Digitale Wirtschaft sehr verwundbar
"Es gibt nichts, was man in der IT-Sicherheit von der Mirai-Attacke lernen könnte"
Erschreckend: Es ist eine Tatsache, dass Hacker Firmware angreifen können, also den Hardware-Code, auf dem Geräte wie Router, Telefone, Laptops, aber auch Gadgets basieren
Wie so viele andere haben auch wir uns in den letzten beiden Wochen mit der spektakulären Mirai-Attacke und ihren Folgen beschäftigt. Erst gestern wurde bekannt, dass bei der Hacker-Attacke auf die Telekom deren Router Teil eines weltweiten Bot-Netzes werden sollten, das ebenfalls auf die Mirai-Schadsoftware zurückgeht. Und wir haben einige Reaktionen erhalten. Darunter diese, sinngemäß zusammengefasst: "Um ehrlich zu sein hat der Mirai-Angriff so gar nichts mit IT-Sicherheit in Unternehmen zu tun".
Wahrscheinlich kann man davon ausgehen, dass kein Großunternehmen sicherheitsanfällige CCTV-Kameras für Endverbraucher oder irgendwelche anderen, billigen IoT-Geräte einsetzt, deren Authentifizierung zu umgehen ein Kinderspiel ist. Wir wollen es jedenfalls hoffen. Am Rande sei erwähnt, dass etliche Elektrizitätswerke und Energiekonzerne ihre aus dem 19. Jahrhundert stammende elektrische Infrastruktur mit IoT-Überwachungsmonitoren ausgestattet haben. Ein sicherheitsrelevantes Thema, mit dem wir uns gesondert befassen werden.
Wie dem auch sei, Hintertüren und Schwachstellen wie sie nicht nur in WiFi-Kameras existieren und im Mirai-Angriff ausgenutzt wurden, gibt es ganz offensichtlich genauso in rein geschäftlich genutzten Netzwerken.
Schutzlos am Perimeter?
Im Sommer dieses Jahres hat Cisco einen Exploit mit Namen ExtraBacon veröffentlicht, der es Angreifern erlaubte per Fernzugriff Code innerhalb der Firewall-Produkte des Unternehmens auszuführen. Das war im August. Im Juli entdeckte Juniper in einem seiner Produkte einen Zero-Day-Exploit bei dem selbstsignierte Zertifikate betroffen waren. Mit deren Hilfe konnten die Angreifer den kompletten internen Netzwerk-Traffic abhören.
Noch etwas erschreckender ist die Tatsache, dass Hacker Firmware angreifen können, also den Hardware-Code, auf dem Geräte wie Router, Telefone, Laptops, aber auch Gadgets basieren. Firmware gehört zu den Dingen, die typischerweise nicht digital signiert sind. Das gibt Hackern die Möglichkeit, den Code zu verändern und Malware einzuschleusen, die im Anschluss das entsprechende Gerät übernimmt.
Verantwortlich ist vielleicht ein Insider im Unternehmen, der beispielsweise für eine Cybergang arbeitet und die Malware auf einen Router lädt. Aber es geht noch ein bisschen durchtriebener. Zum Beispiel wenn Cyberkriminelle die Webseite eines Herstellers angreifen und die legitime Firmware durch eine mit Malware verseuchte Variante ersetzen. Die dann auf tausende von Routern und Firewalls weltweit heruntergeladen wird. Wer sich gerne schlaflose Nächte bereitet, dem sei ein Artikel aus dem Jahr 2015, erschienen in Wired empfohlen. Er beschäftigt sich damit, warum Firmware so anfällig für Hackerangriffe ist. Im Übrigen haben unsere freundlichen Feinde von der NSA schon recht frühzeitig begonnen Low-Level-Code als Waffe zu nutzen. Die Tools fanden dann jüngst ihren Weg in die Öffentlichkeit als die NSA selbst Opfer eines erfolgreichen Angriffs wurde. Eine Hackergang namens "Shadow Brokers" hatte NSA-Hackersoftware zum Kauf angeboten.
Alle genannten Beispiele offenbaren eine tiefere Wahrheit. Nämlich, dass es bei derart schwerwiegenden Schwachstellen wenig hilfreich ist, sich ausschließlich auf den Schutz der Netzwerkgrenzen zu beschränken.
Wir sind in Verzug...
