dinge

Immer mehr Technik für zuhause wird vernetzt - und das weckt auch das Interesse von Hackern. Ein erstes Botnetz aus Heimroutern zeigt, wohin diese Trends führen könnten.

Reichlich Science-Fiction-Geschichten handeln von gewöhnlichen Hausgeräten, die einen Aufstand versuchen. In einer Folge von Futurama zum Beispiel erheben sich Toaster und Heimroboter gegen ihre menschlichen Unterdrücker. Zwei neuere Trends sorgen jetzt dafür, dass solche Szenarien gar nicht mehr so weit hergeholt erscheinen.

Der erste dieser Trends ist die Welle an "Internet der Dinge"-Geräten, die für den Einsatz im Haus entwickelt werden – wie man zuletzt auf der Elektronikmesse CES in Las Vegas beobachten konnte. Der zweite Trend ist das zunehmende Interesse von Hackern an diesen Geräten; erst vor kurzem wurde eine Zombie-Armee aus Netzwerk-Routern entdeckt.

Auf der CES zeigten Dutzende Unternehmen Geräte und Maschinen mit Internet-Anschluss, von intelligenten Glühbirnen über per Smartphone gesteuerte Waschmaschinen. Samsung versprach sogar, bis 2020 alle Produkte aus dem eigenen Haus zu vernetzen.

Brian Krebs, ein Sicherheitsforscher und Autor, meldete unterdessen Anfang Januar [1], Hacker hätten ein Netzwerk namens Lizard Stresser geschaffen, mit dem sich Websites unerreichbar machen lassen – als Streich oder im Rahmen krimineller Aktivitäten. Dass heimische Computer oder Server geknackt und zu "Bots" gemacht werden, ist nichts Neues. Wie Krebs jedoch entdeckte, bestand Lizard Stresser aus Routern, wie sie in Heim-. und Firmennetzen zum Einsatz kommen. Infizierte oder kompromittierte Geräte, die mit einem Heimnetz verbunden sind, ließen sich für noch gefährlichere Angriffe nutzen. So könnten sie als Ausgangspunkt für das Eindringen in PCs dienen oder über das Heimnetz laufende Daten einschließlich Passwörtern und Kreditkartendaten aufzeichnen.

Dass die Router leicht zu kompromittieren waren, sollte nicht überraschen: Es ist weithin bekannt, dass Heimrouter mit leicht zu knackender Software ausgeliefert werden und oft Standard-Nutzernamen und -Passwörter wie "admin" vorsehen.

Intelligente Hausgeräte verfügen meist über ähnliche Netz-Funktionen. Und je mehr Haustechnik computerisiert und mit dem Internet verbunden wird, desto interessanter werden die neuen Ziele auch für Hacker.

Zur Unsicherheit von Heimvernetzung tragen mehrere Faktoren bei. Anders als IT-Profis achten Verbraucher beim Kauf meist wenig auf Sicherheitsmerkmale wie über einen bestimmten Zeitraum garantierte Aktualisierungen für das Betriebssystem. Stattdessen zählen niedrige Preise.

Hinzu kommt der Zielkonflikt zwischen Sicherheit und einfacher Bedienung. Für jeden Router individuelle Nutzernamen und Passwörter vorzusehen, wäre relativ einfach, aber es würde bei der Authentifizierung zum Beispiel das Einstecken eines USB-Laufwerks erfordern. Viele Nutzer schätzen solche Sicherheitsmaßnahmen nicht, so dass sie sich beim Kundendienst beschweren oder Geräte zurückgeben.

Selbst wenn Geräte sicher ausgelegt sind, können offene Ports zur Kommunikation mit anderen Computern zudem auch unerwünschte Zugriffe ermöglichen. Im vergangenen September meldete die Sicherheitsfirma Rapid7, 1,2 Millionen Router mit einem verbreiteten Protokoll ließen sich mit Leichtigkeit knacken [2]. Im Dezember stellte sich heraus, dass eine eigentlich schon 2002 entdeckte und geschlossene Lücke noch auf 12 Millionen Heimroutern zu finden [3] war. Auch eine verbreitete Methode, mit der Internet-Provider die Router ihrer Kunden konfigurieren, könnte bei Millionen Geräten könnte zum Einfallstor für ungebetene Gäste werden [4].

Drei Gründe wiederum gibt es dafür, dass Geräte – selbst von bedeutenden Herstellern – nicht lange auf dem neuesten Stand bleiben. Erstens stellen Hersteller den Support irgendwann ein, um die Kosten niedrig zu halten; zweitens gehen manche Unternehmen pleite oder wechseln das Geschäftsfeld; und drittens tun sich manche Kunden schwer mit Firmware-Upgrades, für die sie manchmal einen Patch herunterladen und dann über einen Web-Browser auf das jeweilige Heimgerät überspielen müssen.

Weltweit sind bereits hunderte Millionen Router für Zuhause und kleine Büros im Einsatz. Die Zahl der Geräte im Internet der Dinge wird aktuell auf vier bis fünf Milliarden geschätzt und soll in den nächsten fünf Jahren auf 25 bis 50 Milliarden zunehmen. All diese Geräte könnten ähnliche Schwächen aufweisen wie heutige Heimnetztechnik, zumal es die Unternehmen sehr eilig damit haben, neue Produkte herauszubringen.

Manche Aufsichtsbehörden scheinen sich der Risiken bewusst zu sein und versuchen, die Schwachpunkte zu verhindern, die frühere Generationen von eingebetteten Computern plagten. Auf der CES hielt Edith Ramirez, Vorsitzende der US-Handelsaufsicht FTC, eine achtseitige Keynote-Rede über die Sorgen ihrer Behörde in Bezug auf Privatsphäre, Datensammlung und Sicherheit. Angesprochen waren damit auch die Hersteller von Geräten für das Internet der Dinge. Hoffentlich haben sie gut zugehört.



URL dieses Artikels:
http://www.heise.de/-2523589

Links in diesem Artikel:
[1] https://krebsonsecurity.com/2015/01/lizard-stresser-runs-on-hacked-home-routers/
[2] https://www.kb.cert.org/vuls/id/184540
[3] http://arstechnica.com/security/2014/12/12-million-home-and-business-routers-vulnerable-to-critical-hijacking-hack/
[4] http://www.pcworld.com/article/2463480/many-home-routers-supplied-by-isps-can-be-compromised-en-masse-researchers-say.html