Open Source im professionellen Einsatz

Was tun mit unsicheren IoT-Devices?

24.10.2016

Ein gutes haben die massiven DDOS-Angriffe mit Hilfe angreifbarer IP-Cameras, digitaler Videorekorder und anderer IoT-Geräte: Es gibt nun eine Debatte, wie sich solche Devices besser schützen lassen. Doch selbst Security-Forscher Matthew Garrett fehlt bislang eine rettende Idee.

507

Garrett kümmert sich nicht nur bei Core OS um die Sicherheit, sondern klopfte in der Vergangenheit auch auf Amazon verschiedene IoT-Geräte auf ihre Sicherheit hin ab. Er kennt die damit verbundenen Probleme also zur Genüge. In einem lesenswerten Blogeintrag setzt er sich nun mit möglichen Lösungen für das Problem unsicherer IoT Devices auseinander.

Einen Rückruf der defekten Geräte durch ihre Reseller schließt er aus. Die hätten schlicht nicht die Kapazitäten, oft fehlt zudem eine legale Präsenz in dem Land, in dem das Gerät zum Einsatz kommt. Im Prinzip müssten zudem sämtliche Käufer der Geräte ausfindig gemacht und dann angeschrieben werden, ihre Geräte zu retournieren. Das sei nicht nur unpraktisch, sondern größtenteils auch unmöglich. Erreichen solche Anschreiben dennoch die richtigen Nutzer, würden sie diese schlicht ignorieren.

Sollen ISPs blocken?

Ein aggressiveres Vorgehen bestünde darin, dass ISPs solche Zombie-Geräte blocken. Das würde aber häufig ganze interne Netzwerke lahmlegen und träfe eine große Zahl kleiner Firmen und unbedarfter Privatanwender. Botnetze agieren zudem weltweit, es würde nichts helfen, wenn amerikanische ISPs den Traffic blockieren, das Botnet aber in den Rechenzentren anderer Länder sitzt. Auch keine Lösung sei es, komplette Länder vom Internet abzuschneiden.

Geräte untersuchen?

Realistischerweise müsste man also überlegen, wie man solche Angriffe in Zukunft verhindern will. Häufig seien die Lücken trivial auszunutzen, bestehen aus hardkodierten Passwörtern und offenen Telnet-Zugängen. Solche Sachen ließen sich auch ohne großes Security-Wissen entdecken, angesichts der Menge an IoT-Devices wäre dazu aber viel Personal nötig.

Allerdings gibt es eine Menge Lücken, die nicht so trivial seien. Es koste Garrett etwa einen Tag, das Gerät zu zerlegen, die Firmware zu extrahieren und per Reverse Engineering zu untersuchen. Für die 30 000 IP-Kameras auf Amazon bräuchte man also 100 von seiner Sorte und die würden ein Jahr Arbeit haben. Es wäre nicht nur eine Sisyphos-Arbeit, sondern würde dennoch nicht alle potenziellen Sicherheitslücken in der Firmware aufdecken, die etwa Bugs und neue Apps verursachen. Es reiche, wenn ein Angreifer eine neue Lücke entdeckte.

Aus der Ferne patchen?

Solche Kontrollen sind also schwierig. Vielleicht lassen sich die Geräte aber aus der Ferne reparieren? Auch das würden viele Firmen nicht leisten können oder wollen. Während die verwundbaren Devices weiter vor sich hin werkeln, würden die zugehörigen Firmen bereits unter neuem Namen andere Geräte verkaufen. Angreifer würden zudem den Update-Mechanismus deaktivieren.

Alle genannten Lösungen hält Garrett also für schwierig. Die harte Realität sei wohl, schreibt er am Ende seines Eintrags, dass die Dinge erst mal schlimmer werden, bevor sie sich verbessern. Was allerdings fehlt, sind politische Lösungen über ein Kontroll- und Strafsystem, etwa Zertifizierungen vor dem Verkauf bei Strafen aufgrund von Verstößen. Offenbar scheinen ihm solche Lösungen schwierig bis gar nicht zu erreichen, denn sie müssten global funktionieren.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.