Sonntag, 22. Oktober 2017
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Security Check: IoT-Botnet-Angriffe

Quelle: Microsoft

Ein Rückblick in die „gute, alte Zeit“: Windows-Clients werden nur von Schadsoftware befallen, wenn kein aktueller Virenschutz vorhanden ist. Apple-Systeme oder Linux-/Unix-Geräte sind vor Schadsoftware zuverlässig geschützt – weil für diese Betriebssysteme (angeblich) keine Schadsoftware existiert. Größeren Aufruhr verbreiten höchstens „Schreckensmeldungen“ über den Loveletter-Wurm, der sich per E-Mail und ICQ verbreitet. Ansonsten müssen sich die Mitarbeiter in den Unternehmen sowie die Anwender „nur“ von Raubkopien fernhalten, und „ihren“ PCs wird mit an Sicherheit grenzender Wahrscheinlichkeit keine Infektion mit Malware drohen. Doch leider ist die damalige Situation kaum noch mit den aktuellen Bedrohungen zu vergleichen. Denn durch die fortschreitende Vernetzung müssen wir schon froh sein, wenn die Kaffeemaschine oder die LED-Deckenbeleuchtung nicht „digital gekapert“ und in das nächstbeste Botnet eingegliedert werden.

Neben den „direkten“ Verdienstmöglichkeiten der IT-Kriminalität (etwa Kreditkartenbetrug, Erpressung mittels Ransomware oder kompromittierte Online-Banking-Programmen) stehen auch „indirekte“  Geldquellen vermehrt im Fokus. Hier stehen bei den „bösen Jungs“ vor allem zwei Geschäftsfelder im Vordergrund: Zum einen der Verkauf von Daten (Kreditkartennummern, Ausweiskennungen, Telefonnummern samt Adressen und Geburtstagen), zum anderen die Bereitstellung von Dienstleistungen – wie beispielsweise DDoS-Attacken. Besonders letztgenanntes wird inzwischen nicht mehr über gekaperte Server mit hoher Einzelbandbreite realisiert. Vielmehr geht der Trend in diesem Dunkelbereich in die Richtung von Botnetzwerken bestehend aus Millionen Kleinstgeräten. Denn diese lassen sich – im Gegensatz zu wenigen, großen Servern – nicht so leicht blockieren. Falls ein Angriff mit 100 GBit/s Bandbreite von zehn bis 20 Servern ausgeht, können die betreffenden Quell-IPs schnell in den Firewalls blockiert werden.

Ganz anders gestaltet sich das Problem, wenn hunderttausende oder gar Millionen von kleineren Systemen – jedes von einer anderen IP-Adresse aus – unerwünschte Datenpakete zu einer bestimmten Webseite oder zu einem Unternehmen senden. Selbst wenn diese Systeme nur in der Lage sind, DDoS-Attacken mit jeweils 100 KBit/s bis 1 MBit/s durchzuführen, summiert sich das etwa bei 500.000 „Bots“ bereits zu einer „Angriffsbandbreite“ von 50 GBit/s bis 500 GBit/s. Daher verlagerte sich das Problem „Botnet“ von Servern zu den Client-Systemen. Etwa ganz normale Desktop-Clients oder Notebooks in den Firmen, oder den Heimanwendern. Zusätzlich rücken in letzter Zeit immer mehr Kleinstgeräte aus dem IoT-Bereich (Internet of Things) in den Fokus der Botnet-Betreiber.

Alle IT-Geräteklassen im Visier von Botnets?

Während ältere Botnetze, wie etwa „Conficker“ oder „Zeus“ auf Windows-Server, -Clients und Heim-PCs zielten, kommen im Zuge der fortschreitenden IoT-Entwicklungen aktuell weitere Geräteklassen ins Fadenkreuz der Botnet-Betreiber. Viele der Geräte kommen sowohl bei den Heimanwendern, als auch in den Unternehmen zum Einsatz:

  • Internet-Router,
  • Drucker,
  • Print-Server,
  • Mobiltelefone,
  • Tablets,
  • E-Book-Reader,
  • IP-Kameras,
  • Smart-TVs,
  • digitale Videorecorder,
  • Bluray-Player,
  • vernetztes Kinderspielzeug,
  • Bluetooth-LED-Leuchtmittel oder
  • Soundbars.

