Das Internet der Dinge Industrie versagte uns | max eddy

Am vergangenen Wochenende wurde das US-Internet durch einen verteilten Denial-of-Service-Angriff (DDOS) langsamer. Es war aus zwei Gründen ein interessanter Angriff. Erstens haben die Angreifer - wer auch immer sie sind - keine einzige Website mit Junk-Anfragen überflutet, wie es bei DDOS-Angriffen üblich ist. Stattdessen suchten sie den DNS-Anbieter Dyn, was dazu führte, dass zahlreiche Websites langsamer crawlten oder den Betrieb vollständig einstellten. Die Warnungen vor einer Überzentralisierung der DNS-Infrastruktur wurden plötzlich sehr interessant.

Der zweite und wichtigere Punkt ist, dass es sich bei einem beträchtlichen Teil der an der DDoS-Attacke beteiligten Geräte um sogenannte Smart Internet of Things-Geräte handelte. Normalerweise verbreiten Angreifer Malware über Computer, die dem Befehl des Angreifers folgen und gleichzeitig Informationen von Websites anfordern, bis sich die Site unter der Last verbiegt. Aber dieses Mal enthielt der digitale Zombiehort Sicherheitskameras und WLAN-Router.

Die Teekanne hat es geschafft

Im Zentrum des Angriffs stand Mirai, eine nicht besonders exotische Malware. Es sucht nach Geräten, die mit dem Web verbunden sind, nach scheinbar Linux-basierten IoT-Geräten und bevorzugt anscheinend Sicherheitskameras und Heimrouter von Hangzhou Xiongmai Technology. Anschließend wird der Standard-Passcode in einer Tabelle nachgeschlagen und die Anmeldung ausgeführt. Sobald das Gerät eingedrungen ist, übergibt es die Steuerung an einen zentralen Befehls- und Steuerungsserver.

Während dieser Angriff schockierend war, was er vollbrachte, ist es leider nichts, was wir nicht kommen sahen. Auf der Black Hat-Konferenz im Jahr 2013 hat Craig Heffner die Fähigkeit demonstriert, auf einfache Weise Netzwerk-Überwachungskameras zu übernehmen. Zu seiner Demonstration gehörten bekannte Unternehmen wie D-Link, Linksys, Cisco, IQInvision und 3SVision. Auf die Frage, welche Geräte anfällig für Angriffe seien, antwortete er, dass er keine Marke gefunden habe, die nicht kontrolliert werden könne.

Für seine Demo brachte Heffner die Kamera dazu, ein sich wiederholendes Video anzuzeigen, wie in einem Überfallfilm. Aber der eigentliche Inhalt seines Vortrags war weitaus schlimmer. IoT-Geräte wie Überwachungskameras, Teekessel, Kühlschränke und sogar drahtlose Router sind nur winzige Computer, die mit dem Internet verbunden sind. Wenn Angreifer eine Person oder ein Unternehmen gezielt angreifen möchten, können sie diese schlecht verteidigten Geräte angreifen und sie als Beachhead verwenden, um den Rest des Netzwerks des Opfers zu erkunden. Und da es sich um winzige Computer handelt, können sie möglicherweise dazu gebracht werden, den vom Angreifer gewünschten Code auszuführen.

Stellen Sie sich das so vor: Sie können die stärksten Türen mit den besten undurchdringlichen Schlössern kaufen, um Ihr Haus zu schützen, aber ein Dieb kann trotzdem durch die Fenster eindringen.

IoT ist anders

In der Sicherheitsbranche geben wir gerne Menschen die Schuld, nicht Computern. Wenn die Leute aufmerksamer gewesen wären, hätten sie den Heartbleed-Bug möglicherweise schon vor seiner Einführung entdeckt. Ein beliebtes Sprichwort besagt, dass der größte Fehlerpunkt in einem Sicherheitssystem zwischen dem Computer und dem Stuhl liegt. Ein typisches Beispiel: Der Hack des Gmail-Kontos von Hillary Clinton, Vorsitzender der Kampagne, John Podesta, das uns unter anderem mit seinem Risotto-Rezept bekannt machte, begann offenbar mit einem Phishing-Betrug.

Im Falle der IoT-Sicherheit können Verbraucher jedoch nicht in gleicher Weise zur Rechenschaft gezogen werden. Als Autobesitzer müssen Sie zum Beispiel beim Fahren vorsichtig sein und angemessene Wartung leisten. Die Autofirma wiederum muss Ihnen ein Produkt liefern, das Sie nicht wirklich umbringt.

