Wachsende Bedrohung durch IoT-Geräte
Mangelhafte Sicherheitsvorkehrungen stärken Mirai-Botnetz
Die Anzahl von Distributed-Denial-of-Service-Angriffen (DDoS) mit Datenraten von mehr als 100 GBit/s hat im Vergleich zum Vorjahr massiv zugenommen. Akamai, ein Anbieter von Content-Delivery-Network-Services (CDN), stellte beispielsweise in seinem Report zur Internet-Sicherheit im dritten Quartal 2016 einen Anstieg solcher Angriffe um 138 Prozent fest. Für Aufsehen sorgte vor allem eine Serie von DDoS-Attacken zwischen dem 15. und 22. September auf die Web-Seite des Security-Bloggers und -Reporters Brian Krebs, der sich eingehend mit der weltweiten Cyberkriminalität beschäftigt. Den Höhepunkt der Angriffe auf "krebsonsecurity.com" verzeichnete Akamai am 20. September mit 623 GBit/s. Am 22. September war der CDN-Anbieter dann nach einer weiteren Attacke mit 555 GBit/s gezwungen, den Schutz der Seite aufzuheben.
An beiden Rekord-Angriffen war laut Akamai das sogenannte Mirai-Botnet beteiligt. Ein Netzwerk aus angeblich über 400.000 gekaperten IoT-Geräten, die Cyberkriminellen für DDoS-Attacken zur Verfügung stehen. Für Martin McKeay, Senior Security Advocate bei Akamai, ist das Mirai-Netzwerk der neuste Vorbote der Cyberbedrohungen der Zukunft. Andy Green vom Security-Anbieter Varonis spricht vom Mirai-Botnetz sogar von "der Rache des IoT". Mit Mirai nutzen die Cyberkriminellen seiner Meinung nach nicht nur die mangelhaften Schutzmechanismen der Geräte aus, sondern auch die schlechte Angewohnheit von Endanwender wie auch IT-Experten, die Standardeinstellungen unverändert zu lassen.
Vermutlich haben Hacker mit der Brute-Froce-Methode hunderttausende Router weltweit nach geöffneten Telnet-Ports gesucht, die über das UPnP-Protokoll automatisch zugewiesen worden sind. Das universelle Plug-and-Play-Protokoll erlaubt es vernetzten Geräten, automatisch einen Port des Routers zu öffnen, um dem Nutzer zu ermöglichen, per Remote-Zugriff mit dem Gerät zu kommunizieren.
Hacker haben dadurch Zugriff auf die Shell des Routers bekommen und anschließend versucht, sich über Standardpasswörter wie "123456" oder "admin" anzumelden. Hatten die Angreifer dann die Geräte - darunter oftmals Funkkameras einer bestimmten Marke - unter ihre Kontrolle gebracht, luden sie die Mirai-Software und machten die Kameras auf diesem Wege zu Bots ihres Netzwerks.
Laut Green wissen viele Anwender nichts von der UPnP-Funktionen ihres Routers, die bei manchen Herstellern wie Linksys sogar als Standardeinstellung aktiviert ist. Um nicht unwillentlich Teil eines IoT-DDoS-Angriffs zu werden, rät er daher Endanwendern oder kleineren Unternehmen, die UPnP-Funktion ihres Routers zu deaktivieren. Sollte der Remote-Zugriff eines Geräts wirklich nötig sein, kann der Port künftig manuell freigeschaltet werden. Zudem bietet sich an, mithilfe eines Portscanners offene Ports im WLAN zu finden, um sie gegebenenfalls zu schließen. Als nächster Schritt sollte das Administratorpasswort des Geräts und des voreingestellten WLAN-Schlüssels geändert werden. Auch die Standardpasswörter der mit dem Netzwerk verbundenen IoT-Geräten gilt es laut Green unbedingt zu ändern, um dadurch die Angriffsfläche für Hacker möglichst gering zu halten.
Weitere Informationen finden sich unter blog.varonis.com und www.akamai.com.
Lesen Sie mehr zum Thema