Ein kürzlich bekannt gewordenes Botnet mit der Bezeichnung „Mirai“ verfügt über circa 500.000 solcher Kleinstgeräte, die als sogenannte „Thingbots“ agieren, und nur auf den Befehl einer zentralen Verwaltungsstelle (Command&Control-Server) warten. Ein bekannter Angriff ist beispielsweise die DDoS-Attacke auf den DNS-Dienstleister „Dyn“. Dies führte zu zeitweiligen Zugriffsproblemen auf viele bekannte Dienste wie etwa Twitter, Github oder Spotify. Ein weiteres Botnet mit über drei Millionen Bots wurde Anfang 2015 von den Behörden „deaktiviert“, indem die Command&Control-Server ausgeschaltet wurden. Dieses Netzwerk mit der Bezeichnung „Ramnit“ war zu diesem Zeitpunkt etwa drei Jahre „alt“.

Infektionswege

Nun stellt sich die Frage, auf welche Weise die Botnet-Betreiber die Kontrolle über derartig viele Systeme übernehmen können? Vor allem handelt es sich dabei ja nicht um „normale“ Windows-Clients, bei denen man die Anwender, die diese Systeme tagtäglich einsetzen, um Email-Kommunikation abzuwickeln, oder im Internet zu surfen. Ein großer Faktor stellt sicherlich die mangelnde Gerätesicherheit dar. Zudem richten viele Nutzer, vor allem im privaten Umfeld, diese Geräte nicht mit dem entsprechenden Know-how ein. Sie ändern beispielsweise die Standard-Anmeldepasswörter nicht ab. Auch läuft auf Videorecordern oder IP-Kameras keine Virenschutzsoftware, und die Anwender melden sich nicht direkt auf den Systemen an. Viele Geräte verfügen auch nur über rudimentäre Benutzerschnittstellen (APIs), und können kaum Rückmeldung geben, falls es zu Problemen kommt. Solange die erwartete Funktion weiter bereitgestellt wird (etwa das Live-Bild einer Kamera), hat der Anwender – oder auch der Administrator – keinen Grund anzunehmen, dass etwas nicht in Ordnung sei.

Bots werden in der Regel nicht manuell installiert oder von Hackern „persönlich“ angegriffen. Dies wäre ja auch bei der großen Anzahl an Mini-Systemen, die für ein „anständiges“ Botnet benötigt werden, nicht praktikabel. Vielmehr bedienen sich die Botnet-Betreiber unterschiedlicher, automatisierter Möglichkeiten, um die Schadsoftware auf ihren Zielen zu installieren.

Dabei scannen diese Applikationen große Teile der verfügbaren IP-Adressbereiche ab, und versuchen zum einen bestimmte Gerätetypen zu identifizieren. Bei denen bereits Sicherheitslücken oder Standard-Anmeldeinformationen bekannt sind. Zum anderen lässt sich der Spieß auch umdrehen, etwa um eine begrenzte Anzahl an Passwort-Fehleingaben zu umgehen. Denn dabei werden statt die Passwörter die Systeme „durchprobiert“. Sprich man nimmt eine bekannte Standard-Passwort-Kombination (etwa Benutzername „admin“ samt dem Kennwort „password“) und versucht die Anmeldung hintereinander bei unterschiedlichsten IP-Adressen.

Somit können die Botnet-Betreiber beispielsweise sehr viele Router oder Printer im Internet, die noch mit diesen Standard-Credentials arbeiten, „abgrasen“. Um auch (etwas) komplexere Passwörter zu „knacken“, setzen die Botnet-Betreiber und Schadsoftware-Programmierer auf bekannte Methoden, wie etwa Wörterbuchattacken, oftmals kombiniert mit Permutationen (etwa „Apf3lbaUm“ statt „Apfelbaum“). Zudem lassen sich auch bestimmte, vorberechnete Hashwert-Tabellen einsetzen (sogenannte „Rainbow-Tables“), oder Passwörter mit kurzer Kennwortlänge direkt per „Brute Force“ ermitteln.

Aber selbst wenn die Administratoren diese Anmeldedaten direkt bei Inbetriebnahme in sichere Zeichenfolgen ändern, kann es durchaus vorkommen, dass versteckte (und festverdrahtete) Anmeldedaten weiterhin funktionieren. Werden diese doch oftmals in der Firmware fix abgelegt. Etwa um automatische Konfigurationen von Internet-Provider auf bestimmten Router-Klassen vorzunehmen, oder damit der automatische Firmware-Upgrade Vorgang reibungslos abläuft, oder zu allgemeinen Wartungszwecken.

