Ein Sicherheitsforscher hat ein Experiment gewagt und ein unsicheres Internet of Things-Gerät ans Internet gehängt. Binnen 98 Sekunden war das Teil vom Mirai-Botnetz infiziert.
Anzeige
Hier im Blog hatte ich ja mehrfach über das Mirai-Botnetz, welches IoT-Geräte befällt, berichtet. Dieses Botnetz war auch für die massiven DDoS-Angriffe auf Dyn und die Ausfälle des Internet in den USA verantwortlich. Mirai zielt auf unsichere IoT-Geräte, die kein oder ein Standard-Kennwort verwenden. Aber wie lange dauert es, bis ein solches Gerät per Internet infiziert wird? Tage, Wochen, Monate oder nur wenige Stunden?
Sicherheitsforscher Rob Graham wollte es genauer wissen und kaufte eine IP-Kamera, die er in sein Heimnetzwerk integrierte. Das Gerät war aber per Raspberry Pi und ein NAT vom restlichen Netzwerk abgeschottet. In einem Tweet gab er das Ergebnis bekannt.
14/x: so after it loads the first stage Mirai, it then connects out to download the full virus, like from here:
http://89.248.172.173/arm pic.twitter.com/ntTxsNnm1i— Rob Graham (@ErrataRob) 18. November 2016
Laut seinen Angaben dauerte es genau 98 Sekunden, bis das Gerät mit dem Download des Codes für den ersten IoT-Wurm begann (war wohl noch nicht Mirai). Der IoT-Wurm versuchte Informationen über das Gerät (Hardware-Ausstattung etc.) zu sammeln und dann weitere, auf die Hardware passende, Malware zu installieren.
Die Installation des Mirai-Botnetzes läuft dabei in zwei Stufen ab. Danach begann das Gerät damit, über Telnet nach weiteren verwundbaren IoT-Geräten zu suchen. Viele IoT-Geräte haben keinen Speicher, der beim Stromausfall erhalten bleibt. Man könnte die Infektion daher durch Ausschalten leicht wieder weg bekommen. Aber das Experiment zeigt, dass dies kein Schutz ist, da die Geräte binnen kurzer Zeit wieder infiziert werden. Wir können uns also auf weitere DDoS-Angriffe per IoT-Botnetze einstellen. Bei Interesse: Weitere Hinweise findet ihr in diesem Golem-Beitrag.
Ähnliche Artikel:
IoT-Botnet Mirai hackbar – Neutralisation per Malware?
Legte frustrierter Online-Spieler das Internet per Dyn lahm?
DDoS-Angriff auf Heizung in Finnland
2015
Also ich will dem guten Mann ja nicht zu nahe treten, er ist ja Sicherheitsforscher, aber: "Laut seinen Angaben dauerte es genau 98 Sekunden, bis das Gerät mit dem Download des Codes für den ersten IoT-Wurm begann (war wohl noch nicht Mirai)." verstehe ich nicht so ganz.
Für mein Verständnis ist dann das IoT Gerät schon ab Werk kompromittiert oder der Server auf den das Gerät zeigt hat ein Problem.
Aus welchem Grund sollte ein dummes IoT Gerät hinter einer Routerfirewall selbständig irgendwelchen Code runterladen. Und alle nicht angeforderten Anfragen werden sowieso durch den Router verworfen.
Kann mir das jemand erklären?
Du musst vom normalen Endanwender ausgehen.
Der kauft, stöpselt ein und will benutzen.
Da wird nicht nach Ports und Firewall und Passwörtern geschaut.
Früher, jaaa ich weiß :-) , hat man sich erst einmal hingesetzt und sie Sachen eingerichtet.
Denke auch mit einer vernünftigen Sicherheitsstrategie dreht man solchen Geräten erst mal die Luft ab und dann entscheide ich als Admin was gehen darf und was nicht, aber das wollte der Sicherheitsforscher uns ja nicht zeigen, sondern die gleiche Problematik wie bei tausenden Routern, die von den Leuten gekauft werden und dann mit Werkseinstellungen betrieben.
Das Problem hatten wir doch vor nicht allzu langer Zeit besprochen.
Ich gehe eigentlich immer vom Endanwender aus, wir die hier lesen und kommentieren sind meistens keine "normalen" User. Aber in diesem Fall kann ich mir die Sache auch beim normalen Anwender nicht vorstellen. Die heutigen Router sind oftmals so krank verdongelt (bei VF Easy Boxen muß man neuerdings für die WLAN-SSID mindestens 8 Zeichen aus Groß-, Kleinbuchstaben und Ziffern eingeben – wofür soll das gut sein?, bei AVM ist nun standardmäßig ein wechselndes Zugangspaßwort vergeben und Speedports stehen den VF-Boxen in nichts nach) und auf Grund von aufgetretenen Sicherheitslücken sehr scharf eingestellt oder gleich der Features beraubt, daß da eigentlich nichts in diese Richtung passiert. Ich kann mich aber auch täuschen oder in Amiland sieht die Sache völlig anders aus und dort ist alles offen. Ich kenne keine US-Provider-Router von innen.
