Im Visier von Hackern und Datendieben

Linux auf IoT-Geräten: Schützen Sie den Pinguin!

| Autor / Redakteur: Franz Graser / Peter Schmitz

Im Visier der Hacker: Bei linuxbasierten IoT-Geräten kompromittieren schlechtes Systemdesign, problematische Rechtevergabe sowie fehlende Updates die Sicherheit.
Im Visier der Hacker: Bei linuxbasierten IoT-Geräten kompromittieren schlechtes Systemdesign, problematische Rechtevergabe sowie fehlende Updates die Sicherheit. (Bild: gemeinfrei / CC0)

Linux gilt gemeinhin als sicheres Betriebssystem. Nicht zuletzt deshalb bildet Linux die Softwarebasis für viele Geräte im IoT. Dennoch gerät das System mit dem Pinguin immer stärker ins Visier der Malware-Programmierer. Dieser Artikel zeigt Gründe auf und stellt Abwehrmaßnahmen vor.

Der Anti-Malware-Spezialist Sophos schlug im Februar Alarm: Immer öfter tritt Malware im Feld auf, die sich ganz gezielt gegen Geräte im Internet der Dinge richtet, welche mit dem Betriebssystem Linux ausgestattet sind. Schlimmer noch: Nicht nur die Zahl der Schadprogramme nimmt zu, sondern auch die Ausgefuchstheit, mit der die Malware entwickelt wird.

Viele User räumen dem freien Betriebssystem im Hinblick auf die Sicherheit gegenüber Hackerangriffen einen Vertrauensvorschuss ein. Das liegt nicht zuletzt an dem quelloffenen Konzept, das Linux zugrunde liegt: Grundsätzlich kann jeder an der Entwicklung des Kernels mitarbeiten sowie Fehler melden. Dies trägt zweifellos zur Robustheit des Betriebssystems bei. Allerdings konnte auch dieses Prinzip der vielen Augen nicht ausschließen, dass eine Sicherheitslücke über längere Zeit unentdeckt blieb.

Matthias Welwarsky, Head of Product Development beim Mainzer Echtzeitbetriebssystem-Spezialisten SYSGO, vertritt die Position, dass Linux für sich selbst gesehen „nicht sicherer als Windows“ ist. Die zum Teil spektakulären Sicherheitsprobleme, mit denen das Betriebssystem aus Redmond in der Vergangenheit immer wieder Schlagzeilen machte, lagen aus seiner Sicht primär an der weiten Verbreitung von „schlecht oder gar nicht gewarteten Installationen, zum Beispiel auf privaten Rechnern, die mit dem Internet verbunden sind.“

Welwarsky erwartet, dass die Zahl der schlecht gewarteten Windows-PCs in naher Zukunft von IoT-Geräten überflügelt wird, die im Prinzip das gleiche Problem aufweisen: „Die prognostizierten Zahlen von IoT-Devices, von denen mit Sicherheit ein großer Teil mit Linux ausgestattet sein wird, stellen alles in den Schatten, was derzeit im Internet unterwegs ist. Sie werden in allen möglichen Haushaltsgeräten eingebaut sein und ihre Besitzer werden von ihrer Existenz unter Umständen nicht einmal etwas wissen. Ganz sicher werden sie zeitnah keine Software-Updates einspielen, um sicherheitskritische Fehler zu beheben. Dadurch wird auch ein Linux-basiertes System zur Gefahr.“

Auf die Rechtevergabe achten

Dazu kommt, dass einige Gerätehersteller bei der Entwicklung der Gerätesoftware grundlegende Sicherheitsregeln missachten. „Ein Schwachpunkt, auf den wir regelmäßig hinweisen, ist zum Beispiel eine schlechte Rechtevergabe“, betont Jan Altenberg, technischer Projekt- und Schulungsleiter beim Entwicklungshaus Linutronix. Altenberg erläutert dies an einem Beispiel: „Alle Applikationen laufen als root, also mit administrativen Privilegien. Im Falle eines erfolgreichen Angriffs erhält der Angreifer also direkt Administrationsrechte. Daher ist es wichtig, alle Applikationen nur mit den Privilegien laufen zu lassen, die sie wirklich benötigen. Das ist eine sehr einfache, aber durchaus effektive Maßnahme.“

Die Angriffsfläche des Systems reduzieren

Ein weiterer Punkt ist es, die Angriffsfläche der Gerätesoftware so klein wie möglich zu halten. Damit ist laut Matthias Welwarsky von SYSGO „die strikte Reduzierung der Konfiguration und der Software-Ausstattung auf das absolut Notwendige“ gemeint.

