Varonis-Experte kommentiert Attacke auf Router
Mirai: Hang zu Default-Einstellungen bringt auch Unternehmensnetze in Gefahr
Wie viele andere hatten sich auch die Security-Experten von Varonis in den vergangenen Wochen mit der spektakulären Mirai-Attacke und ihren Folgen beschäftigt. Laut Varonis gab es dazu durchaus Reaktionen. Darunter diese, sinngemäß zusammengefasst: "Um ehrlich zu sein hat der Mirai-Angriff so gar nichts mit IT-Sicherheit in Unternehmen zu tun".
Dass dies offensichtlich doch der Fall ist, konnten nicht nur Telekom-Kunden gerade beobachten. Zudem existieren weitere Möglichkeiten, die Unternehmenssicherheit auszuhebeln, beispielsweise mit Firmware-Angriffe. Dazu hat sich der Varonis-Sicherheitsexperte Andy Green einem aktuellen Post ausführlich geäußert.
Green vermutet wie viele Experten auch, dass bei der Hacker-Attacke auf die Telekom deren Router Teil eines weltweiten Bot-Netzes werden sollten, das ebenfalls auf die Mirai-Schadsoftware zurückgeht. Man könne laut Green zwar davon ausgehen, dass kein Großunternehmen sicherheitsanfällige CCTV-Kameras für Endverbraucher oder andere, billige IoT-Geräte einsetzt, deren Authentifizierung zu umgehen ein Kinderspiel ist. "Wir wollen es jedenfalls hoffen", so Green weiter. "Am Rande sei erwähnt, dass etliche Elektrizitätswerke und Energiekonzerne ihre aus dem 19. Jahrhundert stammende elektrische Infrastruktur mit IoT-Überwachungsmonitoren ausgestattet haben. Ein sicherheitsrelevantes Thema, mit dem wir uns gesondert befassen werden."
Hintertüren und Schwachstellen wie sie nicht nur in WiFi-Kameras existieren und im Mirai-Angriff ausgenutzt wurden, gebe es ganz offensichtlich genauso in rein geschäftlich genutzten Netzwerken.
Green weiter: "Im Sommer dieses Jahres hat Cisco einen Exploit mit Namen ExtraBacon veröffentlicht, der es Angreifern erlaubte, per Fernzugriff Code innerhalb der Firewall-Produkte des Unternehmens auszuführen. Das war im August. Im Juli entdeckte Juniper in einem seiner Produkte einen Zero-Day-Exploit, bei dem selbstsignierte Zertifikate betroffen waren. Mit deren Hilfe konnten die Angreifer den kompletten internen Netzwerk-Traffic abhören."
Noch erschreckender sei die Tatsache, dass Hacker Firmware angreifen können, also den Code, auf dem Geräte wie Router, Telefone, Laptops, aber auch Gadgets basieren. Firmware gehört laut Green zu den Dingen, die typischerweise nicht digital signiert sind. Das gäbe Hackern die Möglichkeit, den Code zu verändern und Malware einzuschleusen, die im Anschluss das entsprechende Gerät übernimmt.
Green dazu: "Verantwortlich ist vielleicht ein Insider im Unternehmen, der beispielsweise für eine Cybergang arbeitet und die Malware auf einen Router lädt. Aber es geht noch ein bisschen durchtriebener. Zum Beispiel wenn Cyberkriminelle die Web-Seite eines Herstellers angreifen und die legitime Firmware durch eine mit Malware verseuchte Variante ersetzen. Die dann auf Tausende von Routern und Firewalls weltweit heruntergeladen wird. Wer sich gerne schlaflose Nächte bereitet, dem sei ein Artikel aus dem Jahr 2015, erschienen in Wired empfohlen (www.wired.com/2015/02/firmware-vulnerable-hacking-can-done/). Er beschäftigt sich damit, warum Firmware so anfällig für Hacker-Angriffe ist."
Im Übrigen hätten laut Green "unsere freundlichen Feinde von der NSA" schon recht frühzeitig begonnen Low-Level-Code als Waffe zu nutzen. Die Tools fanden dann jüngst ihren Weg in die Öffentlichkeit, als die NSA selbst Opfer eines erfolgreichen Angriffs wurde. Eine Hackergang namens "Shadow Brokers" hatte NSA-Hacker-Software zum Kauf angeboten.
Alle genannten Beispiele offenbarten eine tiefere Wahrheit. Nämlich, dass es bei derart schwerwiegenden Schwachstellen wenig hilfreich sei, sich ausschließlich auf den Schutz der Netzwerkgrenzen zu beschränken.