Nur als Beispiel die elend programmierten D-Link Router.
Aber andererseits warte ich nur auf die ersten Backdoors in IP Kameras. Kommen ja zu fast 100% aus dem gleichen Land wie die verseuchten Handys.
Also, ich habe mir jetzt nochmal den verlinkten Tweet angesehen. Der gute Mann kauft im ersten Eintrag eine bestimmte Kamera. Im Eintrag 2/x richtet er sich mit dem RPi seinen Router samt Firewall (nach einer Konfigurationsanleitung) ein und im folgenden 3/x ist er auf einmal gefährdet. Danach versucht er die weitere Infektion darzustellen.
Die wichtige Erstinfektion fehlt in der Beschreibung. Und das ist der Punkt den ich nicht glaube. Denn wie ich schon schrieb ist entweder die Kamera kompromittiert (Backdoor im Auslieferungszustand) oder der Updateserver ist gehackt.
In meinen Augen ist das wieder Panikmache ohne Substanz.
Ich frage mich dabei eigentlich nur, das sind doch zum großen Teil Namhafte Hersteller die mit IoT Geräten unsere Häuser vernetzen wollen, ist denen die Sicherheit so Schnuppe oder Denken die Hersteller eben nicht weiter an die Sicherheit, sondern nur an das Geld was sie damit verdienen.
In Ami Land kann ich so Hersteller ja noch als Privatperson verklagen aber was mache ich hier wenn ich mir so ein unsicheres Gerät ins Haus hole was zudem noch Sicherheitsmängel aufweist.
Habe gerade neulich so vernetzte Thermostate bei jemanden ohne Ahnung in sein Wlan Netz eingebunden es ist schon vorteilhaft wenn ich von der Firma aus die Temperatur zuhause regeln kann oder auch umgedreht. Ich fand es aber unheimlich schwer die Thermostate nach dem ich die Steuerungseinheit erst mal mit guten Passwörtern abgesichert hatte noch mit all ihren Funktionen ins WLan Netz einzubinden irgendwo ist da immer ein Harken bei der ganzen Konfiguration und wenn man sich da selbst nicht helfen kann voll schwierig da durch zu steigen.
Da ich ja aber schon durch die ganzen voll vernetzten Studio Sportgeräte recht gut zurecht komme fand ich es jetzt nicht ganz so tragisch.
Ja so wie ich das jetzt verstanden habe sind die Server schon allesamt kompromittiert was bedeutet ich müsste die Gräte erst mal ohne Kontakt zum Netz absichern und erst danach in Netz lassen für Updates usw. was aber an den Thermostaten überhaupt nicht möglich war.
Alles sehr seltsam.
"das sind doch zum großen Teil Namhafte Hersteller die mit IoT Geräten unsere Häuser vernetzen wollen"
nützt ja nix, wenn große Hersteller nur noch Fertigkomponenten einkaufen, statt selbst zu entwickeln. Das kann doch wieder kein Mensch bezahlen.
Dazu muss man doch nur die Berichte lesen über Apple, die versucht haben zu errechnen was die Produktion auf heimischen Boden kosten würde und ob es überhaupt möglich wäre…
Die Nachteile der globalen Wirtschaft, Verteilung auf unterschiedliche Produktionsstandorte unterschiedlicher Unternehmen und die Probleme durch Mondpreise werden halt immer sichtbarer.
Theoreortisch (vielleicht sogar schon in der Praxis) ist es wohl irgendwann nicht mehr möglich, überhaupt noch irgendwas zu produzieren, wenn nicht irgendwer im günstigen Ausland ausgebeutet wird.
Sicherheit interessiert auch überhaupt niemanden. Gibt ja auch keine globalen Gesetze die für alle gelten, obwohl wir im gleichen Internet rumwursteln.
Fängt an beim Jugendschutz und endet beim beim Thema Urheberrecht. Da macht jedes Land seinen eigenen Senf, was vollkommen Hinrissig ist, aber die Anwälte beschäftigt, die haben ja sonst nix zu tun.
Aus so einem Grund schaffen unsere Politiker nebenbei den Datenschutz ja praktisch ab… Schritt für Schritt. Der Rest der Welt wills halt nicht und so ist der Datenschutz in Deutschland beispielsweise ein Problem für die Wirtschaft.
Dazu fällt mir ganz im kleinen immer die Geschichte mit den frischen Nordseekrabben ein, die zum pulen durch Europa und weiter gekarrt werden, um am Ende wieder in einer Bude in Husum verkauft zu werden…
Das ist einfach nur bescheuert!