Die zweite Lektion, die uns die Mirai-Attacke erteilt hat ist, wie verwundbar wir und nicht zuletzt die digitale Wirtschaft tatsächlich sind, und das nicht zuletzt dank des schon fast sträflich zu nennenden Leichtsinns wenn es um IT geht. Klar, man kann nichtsahnende Verbraucher entschuldigen, weil sie den heimischen Router und ihre IoT-Gadgets behandeln als würde es sich einfach um ein weiteres Haushaltsgerät handeln: Einstecken und nicht weiter darüber nachdenken.
Unglücklicherweise brauchen selbst besonders einfach zu nutzende, wartungsfreie Router (wie LinkSys...) ein Minimum an Aufmerksamkeit. Dazu gehört es, die Standardeinstellungen zu ändern und komplexe Passwörter zu verwenden. Standard in der IT von Unternehmen, sollte man annehmen.
Die Realität sieht allerdings anders aus, und "Defaultitis" ist erheblich weiter verbreitet als man glauben sollte. Nachzulesen unter anderem im Verizon DBIR von 2014, der sich insbesondere mit Angriffen auf PoS-Systeme beschäftigt. Üblicherweise suchen Hacker nach öffentlichen Ports und anschließend nach schwachen Passwörtern auf PoS-Servern oder –Geräten. Und das sind entweder solche, die nie geändert worden sind oder solche die ausschließlich aus Bequemlichkeit so vergeben wurden wie etwa "admin1234".
Und genau das ist die Technik, derer sich das Mirai-Botnet bei seinem Angriff auf IoT-Kameras bedient hat. Selbst wenn Angreifer andere gängige Methoden wie beispielsweise Phishing verwenden, können sie sich Schwachstellen innerhalb der internen firmeneigenen Software zu Nutze machen, bei der die Default-Einstellungen beibehalten worden sind. So geschehen beim Mega-Hack auf die US-Handelskette Target. Die Hacker wussten bereits, dass es bei Target einen Account gab, bei dem die Standardeinstellungen leichtsinnerweise beibehalten wurden (es handelte sich um eine beliebte IT-Managementsoftware). Sich dieses Accounts zu bemächtigen war vergleichsweise simpel. Anschließend wurde genau dieses Konto mit zusätzlichen Rechten ausgestattet, was es den Angreifern erlaubte unzählige Kreditkartendaten zu stehlen und aus dem Netzwerk heraus zu schleusen.
Zwei Punkte
Für diejenigen, die wie eingangs erwähnt, davon ausgehen, dass die Mirai-Attacke wenig bis gar nichts mit Unternehmens-IT zu tun hat oder für diejenigen, die ihre Vorgesetzten vom Gegenteil überzeugen wollen, hier die zwei wichtigsten Lehren:
Die wichtigste Lektion, die uns das Mirai-Bot-Netz erteilt hat ist, dass es immer Lücken an der Netzwerkgrenze geben wird. Wenn man von den allgegenwärtigen Phishing-Kampagnen hier einmal absehen will, es wird weiterhin Schwachstellen in Routern, Netzwerkgeräten und anderen Infrastrukturkomponenten geben. Und die erlauben es Hackern ins Netzwerk zu gelangen.
Die menschliche Natur lässt sich nur sehr viel schwerer ändern als es uns in der IT-Sicherheit lieb ist. Und so ist mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass die "Defaultitis" weiter grassiert. Unternehmenssoftware gehört nicht zu den simpelsten Tools. Für IT-Abteilungen hat es deshalb Priorität Applikationen und Systeme so schnell wie möglich ans Laufen zu bekommen. Nicht selten werden dann Standardeinstellungen und schwache Passwörter beibehalten, in der Hoffnung, dass der Benutzer sie dann selber ändert. Für Unternehmen wird das ein Problem bleiben.
Schlussfolgerung: Man kann getrost davon ausgehen, dass es Hackern immer wieder gelingen wird, die erste Verteidigungslinie eines Unternehmensnetzwerks zu durchbrechen oder zu umgehen. Traditionelle Sicherheitssysteme sollte man deshalb ergänzen, um das Netzwerk im Hinblick auf potenzielle Eindringlinge zu überwachen. So gesehen kann man fast dankbar für die Mirai-Lektion sein. Das Vorkommnis hat jedenfalls sehr deutlich gezeigt, dass Unternehmen den Blick nach Innen richten sollten, wenn sie Datenschutzmaßnahmen planen und Risiken senken wollen.
(Varonis: ra)
eingetragen: 09.12.16
Home & Newsletterlauf: 21.12.16
Varonis Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.