DDOS mit IoT

DDOS mit IoT

Über DDOS mit IoT spricht derzeit die IT-Welt. Eines der großen Themen der vergangenen Wochen war der massive DDoS-Angriff gegen die Website „Krebs on Security“ von Brian Krebs, die offenbar aus kompromittierten IoT-Geräten, darunter Sicherheitskameras, stammte. Wie berichtet wurde, ist der Angriff einer der größten bekannten DDoS-Angriff bis heute, mit über 150.000 beteiligten Geräte, die eine Bandbreite von mehr als 620 Gbps erzeugten.

Vor drei Wochen kam dann die nächste Steigerung: mehr als 20 Millionen Geräte griffen gemeinsam den DNS-Servicedienstleister DYN an. Das Ergebnis war, dass über mehrere Stunden viele prominente Websites nicht erreichbar waren.

Die angreifenden Geräte waren überwiegend sogenannte Smart Devices, die eigentlich gar nichts im Internet verloren haben: Überwachungskameras, Telefonanlagen, Heizungs-Steuerungen, aber auch viele DSL-Router, die über das Internet erreichbar waren. Sie alle waren ungeschützt und mehr oder weniger öffentlich zugänglich. Sie wurden benutzt, um gemeinsam so viele unsinnige Anfragen an Internet-Server zu stellen, dass diese unter der Last der Anfragen zusammenbrachen. Das nennt man DDOS, Distributed Denial of Service. Wenn Sie Schwierigkeiten haben, sich dieses eigentlich sehr einfache Prinzip vorzustellen, dann versuchen Sie es mit diesem Beispiel:

DDOS im Stammlokal?

Sie sitzen in einer Kneipe am Tresen und möchten sich mit Ihrem Nachbarn unterhalten. Um Sie herum sind vielleicht 20 andere Personen, die alle mit normaler Lautsärke auf Sie einreden. Je nachdem, wie gut Sie sich noch konzentrieren können, wird die Unterhaltung mit Ihrem Nachbarn funktionieren. Je mehr auf Sie einreden, desto schwieriger wird es. Irgendwann müssen Sie derart viel Energie aufbringen, um das „Störsignal“ zu bearbeiten, dass Sie sich nicht mehr auf Ihre Unterhaltung konzentrieren können.

Diese DDOS mit IoT-Angriffe sind extrem gefährlich. Die dabei akkumulierten Bandbreiten sind in Grössenordnungen, die jeden Webserver „überrennen“. Die als Gegenwehr eingesetzten Mittel (z.B. Load Balancer, Filter, Content Delivery Networks) sind teuer und auch nur bis zu bestimmten Grössenordnungen wirksam.

Vor kurzem hörte ich anlässlich einer Diskussion zu dem Thema DDOS mit IoT: „Das ist doch Sache der Provider“, als es darum ging, was zu tun sei.
Das ist eine grobe Fehl-Einschätzung. Lassen Sie es mich an einem Beispiel erläutern:

Wer ist schuld?

Wenn ich in meinem Garten eine Leiter zu stehen habe, die nachts von einem Einbrecher dazu benutzt wird, bei meinem Nachbarn über den Balkon ins Haus einzusteigen, dann bin ich mit meinem Verhalten durchaus an der Tat beteiligt. Mein Nachbar wird das jedenfalls so sehen. Und er hat recht. Ich habe dem Einbrecher ein wertvolles Hilfsmittel zur Verfügung gestellt. Mein Fehlverhalten (eine Leiter gehört NICHT frei zugänglich in den Garten!) hat es dem Kriminellen erleichtert, seinem Gewerbe nachzugehen.

Im Netz ist das ähnlich.
Wer ein Gerät, das zu kriminellen Handlungen missbraucht werden kann, öffentlich zugänglich macht, wird sich nach seiner eigenen Verantwortung fragen lassen müssen.

Gemeint sind überwiegend falsch konfigurierte DSL-Router, aber zunehmend auch die bereits angesprochenen Smart Devices wie Heizungsanlagen oder Überwachungskameras.

Es geht aber nicht nur darum, dass mit diesen Geräten Dritte geschädigt werden können. Wie fänden Sie es, wenn Ihnen zu Heiligabend die Heizung abgestellt würde oder Live-Bilder aus Ihrer Wohnung als Stream bei Facebook zu sehen sein würden?

Abwehr-Massnahmen

Was also ist zu tun? Es ist eigentlich ganz einfach. Es genügt, den normalen Menschenverstand zu benutzen.

  1. Zugangsdaten zu Benutzeroberflächen der IoT-Devices sind zu ändern. Wenigstens die voreingestellten Passwörter müssen durch eigene ersetzt werden. Und bitte: verwenden Sie PASSWÖRTER und keine Wörter aus Ihrem Umfeld oder aus der Literatur. Ein ernstzunehmendes Passwort hat mindestens zwölf Zeichen, bestehend aus Gross- und Kleinschreibung, Ziffern, Sonderzeichen etc.
  2. Jedes Netzwerk ist mit einer Firewall vom Internet zu trennen. Und diese Firewall muss in den seltensten Fällen „von aussen“ administriert werden. Die Firewall trennt zunächst (wenigstens zwei) Netze: Internet und lokales Netz. Nichts geht hier durch. Bis auf das, was explizit zugelassen wird. Dafür gibt es Regeln, die den eingehenden und ausgehenden Netzverkehr steuern.
    Auch hier müssen die voreingestellten Zugangsdaten abgeändert werden.

Wenn Sie diese beiden Regeln beherzigen, haben Sie schon SEHR viel getan, um zu erhindern, dass Ihre Geräte von Kriminellen übernommen werden können.

Links zum Thema

  • https://www.heise.de/security/meldung/Rekord-DDoS-Attacke-mit-1-1-Terabit-pro-Sekunde-gesichtet-3336494.html
  • https://www.heise.de/security/meldung/Security-Journalist-Brian-Krebs-war-Ziel-eines-massiven-DDoS-Angriffs-3329988.html
  • http://www.sueddeutsche.de/digital/it-sicherheit-massiver-hacker-angriff-zwingt-populaere-webseiten-in-die-knie-1.3217490

 

Cooles Internet of Things: DDoS-Attacke legt Heizungen lahm

Störungen bei Spotify und Twitter: IoT-Botnet für massiven DDoS-Angriff benutzt