Gefahrenquelle IoT Geräte
IoT Geräte sind eine Gefahrenquelle die lange Zeit unbeachtet blieb. Ende letzter Woche gab es einen großen DDoS Angriff, worauf zahlreiche Bekannte Webdienste ausgefallen sind. Laut ersten Analysen spielten IoT Geräte dabei eine zentrale Rolle. Ich habe dazu recherchiert und herausgefunden, warum der Raspberry Pi ein gutes IoT Gerät ist.
Gefahrenquelle IoT Geräte
Drucker, Babyphones und Kameras haben am Freitag zu hundert tausenden gemeinsam das DynDNS Service mit laufenden Anfragen blockiert. Dieser DDoS Angriff hatte es darauf angelegt zahlreiche beliebte Webdienste zu blockieren. Twitter, Paypal, Spotify und einige andere auch wurden zeitweise lahmgelegt. Das ging deshalb, das diese Dienste DynDNS Services nutzen.
Warum IoT?
In einem Artikel über die Sicherheitslücke IoT wird das Problem sehr schön in dem Ausdruck „Internet of unpatchable Things“ ausgedrückt. Das beschreibt das Problem voll und ganz. IoT Geräte werden verkauft und genutzt, bestehen aber wie jeder Laptop oder jedes Smartphone immer aus Hardware und Software. Bei einem Laptop wurde der Käufer in den letzten Jahren zusehends darauf trainiert die Updates laufend einzuspielen. Manche Systeme wie Windows spielen diese automatisch ein, sofern man das nicht manuell unterbindet. Durch laufende Sicherheitsupdates bleibt eine Software zumindest auf einem hohen Level sicher. Angreifer haben es so recht schwer bekannte Sicherheitslücken auszunutzen. Der Aufwand für einen Hack ist hoch. Maleware kann eigentlich nur durch die Dummheit des Benutzers eindringen (Download Link im Mail, manuelles Herunterladen von Schadhafter Software).
Keine Updates
IoT Geräte werden nie aktualisiert. Das ist eine Tatsache, wer mir nicht glaubt sollte sich die Frage stellen: „Wann hast du zuletzt die Firmware deines Druckers, Fernsehers oder Kamera aktualisiert?“. Es ist nicht so, dass es keine Updates gäbe. Man kann ein beliebiges Modell eines Druckers nehmen und auf der offiziellen Webseite des Herstellers nach Firmware Updates suchen. Bestimmt findet man dort Versionen die höher sind als die aktuelle Software auf dem eigenen Gerät ist. Dieses Problem wird in Zukunft sogar noch schlimmer: wer würde manuell für jede einzelne Glühbirne ein Softwareupdate einspielen? Tatsächlich ist es sowohl dem Verkäufer als auch dem Kunden egal, ob das IoT Gerät infiziert ist oder nicht. Solange es korrekt funktioniert. Aufregen wird sich der Kunde erst, wenn sein Webservice nicht funktioniert. Selbst dann, wenn seine eigenen Geräte an der Störung schuld sind!
Es sind aber nicht nur die fehlenden Updates die problematisch sind. Meist ist der Hersteller schlampig und verwendet Standardpasswörter für eine komplette Geräteserie. Wer kommt schon auf die Idee bei einem Babyphone oder einer Kamera das Master Passwort zu ändern?
Problemlösung
Im Artikel wird behauptet es gebe zu diesem Problem aktuell keine Lösung. Das stimmt. Ein Lösungsansatz wäre aber der Raspberry Pi. IoT Geräte die auf dem Raspberry Pi basieren könnten durch automatische Updates sicher gehalten werden. Linux ist das Betriebssystem für Server und hat demnach die größte Erfahrung wenn es heißt sicher vor Angriffen zu sein, schließlich steht jeder Server 24 Stunden am Tag als Angriffsziel parat. Genau das wird bei einem mit dem Internet verbundenem IoT Gerät der Fall sein. Es bleibt abzuwarten ob der Angriff am Wochenende zu Reaktionen der Hersteller oder Seitens der Politik kommen wird. Das Gefahrenpotential durch IoT Geräte steigt mit jedem verkauften Gerät. Der Raspberry Pi mit Linux als Basis wäre ein Schritt zu mehr Sicherheit.
Fazit
IoT Geräte lassen sich offenbar recht einfach durch Maleware infizieren und in ein großes Botnetz zusammenzuführen. Ein Gefahrenpotential das leider viel zu lange unterschätzt wurde. Der Raspberry Pi könnte ein Lösungsansatz sein.
Was denkt ihr darüber? Wer hat von euch spielt regelmäßig Firmware Updates ein?