Die zweite Lektion, die uns die Mirai-Attacke erteilt habe, ist laut dem Varonis-Mann, wie verwundbar wir und nicht zuletzt die digitale Wirtschaft tatsächlich sind, und dies nicht zuletzt dank des "schon fast sträflich zu nennenden Leichtsinns, wenn es um IT geht". Man könne zwar ahnungslose Verbraucher entschuldigen, weil sie den heimischen Router und ihre IoT-Gadgets behandeln, als würde es sich einfach um ein weiteres Haushaltsgerät handeln: Einstecken und nicht weiter darüber nachdenken. Unglücklicherweise benötigten jedoch selbst besonders einfach zu nutzende, wartungsfreie Router ein Minimum an Aufmerksamkeit. Dazu gehört es, die Standardeinstellungen zu ändern und komplexe Passwörter zu verwenden. Standard in der IT von Unternehmen, sollte man annehmen, so Green.
Die Realität sehe allerdings anders aus, so der Experte weiter, und "Defaultitis" sei erheblich weiter verbreitet, als man glauben sollte. Nachzulesen unter anderem im Verizon DBIR von 2014, der sich insbesondere mit Angriffen auf PoS-Systeme beschäftigt. Üblicherweise suchen Hacker nach öffentlichen Ports und anschließend nach schwachen Passwörtern auf PoS-Servern oder -Geräten. Dies sind entweder solche, die nie geändert worden sind, oder solche die ausschließlich aus Bequemlichkeit vergeben wurden, etwa "admin1234".
Dies ist genau die Technik, derer sich das Mirai-Botnet bei seinem Angriff auf IoT-Kameras bedient hat. Selbst wenn Angreifer andere gängige Methoden wie beispielsweise Phishing verwenden, können sie sich Schwachstellen innerhalb der internen firmeneigenen Software zu Nutze machen, bei der die Default-Einstellungen beibehalten worden sind. So geschehen beim Mega-Hack auf die US-Handelskette Target. Die Hacker wussten bereits, dass es bei Target einen Account gab, bei dem die Standardeinstellungen leichtsinnigerweise beibehalten wurden. Es handelte sich um eine beliebte IT-Management-Software. Sich dieses Accounts zu bemächtigen war laut Green vergleichsweise simpel. Anschließend wurde genau dieses Konto mit zusätzlichen Rechten ausgestattet, was es den Angreifern erlaubte, unzählige Kreditkartendaten zu stehlen und aus dem Netzwerk heraus zu schleusen.
Für diejenigen, die wie eingangs erwähnt, davon ausgehen, dass die Mirai-Attacke wenig bis gar nichts mit Unternehmens-IT zu tun hat oder für diejenigen, die ihre Vorgesetzten vom Gegenteil überzeugen wollen, hier die laut Green zwei wichtigsten Lehren:
"Erstens: Die wichtigste Lektion, die uns das Mirai-Botnetz erteilt hat, ist, dass es immer Lücken an der Netzwerkgrenze geben wird. Wenn man von den allgegenwärtigen Phishing-Kampagnen einmal absehen will. Es wird weiterhin Schwachstellen in Routern, Netzwerkgeräten und anderen Infrastrukturkomponenten geben. Und die erlauben es Hackern ins Netzwerk zu gelangen."
Zweitens gilt laut Green: "Die menschliche Natur lässt sich nur sehr viel schwerer ändern, als es uns in der IT-Sicherheit lieb ist. Und so ist mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass die Defaultitis weiter grassiert. Unternehmenssoftware gehört nicht wirklich zu den simpelsten Tools. Für IT-Abteilungen hat es deshalb Priorität, Applikationen und Systeme so schnell wie möglich ans Laufen zu bekommen. Nicht selten werden dann Standardeinstellungen und schwache Passwörter beibehalten, in der Hoffnung, dass der Benutzer sie dann selber ändert. Für Unternehmen wird das ein Problem bleiben."
Seinen Bericht schließt der Varonis-Mann mit folgender Erklärung: "Man kann getrost davon ausgehen, dass es Hackern immer wieder gelingen wird, die erste Verteidigungslinie eines Unternehmensnetzwerks zu durchbrechen oder zu umgehen. Traditionelle Sicherheitssysteme sollte man deshalb ergänzen, um das Netzwerk im Hinblick auf potenzielle Eindringlinge zu überwachen. So gesehen kann man fast dankbar für die Mirai-Lektion sein. Das Vorkommnis hat jedenfalls sehr deutlich gezeigt, dass Unternehmen den Blick nach Innen richten sollten, wenn sie Datenschutzmaßnahmen planen und Risiken senken wollen."
Weitere Informationen gibt es unter blog.varonis.com/author/agreen/ .
Lesen Sie mehr zum Thema
