Botnetze und wie Ihre Geräte kein Teil davon werden
Ihr Kühlschrank wird Teil einer Internet-Armee. Klingt unglaublich? Könnte aber bald Realität sein.
Bei Software von Kühlschränken, Wasserkochern oder anderen Geräten, welche durch die Digitalisierung immer mehr vernetzt werden, geniesst das Thema der IT-Sicherheit leider keine prominente Stelle.
Viele dieser IoT-Systeme werden ohne Option zur Aktualisierung der Firmware oder Software entwickelt. Wird also für ein solches System eine Sicherheitslücke entdeckt, besteht keine Möglichkeit, diese zu patchen. Daraus resultiert, dass die Anzahl verwundbarer Systeme, welche im Normalfall in irgendeiner Form aus dem Internet erreichbar sind (z.B. Webcams), weiter steigt. Hacker kapern diese verwundbaren Systeme mittels Malware oder anderen automatisierten Angriffen über das Internet und Missbrauchen diese für kriminelle Zwecke. Ein gutes Beispiel wäre hier der Angriff auf Liberia mittels des Mirai Botnetzes. Dabei wurde zeitweise das ganze Land vom Internet abgeschnitten. (DDoS-Attacke kappte zeitweilig Internetverbindung eines ganzen Landes | heise online)
Geräte isolieren
IoT-Geräte sind meistens Systeme, auf welchen ein geschlossenes Betriebssystem betrieben wird. Nur ganz selten ist die eingesetzte Software Open-Source, so dass nachvollzogen werden kann, wohin und in welchem Umfang das Gerät Daten aufzeichnet oder verschickt. Wird ein solches Gerät durch einen Hacker übernommen, kann dieses den Rest des Heimnetzwerks ausspionieren, als Teil eines Botnetzes fungieren oder andere unlautere Dinge in Ihrem Namen anstellen. Es muss also sichergestellt sein, dass Ihre IoT-Geräte in einem eigenen Netzwerk betrieben werden und keinen Zugriff auf die restlichen Netzwerkgeräte haben. Am einfachsten wird dies mittels Firewall-Regeln realisiert, welche die Verbindungen zwischen Ihren verschiedenen Heim-VLANs und dem Internet regeln. Dabei muss sichergestellt werden, dass die Regeln für das IoT-VLAN nach dem Least Privilege-Prinzip aufgebaut und stets mit einer Deny-Any-Regel abgeschlossen werden.
Natürlich existieren Verbindungen, welche benötigt werden, wie z.B. Verbindungen zum Update-Server oder Verbindungen zum Cloud Service, welcher beispielsweise das Kühlschrank-Inventar verwaltet. Dabei gilt es aber die Verbindung so strikt als möglich zu konfigurieren. So soll Ihr Kühlschrank beispielsweise nur über Port XY auf die IP-Adresse des Cloud-Service oder über Port YZ auf den Update-Server Verbindungen aufbauen können. So können ungewollte Verbindungen verhindert werden.
Geräte auf einem aktuellen Stand halten
Wie bei sämtlichen Systemen, welche in einem Netzwerk betrieben werden oder mit dem Internet in Berührung kommen, müssen auch IoT-Geräte, wenn möglich, stets auf einem aktuellen Stand gehalten werden. Nur so kann sichergestellt werden, dass bekannte Sicherheitslücken, welche bereits durch ein Sicherheitsupdate behoben wurden, nicht ausgenutzt werden können.
Leider werden aber viele IoT-Geräte ohne die Option entwickelt, aktualisiert zu werden. Somit sind einmal entdeckte Sicherheitslücken bei diesen Geräten solange ausnutzbar, wie dieses erreichbar ist. Wenn Sie wissentlich ein solches Gerät betreiben, muss dieses zwingend isoliert werden (siehe ein Kapitel weiter oben).
Nicht benötigte Services deaktivieren
Häufig werden IoT-Geräte so ausgeliefert, dass sämtliche möglichen Services, wie zum Beispiel SSH oder ein FTP-Server, standardmässig laufen. Viele dieser Services werden aber im produktiven Einsatz nie gebraucht. Oft ist dem Endnutzer nicht einmal bewusst, dass dieser mit seiner aus dem Internet steuerbaren Webcam auch noch einen Datei-Server und verschiedene Remote Access-Möglichkeiten ins Internet stellt. Diese sind dann oft nicht oder mit Standard-Credentials geschützt, was Tür und Tor für Angreifer öffnet. Ebenfalls sollte sichergestellt werden, dass routerseitig UPnP deaktiviert wird. Ansonsten öffnet das IoT-Gerät die Ports automatisch.
Wenn Sie also ein neues IoT-Gerät in Betrieb nehmen, stellen Sie sicher, dass wirklich nur die zwingend benötigten Services laufen und sämtliche weiteren deaktiviert sind. Wenn Sie aber zwingend auf z.B. einen SSH-Service, welcher aus dem Internet erreichbar sein muss, angewiesen sind, empfiehlt es sich, nicht die Standard-Ports zu verwenden.
Authentifizierung
Ein grosses Problem bei IoT-Geräten sind Passwörter. Diese werden oft nicht gewechselt, was zur Folge hat, dass Angreifer sich einfach mit diesen Standard Credentials einloggen und die Kontrolle über Ihr Geräte übernehmen können. Stellen Sie aus diesem Grund sicher, dass Sie ein als sicher geltendes Passwort verwenden (mindestens 10, besser 12 Zeichen, vier von vier Zeichenklassen, keine ganzen Wörter). Eine Methode, um sichere Passwörter zu erstellen, ist die Satz-Methode. Dabei denken Sie sich einen Satz aus und nehmen jeweils den ersten Buchstaben jedes Wortes und verwenden Zahlen und mindestens ein Sonderzeichen.
Aus dem Satz “Ich muss meine IoT-Geräte mit einem sicheren Passwort schützen!” würde folgendes Passwort entstehen: “ImmIoT-GmesPs!”.
Sofern möglich, sollten auch Mehr-Faktor-Authentifizierungsmöglichkeiten (z.B. SMS, Google Authenticator o.ä.) stets genutzt werden. Diese erschweren einen erfolgreichen Angriff durch einen Hacker enorm. Dies gilt auch bei Cloud-Services.
Fazit
IoT-Geräte sind praktisch. Jedoch wurde bei der Entwicklung und Produktion meistens viel Wert auf Usability und wenig bis gar keinen Wert auf Security gelegt. Das ist nun aber kein Grund Ihre IoT-Geräte wegzuwerfen. Werden die in diesem BLOG beschriebenen Tipps fachgerecht umgesetzt, können Ihre IoT-Geräte vor dem Beitritt einer IoT-Zombie-Armee bewahrt werden.
Informationen zum Autor: Michel Hennet
Schon während meines Studiums an der ZHAW in Winterthur faszinierte mich die IT-Security. Unbedingt wollte ich darum die Stelle als Junior Security Consultant bei der Firma goSecurity bekommen. Schon während meinen ersten Kundenprojekten wurde mir klar: Genau das habe ich gesucht. Aus der Faszination entwickelt sich bei mir eine Leidenschaft. Die Leidenschaft als technischer Spezialist die Geschäftsanforderungen perfekt zu unterstützen. Nur so ist der Begriff des Experten für mich erst legitim. Mein voller Einsatz für Sie befriedigt meine Leidenschaft und meine Ansprüche an mich selbst.