17. Juli 2017

IoT: Wie Haushaltsgeräte zum Feind werden können

Ob digitales Radio, Fitness-Uhr oder Thermostat –  immer mehr Alltagsgegenstände gehen online und sind somit IoT-Geräte. Was viele Nutzer aber nicht wissen: Diese haushaltsüblichen Geräte können Ziel von Hackerangriffen in der eigenen Wohnung werden. So könnten persönliche Daten wie private Gespräche aufgenommen und im Darknet weiterverkauft werden. Wie genau unsere IoT-Geräte “gekidnappt” werden und zum Feind überlaufen, erfahren Sie hier.


Michal Salat

Zum Gastautor:
Michael Salat, seit 2010 bei Avast, ist heute als Director of Threat Intelligence tätig. Er ist Experte auf dem Gebiet Cybersecurity und Cybercrime und nutzt sein umfangreiches Wissen, um zusammen mit seinen Kollegen Millionen digitale Geräte vor Schadsoftware zu schützen und Aufklärungsarbeit zu leisten.


IoT-Geräte als getarnte Roboter

IoT-Geräte können sich in Bots verwandeln, die blindlings Befehle ausführen und als Teil eines Botnetzes Verbrechen begehen. Ein Botnet ist ein Netz infizierter Geräte, die in die Kontrolle eines Cyberkriminellen geraten und dann unter seinem Befehl DDoS-Angriffe lancieren und Bitcoin-Mining betreiben oder Spam-Emails verbreiten. Praktisch jedes Gerät, das mit dem Internet verbunden ist, kann auf diese Weise gekidnappt und von einem Botnet gekapert werden. IoT-Geräte werden häufig für eine Bot-Armee “rekrutiert”, weil sie nicht oder nur schwach gegen Sicherheitsbedrohungen geschützt und deshalb leichte Opfer sind.

Derzeit werden Botnets hauptsächlich für DDoS-Angriffe sowie zum Ausbeuten von Kryptowährungen (die sich sogar auf DVRs eingenistet haben) eingesetzt. Aber sie sind durchaus in der Lage, mit Hilfe von Tausenden von IoT-Geräten noch ganz andere kriminelle Taten auszuführen: Botnets können Spam-Nachrichten verschicken, angefangen von Phishing-Emails mit Schadsoftware, die Kennwörter oder finanzielle Daten erbeutet, bis zu betrügerischen Pump-and-Dump-Aktionen, bei denen Benutzer mit “heißen Tipps” dazu verleitet werden, Wertpapiere zu erwerben, um spontane Kurssteigerungen zu verursachen. Botnets können auch Click-Jacking-Kampagnen durchführen, falsche Werbeanzeigen verbreiten und – was noch schlimmer ist – weitere IoT-Geräte infizieren.

Dunkle Machenschaften an dunklen Orten

Wie die meiste Schadsoftware tummeln sich auch die Botnets auf den Marktplätzen des Darknet. Man kann sie mieten oder, wie dies beim Mirai-Botnet der Fall war, als Botnet-Quellcode auch kaufen und publik machen. Die Preise variieren zwischen zehn und hunderten von Dollar, je nach Art des Service, der Menge der Bots oder der Geräte, die dem Botnet angehören. Im Fall einer DDoS-Attacke bestimmt sich der Preis nach der Intensität und Dauer des Angriffs.

Aufgrund des Konkurrenzverhaltens im Darknet rivalisieren die Botnets auch gegeneinander. Wenn ein IoT-Gerät bereits infiziert ist, kann ein anderes Botnet versuchen, diese Infektion durch den eigenen bösartigen Code zu ersetzen bzw. in manchen Fällen auch die vorher ausgenutzte Sicherheitslücke zu “reparieren”, um eine erneute Attacke des vorherigen Feindes zu verhindern und dafür die eigene Position zu festigen.

IoT-Geräte wechseln auf die böse Seite

Im Moment mag es noch aussehen, als ob IoT-Geräte, die im Verbund eines Botnet Befehle ausführen, nicht allzu viel Schaden anrichten. Aber was wird passieren, wenn die Cyberkriminellen einen Schritt weitergehen?

Forschern gelang es durch die Modifikation der Firmware einer Glühbirne auch die Firmware von smarten Glühbirnen in der Nähe zu verändern. (Bild: iStock / mikkelwilliam)

Bereits jetzt wissen wir, dass es möglich ist, ganze IoT-Netze über ein einziges Gerät zu infizieren, wie simulierte Proof-of-Concept-Angriffe bewiesen haben. In einem Fall gelang es Forschern, durch die Modifikation der Firmware einer Glühbirne auch die Firmware von smarten Glühbirnen in der Nähe zu verändern. In einem anderen Fall konnte sich der Forscher Cesar Cerrudo in ein Verkehrssteuerungssystem einklinken und den Verkehr einer Stadt lahmlegen. In seiner Def Con-Präsentation erklärte Cerrudo, dass er die Verkehrssensoren auf den Fahrbahnen mit einem Firmware-Update-Wurm infiziert hatte, die dann weitere Sensoren “ansteckten”.

Solche Proof-of-Concept-Attacken mögen zunächst harmlos erscheinen. Doch wenn man bedenkt, dass inzwischen smarte Städte in Planung sind und in einigen Jahren Städte auf der ganzen Welt miteinander vernetzt sein werden, bedarf es keiner allzu großen Phantasie, um sich die potenziellen Schreckensszenarien auszumalen. Wenn diese IoT-Geräte und Systeme nicht gut geschützt sind, können Hacker, Staaten und Terroristen sie in ihre Gewalt bekommen und dann Chaos erzeugen – allein durch beispielsweise das Ausschalten der Lichter oder Verkehrsampeln.

