So leicht ist es, ein IoT-Gerät zu hacken!

| Autor / Redakteur: Michal Salat / Peter Schmitz

Wie schwierig ist es, ein IoT-Gerät zu hacken?

Nachdem Cyberkriminelle verletzliche IoT-Geräte entdeckt haben, müssen sie nur noch wissen, wie das Gerät gehackt werden kann – und das ist erstaunlich leicht. Der einfachste Weg, ein smartes Gerät zu hacken, ist die Brute-Force-Methode zum Ermitteln des Kennworts oder die Verwendung der ab Werk vorgegebenen Logindaten. Botnets, die man sich im Darknet ausleihen kann, ermöglichen es den Hackern, mühelos Tausende von Geräten auf einen Schlag zu infizieren. Viele Hersteller verwenden aus Kostengründen dieselben Standard-Logindaten für all ihre Geräte, statt für jedes ein eigenes Kennwort zu definieren.

Eine der schlimmsten Bedrohungen im Internet der Dinge des letzten Jahres war das Mirai Botnet, das Tausende von smarten Geräten infizierte, indem es mithilfe von Standard-Logins massive DDoS-Angriffe auslöste. Da der Quellcode von Mirai veröffentlicht wurde, kann praktisch jeder sein eigenes IoT-Botnet betreiben oder den Programmiercode beliebig umschreiben – deshalb sind bereits zahlreiche Mutationen von Mirai aufgetaucht.

Mirai-Botnetz verdonnert gehackte IoT-Geräte zum Minenarbeiten

Bitcoin-Mining

Mirai-Botnetz verdonnert gehackte IoT-Geräte zum Minenarbeiten

12.04.17 - Gehackte IoT-Geräte als Zwangsarbeiter beim Bitcoin-Mining: Das 2016 erstmals bekannt gewordene Botnetz Mirai, dass vorwiegend IoT-Geräte attackiert, hat hinzugelernt. Entsprechende Elektronik wie Router oder IP-Kameras, die infiziert und Teile des Botnetz wurden, wird nun auch herangezogen, um Währung für fremde Hacker zu generieren. lesen

Andere Arten zur Infizierung eines IoT-Geräts sind sehr viel komplexer und nur gegen teures Geld zu haben - und deshalb weniger häufig. Das Reverse-Engineering von Firmware oder eines Betriebssystems erfordern fundierte technische Kenntnisse und zeitliche Investitionen. Sogenannte „Zero-Day-Lücken“, die Schwachstellen ausnutzen, kosten Tausende von Dollar.

Was ist zu tun, um IoT-Geräte besser zu schützen?

Eine mögliche und wirkungsvolle Lösung zur Verbesserung der Sicherheit im IoT bestünde darin, den Anwendern die Möglichkeit zu geben, die Logindaten für ihre smarten Geräte auf einfache Weise zu ändern. Beispielsweise könnten Hersteller ihre Kunden dazu „zwingen“, die Logindaten ihrer Geräte zu ändern, indem sie die Eingabe eines eindeutigen und „starken“ Kennworts zu einem obligatorischen Schritt bei der ersten Inbetriebnahme des Geräts machen. Selbstverständlich lässt sich dies nicht immer umsetzen. Aber tatsächlich würde das Ändern der Logindaten die Zahl der „sicherheitsgefährdeten“ Geräte um ein Vielfaches reduzieren und Hackern, Möchtegern-Hackern und einfachen Such-Bots das Eindringen in IoT-Geräte erheblich erschweren. Alternativ könnten IoT-Gerätehersteller jedem Gerät ein eindeutiges, zufällig generiertes Kennwort zuweisen und dieses zusammen mit dem Gerät an den Kunden senden.

Die Ausgabe von Patch-Updates zum Schließen von Schwachstellen könnte helfen, smarte Geräte gegen derartige Angriffe immun zu machen. Hersteller verwenden heute oft überholte Versionen verschiedener Bibliotheken und Betriebssysteme, für die bereits erfolgreiche Angriffsmethoden entwickelt worden sind. Deshalb sind diese Geräte äußerst empfindlich. Außerdem gibt es sehr viele Geräte, deren Firmware nicht aktualisiert werden kann. Wenn also ein Hacker eine Schwachstelle nutzt, bleibt keine andere Möglichkeit als das Gerät für immer vom Netz zu trennen und es durch ein sichereres zu ersetzen.

Das Absichern von smarten Geräten würde nicht nur die persönliche Sphäre der Konsumenten schützen und DDoS-Angriffe verhindern, sondern könnte auch weit schlimmeren Dingen einen Riegel vorschieben. Es gab schon Proof-of-Concept-Attacken, die bewiesen haben, wie ganze IoT-Netze über ein einziges anvisiertes Gerät infiziert werden können, etwa eine Glühbirne oder ein Verkehrssensor. Solche Proof-of-Concept-Angriffe beweisen, was für ein massives Problem verletzliche smarte Geräte darstellen, und welche Schäden entstehen können, wenn die falschen Leute sie unter ihre Kontrolle bekommen. Man kann sich leicht vorstellen, wie Hacker den Verkehr durcheinanderbringen oder die Lichter einer ganzen Stadt ausschalten könnten. Hersteller von smarten Geräten müssen deswegen mit Sicherheitsexperten zusammenarbeiten und dafür sorgen, dass die Geräte mit den notwendigen Sicherheitsvorkehrungen ausgestattet und entsprechenden Tests unterzogen werden.

Kriminelle greifen gezielt IoT-Geräte mit Linux-OS an

Kriminelle greifen gezielt IoT-Geräte mit Linux-OS an

23.10.17 - Smarte Geräte locken nicht nur Käufer, sondern auch Kriminelle an. Neue Malware versucht die Geräte zu übernehmen und anschließend die Ressourcen zu missbrauchen. lesen

„IoT-Security ist auf dem Niveau von PCs der 90er Jahre“

Interview

„IoT-Security ist auf dem Niveau von PCs der 90er Jahre“

27.10.16 - Ein einzelner konzentrierter DDoS-Angriff konnte vergangenen Freitag einen Großteil des Internets lahmlegen. Der IT-Sicherheitsexperte Professor Hans-Joachim Hof spricht im Interview darüber, welche Rolle IoT-Geräte bei dem Hackerangriff spielten, mahnt das Gefahrenpotential unsicherer IoT-Devices an – und legt dar, welche Konsequenzen Unternehmen, Anwender und Hersteller daraus ziehen müssen. lesen

Über den Autor: Michal Salat arbeitet seit 2010 für die Avast Threat Labs und leitet heute als Threat Intelligence Director ein Team von zehn Analysten. Mit seinem Team konzentriert er sich auf die Identifizierung und Analyse neuer Malware-Arten. Zuvor war er als Programmierer und Networkadministrator tätig. Er hat einen Master-Abschluss für Systemprogrammierung von der Tschechischen Technischen Universität in Prag.

Dieser Beitrag stammt von unserem Partnerportal Security Insider.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Stimmt, auch ein gutes Beispiel. Ein Haustürschlüssel unter der Fussmatte mag zwar...  lesen
posted am 01.12.2017 um 10:15 von Unregistriert

Wozu denn einen Stein ins Fenster werfen oder das Schloss aufbrechen, wenn der Haustürschlüssel...  lesen
posted am 27.11.2017 um 15:24 von Olaf Barheine

Schöne neue Welt! Um es vorwegzunehmen ich bin sehr technikaffin und nutze viele Dinge wie eine...  lesen
posted am 27.11.2017 um 12:43 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45023251 / IoT)