Darüber hinaus rät Welwarsky zu einem anforderungsbasierten Ansatz beim Design der Systemsoftware: „Dies setzt eine gezielte Auseinandersetzung mit der Systemstruktur und dem geplanten Einsatzzweck voraus, die dann in die Aufstellung von verfolgbaren Requirements mündet, gegen die das gesamte System verifiziert sein muss. Diese Requirements müssen den Ansatz des notwendigen Minimums zum Ziel haben und alle Systemkomponenten überprüfbar abdecken.“

Konkret bedeutet das, dass zwischen den Anforderungen und den im System implementierten Funktionen eine Wechselbeziehung besteht. Eine Funktion sollte nur implementiert werden, wenn sie tatsächlich im (auf das absolut Notwendige beschränkten) Anforderungskatalog steht. Darüber hinaus muss über den gesamten Entwicklungsprozess klar und transparent nachvollziehbar sein, welche Systemkomponente welche Anforderung erfüllt.

Um IoT-Systeme auf Linux-Basis zu härten, empfiehlt Jan Altenberg zudem einen „Bottom-Up-Ansatz“. Dieser basiert darauf, zuerst alle einfachen Methoden auszunutzen, so etwa die bereits erwähnte Rechtevergabe für die Prozesse und das Dateisystem, dann die sichere Netzwerkdienste sowie eine Firewall einzurichten.

Softwareschwächen von IoT-Geräten sind jedoch nicht nur auf Lücken im Betriebssystem zurückzuführen. Jan Altenberg von Linutronix weist deshalb darauf hin, dass Probleme auch in zugekauften oder quelloffenen Systemkomponenten schlummern können: „Das bekannteste Beispiel der letzten Jahre dürfte die Heartbleed-Lücke im [Verschlüsselungsmechanismus] OpenSSL sein.“

Deswegen rät Linux-Experte Altenberg dazu, nicht nur die eigene Implementierung abzusichern, sondern auch zugekaufte oder Open-Source-Komponenten einem ausführlichen Security-Monitoring zu unterziehen. Werden Linux-Distributionen wie Debian verwendet, dann kann man auch vom Security-Monitoring der jeweiligen Distribution profitieren. Darüber hinaus hat Debian ein umfangreiches Handbuch zur Absicherung der Systemsoftware veröffentlicht, das auch in deutscher Sprache vorliegt. „Wichtig ist es, rechtzeitig mitzubekommen, dass ein Gerät von einer Lücke betroffen sein könnte, um rechtzeitig ein Update erstellen zu können“, betont Altenberg.

Ohne Updates geht es nicht

Dies führt geradewegs zum nächsten Punkt: „Neben dem Monitoring ist auch die Möglichkeit eines Updates sehr wichtig. Netzwerkkomponenten ohne die Möglichkeit eines Updates zu betreiben, ist grob fahrlässig“, mahnt der Linutronix-Mann nachdrücklich. Auch SYSGO-Entwicklungsleiter Matthias Welwarsky betont die Wichtigkeit, bei kritischen Bugs automatisch zeitnahe Aktualisierungen einspielen zu können sowie die Fernwartbarkeit über sichere Schnittstellen zu ermöglichen.

Welwarsky rät darüber hinaus, sich bereits vorab Klarheit über die möglichen Angriffsvektoren zu verschaffen Dazu zählen: „Angriffe auf Basis der Verarbeitung von unkontrollierten Eingaben beliebiger Benutzer in die Applikationen, Angriffe auf die Fernwartungs-Schnittstelle, Angriffe auf den Systemkern, zum Beispiel den Netzwerk-Stack selbst.“

Last but not least muss noch ein kapitaler Fehler erwähnt werden, den insbesondere Botnetze immer wieder ausnutzen, nämlich die Verwendung der werkseitig eingestellten Standardpasswörter. Gerade weit verbreitete IoT-Geräte können sehr einfach gekapert werden, wenn sie nicht auf ein individuelles Passwort umgestellt werden, sobald sie zum Einsatz kommen. Da die Dokumentation solcher Geräte sehr häufig im Netz eingesehen werden kann, ist es für die Hacker ein Leichtes, an diese Standardpasswörter zu kommen.

Dieser Beitrag erschien zuerst bei unserem Schwesterportal ELEKTRONIKPRAXIS.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44611460 / Internet of Things)