Doch IoT-Geräte können nicht nur rekrutiert werden, um Angriffe auf Städte auszulösen, sie könnten auch die nächsten Opfer von Ransomware-Angriffen werden. Als im Februar eine Erpressersoftware das Computersystem eines Hotels lahmlegte, funktionierten die Chips in den Zimmerschlüsseln nicht mehr; die Gäste waren ausgesperrt. Auch die Vorstellung, die Temperatur in der eigenen Wohnung nicht mehr steuern zu können, weil eine Ransomware die Kontrolle übernommen hat, wirkt beängstigend. Viele Nutzer wären mit Sicherheit bereit, die geforderte Lösegeldsumme zu zahlen – und würden somit das Geschäft der Hacker weiter fördern.

Natürlich wären Cyberkriminelle nicht nur in der Lage, smarte Heimgeräte mit Ransomware lahmzulegen. Genauso gut könnten sie gezielte Angriffe gegen Personen in wichtigen Ämtern oder Industrieanlagen, Bürogebäude und Fabriken richten.

Spione in den eigenen vier Wänden

Ein gänzlich vernachlässigtes Risiko im Zusammenhang mit IoT-Geräten ist das Ausspionieren von personenbezogenen Daten und das Verfolgen von Bewegungen. IoT-Geräte können eine Vielzahl an Informationen sammeln: Webcams nehmen alles auf, was in ihrem Sichtbereich vorgeht, smarte Fernseher und Personal Assistants können Gesprochenes aufzeichnen und smarte Autos verraten, wenn der Besitzer außer Haus ist.

Hackern gelingt mit Hilfe von IoT-Geräten das Ausspionieren personenbezogener Daten. (Bild: iStock / mikkelwilliam)

Die von einem IoT-Gerät erfasste Datenmenge hängt vom Gerät ab, doch die Art und Weise, wie die Daten an den Hersteller übermittelt werden und wie dieser sie speichert, ist Sache des Herstellers. Der Trend heute geht zur Datenverwahrung in der Cloud – und dies trifft auch auf IoT-Geräte zu. Im Prinzip kann eine über ein Handy verschickte Instruktion an ein IoT-Gerät um die halbe Welt und mehrere Server laufen, bevor der Befehl ausgeführt wird. Diese Information könnte abgefangen oder auf einen bösartigen Server umgeleitet und missbräuchlich verwendet werden, wenn keine entsprechenden Sicherheitsmaßnahmen getroffen wurden. Außerdem können Hacker die von den Herstellern gespeicherten Daten auslesen und persönliche Daten stehlen, etwa Informationen zur Art des Geräts, zur IP-Adresse, zu anderen damit vernetzten Geräten, zum Standort und vieles mehr.

Hacker brauchen gar nicht in einen Unternehmensserver einzudringen, um sich Informationen über die Personen zu beschaffen; stattdessen gehen sie direkt zur Quelle. Es gibt IoT-Suchmaschinen, über die man eine riesige Menge von verletzlichen IP-Kameras aufspüren kann, die von jedermann angezapft werden können. Diese Kameras befinden sich in Läden, Fabriken, Lagerhallen, Parkhäusern, aber auch in Wohnblocks, Garagen, Schlaf- und Wohnzimmern. Menschen, die diese “öffentlichen” Kameras nutzen, haben nicht die geringste Ahnung, dass jede ihrer Bewegungen von anderen beobachtet werden kann.

Auch die Vorstellung, dass ein Hacker Zugriff auf die IoT-Geräte in der eigenen Wohnung hat, ist erschreckend. Er könnte Bewegungen aufzeichnen, private Gespräche mithören und dann einen gezielten Angriff unternehmen oder die Informationen im Darknet weiterverkaufen.

Die Zukunft der IoT-Geräte

Das Internet der Dinge wird von Tag zu Tag größer und bald wird es kaum noch alltägliche Geräte geben, die nicht vernetzt sind. Und in dem Maße, wie die Menge der IoT-Geräte ansteigt, erhöht sich auch die Zahl der möglichen Angriffe. Viele dieser Geräte sind nichts anderes als Miniatur-Computer, die mit dem Internet oder anderen Netzen verbunden sind. Sie sind mit ihren eigenen Betriebssystemen ausgerüstet und im Stande, recht komplexe Rechenoperationen durchzuführen. Sie sind viel mächtiger als gemeinhin angenommen wird.

Je mehr wir uns von solchen smarten Geräten abhängig machen, desto größer ist der Anreiz für Cyberkriminelle, sie ins Visier zu nehmen. Wir alle können uns ein Bild davon machen, wie einzelne smarte Geräte in die falschen Hände geraten und welche Probleme auf uns zukommen, wenn Hersteller ihre Produkte nicht wirksam schützen. Der IoT-Sektor steckt noch immer in den Kinderschuhen, und so bleibt zu hoffen, dass wir auf einen Punkt zusteuern, an dem die Gerätesicherheit eine dramatische Verbesserung erfährt.

Quelle Titelbild: iStock / Onfokus

Schreiben Sie einen Kommentar

Mit einem Netzwerk anmelden, oder das Formular ausfüllen. Die E-Mailadresse wird nicht veröffentlicht. Notwendige angaben sind mit * gekennzeichnet.