Auch spielen schwache Authentifizierungsmethoden und (teilweise) veraltete Standards eine große Rolle. Auch auf der Seite der Betriebssystemsoftware (oftmals in Form einer Geräte-Firmware) drohen Sicherheitslücken. Werden doch viele dieser Kleingeräte einmal aufgesetzt oder konfiguriert, und danach nie wieder gewartet. Manchmal sind vom Hersteller keine Updates zu erwarten: Kurze Produktzyklen lohnen sich besonders, wenn auf Service, Support und Bugfixing verzichtet wird. Teilweise stellen die Hersteller zwar Firmware-Updates in regelmäßigen Abständen zum Download bereit, werden aber aus unterschiedlichen Gründen nicht auf die Geräte aufgespielt. Dies kann entweder aus Bequemlichkeit geschehen, aus Unwissenheit, oder auch mit voller Absicht. Etwa wenn das Aufspielen eines Firmware-Upgrades die komplette Konfiguration in die Werkseinstellung versetzt, werden Updates oftmals nicht eingespielt. Warum auch, wenn alles funktioniert? Gilt in der IT nicht das Credo „Never touch a running System“?

Quelle: Microsoft

„Best Practice“ der Hardwarehersteller

Die IoT-Gerätesicherheit beginnt zunächst einmal beim Hersteller. Welche Maßnahmen sollten dabei getroffen werden, um IoT-Systeme (möglichst) sicher zu gestalten? Dabei sollten bestimmte Basics beachtet werden:

Die gesamten Funktionen der Geräte sollten bereits beim Design kritisch überdacht werden. Wird beispielsweise die Möglichkeit zur Remote-Verwaltung zwingend benötigt? Sprich: Müssen die Geräte wirklich remote verwalten werden? Oder lässt sich dies innerhalb der Geräteumgebung eliminieren? Damit wäre eine potentielle Sicherheitslücke geschlossen. Sollte allerdings unbedingt ein Remote-Zugang implementiert werden, sollte grundsätzlich auf eine starke Geräteauthentifizierung gesetzt werden.

Botnetz-Schadsoftware macht sich nicht ohne Grund den anfälligsten Teil von Geräte-Passwörtern zunutze: Denn Standard-Anmeldedaten werden oftmals für unterschiedliche Geräte eingesetzt, und nicht immer von den Administratoren bei der Ersteinrichtung geändert. Daher sollten möglichst zufällig erzeuget Standard-Kennwörter für die einzelnen Geräte, und nicht ein „Satz“ Credentials für eine komplette Geräteklasse bestehend aus 100.000 hergestellten Einzelsystemen zum Einsatz gebracht werden. OWASP (Open Web Applikation Security Project) hat einige grundlegende Tipps zur Passwortrichtlinie für IoT-Gerätehersteller zusammengestellt. Zusätzlich sollte das Gerät noch über eine starke Authentifizierungs-Methode verfügen, und einen möglichst starken Verschlüsselungs-Algorithmus samt einer auf Schwachstellen untersuchten Implementierung.

Ein weiteres Security-Standbein ist sicherlich der Einsatz von PKI (Public Key Infrastructure), bietet diese Technologie doch einigen Vorteilen und ermöglicht eine starke Geräteauthentifizierung. PKI ist grundsätzlich sehr sicher konzipiert. Wird PKI als Teil des Authentifizierungsprozesses eingesetzt werden „normale“ Wörterbuch- Angriffe – wie im Fall des Mirai-Botnets – keinen Erfolg bringen. Des weiteren sollten die Hersteller  Hardware-basierte Sicherheitselemente in Betracht ziehen, um die privaten Schlüssel auf den Geräten abzusichern. So lässt sich verhindern, dass Anmeldeinformationen aus den Geräten selbst extrahiert werden.

