Internet der Dinge

Sicherheit von IoT-Geräten muss auf Vertrauen basieren

| Autor / Redakteur: Gregory Rudy * / Franz Graser

Angriff auf Data-Center: Die Attacke auf große Internetdienste im Oktober 2016 ging von vernetzten Kleingeräten mit zum Teil undokumentierten Sicherheitslücken aus. Hersteller solcher IoT-Geräte müssen ein besseres Sicherheitsbewusstsein entwickeln.
Angriff auf Data-Center: Die Attacke auf große Internetdienste im Oktober 2016 ging von vernetzten Kleingeräten mit zum Teil undokumentierten Sicherheitslücken aus. Hersteller solcher IoT-Geräte müssen ein besseres Sicherheitsbewusstsein entwickeln. ( © sonjanovak - Fotolia)

Der Denial-of-Service-Angriff auf namhafte Internetdienste vom Oktober 2016 wirft Fragen nach der Sicherheit von IoT-Geräten auf. Am effektivsten ist eine mehrschichtige Strategie.

Am 21. Oktober 2016 hat eine groß angelegte DDoS-Attacke (Distributed Denial of Service) den Internet-Zugriff auf mehrere Webseiten in den USA gestört, darunter Twitter, Netflix, Spotify, Airbnb, Reddit und die New York Times. Die Störung wurde durch eine anhaltende Flut schädlicher Nachrichten verursacht, die von Millionen IP-Adressen gesendet wurden. Der Domain Name Service von DYN, eines Cloud-basierten Internet Performance Management (IPM) Unternehmens, konnte dem nicht standhalten.

Wer verursacht eine so groß angelegte Attacke? Hundertausende von IoT-Einrichtungen, die mit dem Botnet-Virus „Mirai“ infiziert waren, darunter DVRs, NVRs und IP-Kameras. Dies hat zwar nicht die Dimensionen von Skynets „Rebellion der Maschinen“ (aus den Terminator-Filmen) erreicht, zeigt aber doch, dass Gesetzgeber und Produktentwickler die Sicherheit ihrer IoT-Einrichtungen überdenken müssen.

Mirai-Botnet attackiert DNS-Anbieter Dyn.com

DDoS verursacht DNS-Probleme

Mirai-Botnet attackiert DNS-Anbieter Dyn.com

24.10.16 - Der DNS-Anbieter Dyn.com wurde Opfer eine weitreichenden DDoS-Attacke, der teilweise zu Problemen bei der Auflösungen von Web-Adressen führte. Die Attacken werden dem Mirai-Botnet zugeordnet, das in den letzten Wochen bereits mehrfach zugeschlagen hat und sich vor allem durch hohen Datenverkehr auszeichnet. lesen

Nur weil eine Schnittstelle nicht in der Bedienungsanleitung aufgeführt ist, heißt dies noch lange nicht, dass sie nicht existiert. Im Falle dieser DYN-Attacke wurde eine IoT-Management-Plattform an verschiedene Produktentwickler verkauft.

Die in die Plattform integrierte Web-Schnittstelle ermöglicht den Anwendern, ihr Passwort zu ändern – aber die SSH- und Telnet-Schnittstellen akzeptierten weiterhin die Werkseinstellungen – selbst nachdem das Kennwort des Benutzers geändert wurde. Das Botnet durchforstete das Internet nach allen Produkten mit dieser offenen Hintertür und lud das Programm hoch, um den DYN-Server zu attackieren, während weiterhin nach Einrichtungen gesucht wurde, um auch diese zu infizieren.

Verschiedene Entwicklungsfehler führen auf die DYN-Attacke zurück. Die Behebung eines der folgenden Fehler hätte die Attacke verhindert:

  • Debug-Ports abschalten – Die Suche nach offenen Netzwerk-Ports ist die erste Lektion beim Hacking. Ein Port-Scan dauert nur wenige Sekunden und enthüllt alle offenen Verbindungen – auch die nicht dokumentierten wie Telnet und SSH. Debug-Ports sind zwar für die Diagnose hilfreich, sie sind aber auch ein weiterer Zugangspunkt, der geschützt werden muss.
  • Systemweite Passwörter – Das Konzept eines Nutzers sollte das gesamte System mit einbeziehen und nicht jede Schnittstelle. Die Änderung eines Passworts über eine Schnittstelle sollte auf alle anderen übertragen werden.
  • Einzigartige Werkseinstellungen – Systemweite Passwörter sind nur dann wirksam, wenn Nutzer sie von den Werkseinstellungen ändern. In Wirklichkeit kommen die meisten Nutzer aber nicht dazu. Die Gefahr globaler Passwörter und Schlüssel ist, dass alle Einrichtungen bzw. Geräte betroffen sind, sobald nur ein Passwort oder Schlüssel bekannt ist. Das Einrichten eines einzigartigen Passworts pro Gerät während der Fertigung – was zwar komplexer ist als eine softwarebasierte Integration – hätte die DYN-Attacke gänzlich verhindert.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44395431 / Internet of Things)