The Internet of Things strikes back!
Heute Morgen mussten große Webseiten wie Twitter oder Spotify sich einem neuen, unbekannten Feind stellen. Smarten Haushaltsgeräten! Was nach einem Farin Urlaub-Songtext klingt, wurde bittere Wirklichkeit, denn vernetzte Smart-Home-Devices dienten den AngreiferInnen als Waffen für eine DDoS-Attacke unbekannten Ausmaßes. Doch wie konnte es überhaupt so weit kommen? Wozu ist das Internet of Things fähig?
IoT-Botnet legte Twitter lahm
Auf der einen Seite werden Rechner-Netzwerke im Laufe der Zeit immer umfangreicher und durch den permanenten Zuwachs wohl kaum sicherer. Doch grundsätzlich wogt ein ewiger Kampf zwischen Hackern und Schützern. Wenn die eine Seite nachrüstet, dann tut das auch die andere. IT-ExpertInnen sind bemüht, mit immer aufwändigeren Verschlüsselungsmethoden und Authentifizierungsszenarien die Sicherheit in deren Netzwerken zu erhöhen. Mit zunehmender Komplexität wird das zum Kampf gegen Windmühlen. Nicht auszumalen, was passieren würde, wenn atomare Abschusscodes, Bankenregister oder die weltweite Kommunikation so einfach lahmgelegt werden könnten (Stichwort: StuxNet).
DDoS, was ist das eigentlich?
Das Internet of Things ist allerdings ein etwas neueres Betätigungsfeld. Erst seit der Adressraum des Internets durch IPv6 auf eine schier endlose Anzahl an möglichen Endgeräten erweitert wurde, beginnen HerstellerInnen allmählich, alles ins Web zu lassen: Toaster, Kühlschränke, Beleuchtungs- und Beschattungssysteme. All diese Geräte verfügen über die Möglichkeit, über das Internet-Protokoll miteinander zu kommunizieren. Und auch, wenn die Befehlssätze, über die diese Geräte ins Internet kommunizieren, eingeschränkt sind, reicht schon eine einfache Verbindungsanfrage aus, um gröberen Schaden anzurichten. Nicht von einem einzelnen Gerät, aber von tausenden Geräten gleichzeitig (sogenannten Bot-Netzwerken). Ziel der Hacker ist es, also möglichst viele dieser Geräte unter ihre Kontrolle zu bringen. Mit einer Armee aus Millionen smarter Kühlschränke lässt sich die Lautstärke solcher Anfragen praktisch beliebig skalieren. Und wenn man ein bestimmtes Ziel, in diesem Falle z.B. Twitter anvisiert, kann das die Server des Web-Nachrichtendienstes ordentlich ins Schwitzen bringen.
Der Server muss antworten
Denn das Internet-Protokoll sieht vor, dass der Empfänger einer solchen Verbindungsanfrage auch die entsprechende “Antwort” zurückschicken sollte. Echte NutzerInnen von potenziellen AngreiferInnen zu unterscheiden, ist oft gar nicht so einfach. Insbesondere, wenn es sich um ein gut getarntes Netzwerk von Zombie-Geräten handelt, die über die ganze Welt verstreut sein können. Diese Form des Angriffs nennt man DDoS, Distributed Denial of Service.
Stümperhafte Umsetzung
Und als hätte man aus der Vergangenheit nichts gelernt, statten HerstellerInnen ihre ach so smarten Gerätschaften mit stümperhaften (oder gar keinen) Sicherheitsvorkehrungen aus. Teilweise ohne Verschlüsselung, und mit Standardpasswörtern ausgestattet, bieten selbst die kleinsten IoT-Devices ein scheunenbreites Einfallstor für potenzielle AngreiferInnen. Doch solange die Funktion und die Time-to-Market eines IoT-Produkts die Marschrichtung vorgeben, bleibt kaum Zeit (und Budget) sich um die Sicherheit der Endkunden, oder des restlichen Netzes Gedanken zu machen. Es liegt also an der Datensicherheits-Aufklärung, hier klar Schiff zu machen, und das Smart-Home auch zu einem Safe-Home zu machen. Sonst waren Attacken wie die heute Morgen nicht die Letzte dieser Art.
Ui, das Lied habe ich schon zu lange nicht mehr gehört! Gleich anschließend “Gestern Nacht ist meine Freundin explodiert” und “Claudia hat ‘nen Schäferhund” aufgedreht 😀