Mit der Veränderung unserer Gesellschaft haben sich auch die Erwartungen der Verbraucher verändert. Die Befürworter der Verbraucher weisen darauf hin, dass einige Autos bei jeder Geschwindigkeit "unsicher" seien. Und wie eine sich entwickelnde Kreatur haben Autos neue Anhängsel hervorgebracht: Sicherheitsgurte, Airbags und weniger offensichtliche Merkmale wie Knautschzonen und speziell entwickelte Materialien, um die Verbraucher in einer sich verändernden Welt einigermaßen sicher zu halten.

Gleiches gilt für die Consumer-Technologie. Die Verbreitung von Schadsoftware und die Gefahren für Geräte, die lediglich mit dem Internet verbunden sind, haben die Hersteller dazu veranlasst, eine aktivere Rolle beim Schutz der Verbraucher zu übernehmen. Windows beispielsweise wird jetzt mit einem von Microsoft installierten und verwalteten Antivirenprogramm ausgeliefert. Das Unternehmen veröffentlicht auch regelmäßig Patches, da die Herausforderungen für die Verbraucher zu komplex sind, als dass sie sie alleine bewältigen könnten.

Als Smartphones zu starten begannen, lernten Hersteller und Entwickler aus den Versuchen der PC-Jahre. Während die mobile Sicherheit auf dem Weg einige Probleme hatte, war sie im Vergleich zur Geschichte des PCs ein Kinderspiel. Wir hatten noch nie eine solche weit verbreitete Infektion auf Smartphones, die wir mit Conficker gesehen haben, und hoffentlich nie.

Die Geschichte des IoT hat einen anderen Weg eingeschlagen, vielleicht einen, bei dem ein Goldfisch als Navigator verwendet wurde. Anstatt den Zugriff auf das Gerät zu kontrollieren und bewährte Methoden anzuwenden, die beim Verbinden von Milliarden von Computern und Telefonen im Laufe der Jahrzehnte angewendet wurden, haben die Hersteller billige Produkte auf den Markt gebracht. In einigen Fällen wurden solche entwickelt, die niemals gewartet, aktualisiert oder gepatcht werden sollten. Und selbst wenn Probleme behoben werden könnten, ist es wohl nicht sinnvoll, von Einzelpersonen zu erwarten, dass sie arbeitssparende Geräte so behandeln, wie sie mit Computern umgehen. Die überwiegende Mehrheit der Verbraucher geht zu Recht davon aus, dass ein Gerät, das weder über einen Bildschirm noch über eine Eingabemethode verfügt, nicht von ihnen gewartet werden soll.

Das musste nicht passieren

Der frustrierendste Teil des jüngsten DDoS-Angriffs ist, dass IoT-Hersteller sich nur 30 Jahre Verbrauchertechnologie ansehen mussten, um die sprichwörtliche Schrift an der Wand zu sehen. Und wenn sie das nicht könnten, hätten sie die Warnungen von Sicherheitsforschern beherzigen können (Unternehmens- und Hobby-Hacker gleichermaßen). Diese Leute haben jedem erzählt, der zuhören würde, wie es eine schlechte Idee ist, Milliarden weiterer Geräte im Internet zu platzieren, ohne sorgfältig darüber nachzudenken, wie sie verwendet werden. Im Jahr 2014 eröffnete Dan Geer die Black Hat-Konferenz mit dem Hinweis, dass das Internet der Dinge bereits auf uns zukommt und zu Problemen führen könnte.

Trotz meiner Bemühungen, zynisch zu bleiben, fühlt sich das Internet der Dinge unvermeidlich und zwingend an. Science-Fiction verspricht uns seit Jahrzehnten, über Computer und futuristische Geräte zu sprechen. Vielleicht ist deshalb die Prognose von Gartner, dass bis 2020 6, 4 Milliarden Geräte mit dem Internet verbunden sein werden, machbar. Diese Geräte sind bereits bei uns zu Hause: Streaming-Boxen, Spielekonsolen, WLAN-Router. Für Angreifer und automatisierte Angriffe sind dies lediglich weitere IP-Adressen, die ausgenutzt werden müssen.

Während wir uns auf den Weg in die Ferien machen und in eine neue Generation von IoT-Geräten vorstoßen, rücken wir die Sicherheit, die für die Benutzer verständlich ist, in den Vordergrund. Wenn bis 2020 der beste Rat, den ich den Menschen noch geben kann, darin besteht, ihre intelligenten Geräte vom Netz zu nehmen, verdient diese Branche nicht einmal den Ruf, innovativ oder intelligent zu sein.