Regelmäßige Wartung

Neben den bereits angesprochen Grundvoraussetzungen ist es sehr wichtig, dass im Laufe der Zeit die IoT-Systeme dem aktuellen Kenntnisstand angepasst werden. Sollten Sicherheitslücken bekannt werden, müssen die Hersteller umgehend handeln, und entsprechende Aktualisierungen, Patches oder Workarounds bereitstellen und bekanntmachen. Leider hat sich hier oftmals eingebürgert, dass es zum Nachteil der Hersteller ist, falls Sicherheitslücken publiziert werden. Daher scheuen sich die Hersteller oftmals, selbst auf derartige Probleme aufmerksam zu machen. Dabei wird das Pferd allerdings von der falschen Seite aufgezäumt. Denn ist es nicht positiv zu bewerten, wenn auf neu entdeckte Sicherheitslücken seitens des Herstellers offen hingewiesen wird? Anstatt den „Mantel des Schweigens“ auszubreiten, und zu hoffen dass diese Lücke schon keiner entdecken wird, und somit kein Imageverlust hingenommen werden muss?

An dieser Stelle sind auch die Entscheidungsträger in den Firmen und die Privatnutzer gefragt. Produkte bei denen der Hersteller Courage beweist, und auf Probleme hinweist sollten in diesem Kontext eher bevorzugt, anstatt öffentlich „abgestraft“ zu werden. Offene Kommunikation ist in diesem Bereich immer vorzuziehen, auch wenn dies bedeutet, Fehler öffentlich einzugestehen. Werden nun (aus unterschiedlichen Gründen) Aktualisierungen seitens der Hersteller angeboten, sollten diese in der Regel so schnell wie möglich aufgespielt werden. Allerdings müssen die Administratoren sichergehen, dass die „Sicherheitsupdates“ auch aus einer vertrauenswürdigen Quelle, sprich das Original-Updates des Hardwareherstellers eingespielt wird. Dies muss über entsprechende Zertifikate sichergestellt werden. Auf diese Weise „landet“ nur zertifizierte Software (beziehungsweise Firmware) auf den IoT-Systemen.

Zusammenfassung

Die Abwehrschlacht im IoT-Bereich beginnt beim Hardwarehersteller. Fehlende Sicherheitsupdates, Zero-Day-Exploits, mangelnder Support, kurze Produktzyklen und voreingestellte „Standard-Passwörter“ machen es den Angreifern leicht, unterschiedliche Klein- und IoT-Geräte für ihre Zwecke einzuspannen. Dies haben die Hersteller (hoffentlich), sowohl die Botnet-Betreiber (längstens) erkannt. Folglich sollten nur Geräte eingesetzt werden, die über eine gewisse Grundsicherheit, einen entsprechenden Zugriffsschutz, und entsprechende Zertifikate verfügen. Implementierte „Hintertürchen“ sollten die Hardware-Hersteller tunlichst vermeiden, genauso wie die klassischen „Standard-Passwortkombination“, de auf sehr vielen Geräten identisch den Auslieferungszustand wiederspiegelt.

Zudem achten verantwortungsvolle Administratoren bei der Erstkonfiguration darauf, möglichst sichere Kennwörter festzulegen. Auch sollten diese in regelmäßigen Abständen geändert werden. Zudem lohnt es sich, für Sicherheitsfeatures auch etwas mehr Budget bereitzustellen, und wichtige Kernkomponenten nicht nur anhand der (vermeintlich) tollen Zusatzfunktionen oder des Einkaufspreises auszuwählen.

Nach der Aufstellung, Grundkonfiguration, Funktionsprüfung und Dokumentation von IoT-Geräten sollten sich die Verantwortlichen zudem Gedanken machen, auf welche Weise diese Geräte überwacht, regelmäßig geprüft und gewartet werden. Hier lohnt es sich, derartige Kleingeräte in das „normale“ Wartungsintervall mit einzubinden. Da auf den meisten Geräten keine Selbstprüfung vorhanden ist, und sich auch kein zusätzlicher Malwareschutz installieren lässt, sollten die Systembetreuer durch eine entsprechende Netzwerk-Monitoring-Software die Kommunikation der IoT-Geräte im Netzwerk überwachen. Wichtig dabei ist auch, dass die Systembetreuer eine entsprechende Meldung präsentiert bekommen, falls Abweichungen zum „Normalzustand“ festgestellt wurden. Sendet ein Printserver plötzlich unablässig Datenpakete ins Netz, liegt der Verdacht nahe, dass dieses Gerät in ein Botnet integriert wurde – höchste Zeit für die Systembetreuer zu handeln.

Florian Huttenloher

Diesen Artikel bewerten
  
 4.83 (6 Bewertungen)
Kommentare
Anmelden
Anmelden