Was am vergangenen Freitag passiert ist, klang für viele bereits nach einem Worst-Case-Szenario: Aufgrund von Angriffen gegen den Internetdienstleister Dyn waren zahlreiche große Webseiten stundenlang nicht zu erreichen – darunter unter anderem Twitter, Spotify oder auch der Bezahldienstleister Paypal. Doch in Wirklichkeit könnte dies nur eine kleiner Vorgeschmack auf kommende Bedrohungen sein, warnen nun Sicherheitsexperten.

DDoS

Laut einer ersten Analyse von Dyn wurden die eigenen Server von mehreren Dutzend Millionen Internet-Adressen gleichzeitig angegriffen – eine klassische Distributed Denial of Service-(DDoS)-Attacke also. Auch wenn die finale Analyse noch einige Zeit in Anspruch nehmen wird, so sei doch jetzt schon klar, dass eine Malware namens Mirai eine entscheidende Rolle gespielt hat. Diese stützt sich zur Gänze auf Geräte aus dem Bereich des Internet der Dinge – vom digitalen Videorekorder bis zu Sicherheitskameras und Druckern.

Mirai hatte in den letzten Monaten immer wieder für Schlagzeilen gesorgt, zuletzt etwa vor ein paar Wochen, als die Malware ein riesiges Botnetz gegen den Sicherheits-Blogger Brian Krebs in Stellung brachte, und so dessen Webseite mehrere Tage lang nicht mehr erreichbar war. Vor kurzem wurde dann der Source Code von Mirai veröffentlicht, und dieser Einblick darf für die Zukunft durchaus Sorgen bereiten. Denn was an Mirai verblüfft, ist vor allem welch einfacher Methoden es sich bedient.

Ausprobieren

Wurden in der Vergangenheit vor allem Windows-Rechner mittels Sicherheitslücken zu Teilen eines solchen Botnetzes gemacht, beschreitet Mirai einen wesentlich simpleren Weg: Es probiert einfach werkseitig von den Herstellern festgelegte Login- und Passwort-Kombinationen aus, zum Teil bedient man sich dabei auch nicht öffentlich dokumentierter Hintertüren. "Dank" solch grundlegender Schwachpunkte ist man damit schnell einmal bei mehreren Millionen Geräten erfolgreich. Für einen vernichtenden Angriff ist dies mehr als genug, und doch ist dies nur ein kleiner Teil der 15 Milliarden Geräte aus dem Bereich des "Internet der Dinge", die derzeit schon im Umlauf sind, Tendenz rasch wachsend.

Effektive Attacke

Auch wenn die Angreifer für die aktuelle Attacke offenbar ein neues Mirai-Netz mit anderen Geräten aufgebaut haben, ist doch davon auszugehen, dass sie sich ähnlich simpler Methoden bedient haben. Immerhin lassen sich damit leicht Attacken mit einem Volumen von 1 Tbit/s und mehr erzeugen, wie die letzten Wochen gezeigt haben. Und solch einer Belastung können weltweit nur wenig Betreiber etwas entgegensetzen. So gab etwa das Content-Deliver-Network Akamai den Schutz von Krebs' Blog im Laufe der Attacken gegen den Sicherheitsexperten auf, da sonst das gesamte eigene Netzwerk in Mitleidenschaft gezogen worden wäre. Erst als Google dann Krebs unter die Fittiche seines Anti-DDoS-Schutz "Project Shield" nahm, war die Webseite wieder zu erreichen.

Mit dem Ausnutzen von kritischen Sicherheitslücken gibt man sich hier also noch gar nicht ab, schlicht weil man es nicht nötig hat. Dies bedeutet auch, dass es für Angreifer noch einiges an brachliegendem Potenzial gibt, wie Linux-Entwickler Matthew Garrett, der sich zuletzt auch immer intensiver mit der (Un)Sicherheit solcher Geräte befasst hat, warnt. Für viele Anbieter solcher Geräte sei Sicherheit geradezu ein Fremdwort, Updates zur Bereinigung von Sicherheitslücken seien die absolute Ausnahme.

Was tun?

Die entscheidende Frage sei, wie man solche Attacken in den Griff bekommen kann, und auch hier zeichnet Garrett kein sonderlich erfreuliches Bild. In der Realität sei kaum zu erwarten, dass sich die Sicherheitssituation dieser Geräte verbessern werde. Eine schnelle Suche nach IP-Kameras auf Amazon würde 30.000 Listings liefern, dass man all die dahinter stehenden Billighersteller zu einer vernünftigen Sicherheitspolitik überreden kann, sei kaum zu erwarten. Auch von regulatorischen Maßnahmen hält Garrett nur wenig, bei solch Billiggeräten sei es alleine schon aufgrund der damit einhergehenden Kosten unrealistisch, dass alle Hersteller jedes einzelne Modell über Jahre hinweg mit Updates pflegen.

Im Endeffekt bleibe wohl also nur eine Maßnahme über: Die Internet-Provider müssten ihren Kunden, die an Botnetzen beteiligt sind, schlicht das Internet abdrehen, bis sie das problematische Gerät aus ihrem Netzwerk entfernen. Klar sei aber jedenfalls eines: Bevor die Situation besser werde, werde sie sicher noch um einiges schlechter, liefer Garrett einen düsteren Ausblick. (Andreas Proschofsky, 24.10.2016)