Ist das Internet of Things das neue Ziel für Cyber-Erpressung?

Originalbeitrag von Ziv Chang, Director Cyber Safety Solution

Das Internet of Things (IoT) – also das Netzwerk von Geräten mit eingebetteten Fähigkeiten für das Sammeln und den Austausch von Informationen – zieht schon länger Cyberkriminelle an. Gartner schätzt, dass 2020 mehr als 20,8 Milliarden IoT-Geräte in Gebrauch sein werden, und dass mehr als die Hälfte der wichtigen Geschäftsprozesse und -systeme das IoT nutzen werden. Wie können Cyberkriminelle dieses Potenzial ausnutzen?

Obwohl IoT-Geräte mit neuen Anwendungen und Hardware ausgestattet sind, verwenden sie veraltete Verbindungsprotokolle und Betriebssysteme. Ferngesteuerte Glühbirnen und WLAN-aktivierte In-Vehicle Infotainment (IVI)-Systeme beispielsweise nutzen vor allem Linux und sind in C entwickelt, ohne sichere Compiler-Optionen. Auch setzen sie Protokolle wie TCP/IP (1989, RFC 1122), ZigBee (2004 Spezifikation) und CAN 2.0 (1991) ein, die bei Missbrauch die Geräte für den Zugriff aus der Ferne öffnen können – etwa über einen Man-in-the-Middle-Angriff.

Bild 1. Wie ein TCP/IP Exploit zu einem Man-in-the-Middle-Angriff führen kann

Das Hacking eines IoT-Geräts erfolgt in mehreren Schritten:

Reconnaissance und Proof of Concept (PoC)

Hacker konzentrieren sich auf die Erforschung eines Zielgeräts und spähen Lücken aus, um darüber einzudringen. Dazu gehören solche im Digital Audio Broadcasting in IVIs oder auch Authentifizierungslücken in vernetzten Birnen. Es gibt einige Open-Source Research Tools, die von Hackern missbraucht werden können, so etwa Modbus Fuzzer oder CANard, beide sind über den webbasierten Hosting-Dienst Github verfügbar.

Übernehmen des Geräts

Hacker nutzen verschiedene Angriffsvektoren, um das IoT-Gerät zu kapern:

  • Exploits oder Passwörter, um auf das Gerät zuzugreifen
  • Botnets
  • Distributed Denial of Service
  • Bitcoin-Mining Programm

Maximieren des Schadens

Der Hacker kann dann alle Möglichkeiten nutzen, um einem Opfer Schaden zuzufügen – Blockieren von Bremsen oder des Lenksystems, Verunstalten des Bildschirms usw. Im Juni etwa hatte Flocker, eine berüchtigte Android Lockscreen-Ransomware auf andere Plattformen übergegriffen und Smart TVs gekapert.

Die Sicherheit von IoT-Geräten wurde lange Zeit außer Acht gelassen, und die meisten Anbieter konzentrierten sich vor allem auf deren Leistung und Funktionalität. Diese Situation wird noch verschlimmert durch Suchmaschinen wie Shodan und ZoomEye, die Repositories mit potenziell angreifbaren Geräten und Computer Systemen liefern.

Durch die steigende Akzeptanz von IoT nimmt auch die Beschäftigung mit der entsprechenden Sicherheit zu. Gartner prognostiziert für 2018 weltweite Ausgaben für IoT-Sicherheit von 547 Millionen $. Auch sehen die Analysten im Jahr 2020 25% der identifizierten Angriffe auf Unternehmen im Zusammenhang mit IoT. Tesla und Fiat Chrysler gehören zu denen, die Programme zum Entdecken von Fehlern aufgesetzt haben, um die Sicherheit in ihren vernetzten Autos zu erhöhen.

Zwar ist Cyber-Erpressung oder gar Ransomware in IoT technisch möglich, doch ist es unwahrscheinlich, dass solche Angriffe durchgeführt werden. Das Hacking von IoT-Geräten bedarf der Zeit und der Ressourcen. Auch muss der Angriff personalisiert und auf bestimmte Opfer ausgerichtet werden – Unternehmen oder Branchen, von denen ein Gewinn zu erwarten ist. Es gibt keine allein selig machende Sicherheitslösung für das enorme Netzwerk von Geräten. Gegenmaßnahmen wie die Einführung eines Sicherheits-Audits beim Design von IoT-Software/Hardware, das Aufsetzen separater Sicherheits-Gateways, Endpunkte-Monitoring und Nutzung von Echtzeit-Loginspektion können jedoch die Risiken mindern.

Zusätzliche Einsichten von Martin Roesler

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*