IoT-Sicherheit: Erkenntnisse aus dem Mirai-Botnetz-Angriff

Falsch konfigurierte Webcams kompromittieren IoT-Sicherheit
Botnetze stellen eine ernstzunehmende Gefahr dar. Der Kampf gegen sie verlangt ein Zusammenspiel mehrerer Methoden. Experten leiten aus den Angriffen eines Mirai-Botnetzes Ende 2016 acht Empfehlungen zur IoT-Sicherheit ab.

Ende 2016 sorgte ein Botnetz aus Webcams, digitalen Videorecordern und Unternehmens-Webservern für großes Aufsehen: Mittels DDoS-Attacken (distributed denial-of-service) legte das „Mirai-Botnetz“ unter anderem die Webseite des Sicherheitsspezialisten Brian Krebs sowie den DNS-Provider Dyn lahm. Außerdem hängte eine Mirai-Variante, über 900.000 Kunden der Deutschen Telekom vom Internet ab, weil die Schadsoftware deren Internet-Router manipuliert hatte.

Experten haben die Mirai-Angriffe untersucht und leiten daraus acht Empfehlungen ab, wie man sich am besten vor einer Mirai-DDoS-Attacke schützen kann:

  1. Entwickeln Sie umgehend eine DDoS-Verteidigungsstrategie: Vergessen Sie die Security-by-obscurity-Strategie, nach der die Geheimhaltung der Funktionsweise eines Systems dessen Sicherheit gewährleistet. Niemand ist vor einem DDoS-Angriff sicher. Daher sollte jedes Unternehmen umgehend geeignete Abwehrmaßnahmen planen. Verantwortliche sollten sich mit den sehr empfehlenswerten DDoS-Schutzmaßnahmen von Flashpoint befassen.
  2. Untersuchen Sie die DNS-Service-Strategie Ihres Unternehmens: Dyn-Kunden, die vom Botnetz-Angriff betroffen waren, hatten darauf verzichtet, einen zweiten DNS-Provider zu nutzen oder hatten ihre DNS-Server so konfiguriert, dass sie nur auf ein einziges Dyn-Rechenzentrum zugriffen. Es ist sinnvoll, neben den DNS-Services von Dyn auch die anderer Anbieter wie OpenDNS oder EasyDNS zu nutzen.
  3. Installieren Sie DNS-Anycast: Flashpoint empfiehlt, DNS-Anycast zu nutzen. Das ist eine Lösung, die für DNS-Services eine Gruppe von Servern nutzt. Das hat zweierlei Vorteile: Erstens verteilt DNS-Anycast im Fall eines Botnetz-Angriffs den Datenverkehr auf ein verteiltes Netzwerk und reduziert so die Datenlast für die einzelnen Server. Zweitens beschleunigt sich die DNS-Auflösung. Eine Liste mit Managed-Service-Provider findet sich hier.

Lesen Sie auf BVEx auch: Sechs Schritte zum sicheren IoT


  1. Überprüfen Sie Router auf ungewollte DNS-Änderungen (DNS-Hijacking): Das Sicherheitsunternehmen F-Secure stellt ein kostenfreies Tool zur Verfügung, das überprüft, ob die DNS-Einstellungen eines Routers manipuliert wurden. Vor allem private Router, die auf ein Unternehmensnetzwerk zugreifen, sollten untersucht werden.
  2. Booten Sie Router neu: Mirai ist speicherresident. Ein Neustart des Routers beseitigt die Infektion. Weil die Angreifer ihre Scanning-Technologien verfeinert haben und somit Router, die nur durch Standard-Passwörter geschützt sind, erneut infizieren, sollte man unbedingt auch die Passwörter ändern und nachfolgend einen Neustart vornehmen.
  3. Ändern Sie die vom Hersteller vorgegebenen Passwörter aller Netzwerk-Komponenten: Vom Hersteller vorgegebene Passwörter, die nach der Installation nicht verändert wurden, ermöglichte es Mirai, Webcams und Router zu infizieren. Das Tool von F-Secure kann zwar bei der Absicherung von Heimroutern helfen, für den Schutz aller kritischen Netzwerkkomponenten braucht es aber ein komplexeres Programm.
  4. Installieren Sie Netzwerk-Forensik-Lösungen: Unternehmen sollten in der Lage sein, die Angriffsdaten für eine Analyse zu erfassen, um mehr Informationen über die Angriffe und die Angreifer herauszufinden. Mirai nutzte beispielsweise eine Lücke im TCP-Port 7547, um auf die Heimrouter zugreifen zu können. Unternehmen sollten einen Algorithmus installieren, der diesen Port überwacht.
  5. Denken Sie über einen CDN-Provider nach, um Belastungsspitzen beim Datenaufkommen abzufedern: Aufgezeichnete Daten können helfen herauszufinden, ob Web-Server unterdimensioniert sind und ob zusätzliches Load-Balancing oder CDN-Services die Performance verbessern können.

 

Mehr über Mirai-Botnetze und sinnvolle Maßnahmen gegen neuerliche Angriffe der Schadsoftware erfahren Sie hier.

Zusätzliche Informationen über IoT-Sicherheit finden Sie hier.