Ein Internet der tückischen Dinge

Viele Science-Fiction-Geschichten handeln von gewöhnlichen Haushaltsgeräten, die eine Revolte inszenieren. In einer Folge von Futurama , Toaster und Heimroboter erheben sich gegen ihre menschlichen Unterdrücker. Zwei Trends lassen solche Szenarien jetzt weniger weit hergeholt erscheinen.





Eine davon ist die Welle von Internet-of-Things-Geräten, die für Privathaushalte entwickelt werden – die letzte Woche auf der CES-Messe vollständig ausgestellt wurden. Der andere ist das zunehmende Hacken von Heimnetzwerkgeräten – wie eine kürzlich entdeckte Zombie-Horde von Heimnetzwerk-Routern demonstriert.

Dutzende von Unternehmen zeigten auf der CES mit dem Internet verbundene Geräte und Anwendungen, von intelligenten Glühbirnen bis hin zu per Smartphone gesteuerten Waschmaschinen. Samsung versprach sogar, bis 2020 alle seine Produkte mit dem Internet zu verbinden (siehe CES 2015: The Internet of Just About Everything).

In der Zwischenzeit hat Brian Krebs, ein Sicherheitsforscher und Autor, letzte Woche enthüllt dass Hacker ein Netzwerk namens Lizard Stressor aufgebaut haben, mit dem andere Personen Websites offline schalten können, entweder um ein Ärgernis zu schaffen oder für kriminelle Zwecke. Netzwerke von PCs oder Servern, die in Bots umgewandelt werden, sind nichts Neues. Was Krebs jedoch aufgedeckt hat, ist, dass Lizard Stressor auf Router angewiesen ist, die in Heimen und kommerziellen Netzwerken verwendet werden. Infizierte oder kompromittierte Geräte, die mit einem Heimnetzwerk verbunden sind, könnten für schändlichere Zwecke verwendet werden. Sie könnten einen Ausgangspunkt für das Eindringen in PCs bieten oder dazu verwendet werden, Daten zu erfassen, die über das Heimnetzwerk übertragen werden, einschließlich Passwörtern oder Kreditkartendaten.



Die Leichtigkeit, mit der diese Router kompromittiert wurden, ist vielleicht nicht überraschend. Es ist gut dokumentiert, dass die meisten Heimrouter mit einfach auszunutzender Software oder mit einem administrativen Kontrollfeld geliefert werden, das einen Standardbenutzernamen und ein Standardpasswort wie admin verwendet.

Intelligente Geräte umfassen typischerweise ähnliche Netzwerkfunktionen. Und da immer mehr Haushaltsgeräte computerisiert und mit dem Internet verbunden sind, könnten Hacker ihre Aufmerksamkeit auf diese neuen Ziele richten.

Verschiedene Faktoren tragen zur Unsicherheit von Heimnetzwerkgeräten bei. Verbraucher kaufen Geräte in der Regel nicht auf der Grundlage der Sicherheitsanforderungen, die von IT-Experten verwendet werden, wie z. B. eine Garantie für Betriebssystem-Upgrades für einen festgelegten Zeitraum. Vielmehr fördert der niedrige Preis die Kaufgewohnheiten, und Funktionen sind bei billigerer Hardware, selbst bei großen Anbietern, ungleichmäßig enthalten.



Es besteht auch eine Spannung zwischen der Erhöhung der Sicherheit und der Vereinfachung der Dinge für die Benutzer. Das Festlegen eines eindeutigen Kontonamens und Kennworts für jeden Router wäre relativ trivial, ebenso wie das Erfordernis eines physischen Schritts während der Authentifizierung, wie z. B. das Einstecken eines USB. Aber solche Sicherheitsmaßnahmen frustrieren viele Benutzer. Und das führt dazu, dass sie den Kundendienst anrufen und solche Geräte an den Laden zurückgeben.

Selbst wenn Geräte sicher konzipiert sind, können offene Ports, die eine legitime Kommunikation mit anderen Computern ermöglichen, einen unbeabsichtigten Fernzugriff ermöglichen, und Software kann veraltet sein. Im September sprach eine Firma von 1,2 Millionen Routern mit einem gemeinsamen Protokoll konnte leicht angeschnitten werden . Im Dezember wurde noch ein 2002 gepatchter Bug gefunden existieren auf 12 Millionen Heimroutern . Eine gängige Methode für ISPs, um auf Kundenrouter zuzugreifen, ist ebenfalls ein wahrscheinlicher Exploit-Pfad für Millionen von Geräten.

Geräte – auch die von großen Herstellern – werden aus drei Gründen in der Regel nicht aktualisiert: Hersteller stellen den Support ein, um die Kosten niedrig zu halten; Hersteller gehen unter oder verlassen das Geschäft; und Kunden sind möglicherweise nicht in der Lage, den technischen Vorgang des Firmware-Upgrades zu bewältigen, was das Herunterladen eines Patches und das Hochladen eines Patches über eine Verwaltungsschnittstelle in einem Webbrowser beinhalten kann.



Weltweit sind bereits Hunderte Millionen Heim- und Kleinbüro-Router im Einsatz. Die Zahl der Internet-of-Things-Geräte wird heute auf vier bis fünf Milliarden geschätzt und soll innerhalb von fünf Jahren auf 25 bis 50 Milliarden anwachsen. Solche Geräte können ähnliche Schwächen aufweisen wie Geräte für Heimnetzwerke, insbesondere wenn Unternehmen sich beeilen, neue Produkte zu produzieren.

Einige Regulierungsbehörden scheinen sich der Fallstricke bewusst zu sein und scheinen bestrebt zu sein, die Art von Schwachstellen zu verhindern, die frühere Generationen von eingebetteten Geräten betrafen. Die Vorsitzende der US-amerikanischen Federal Trade Commission, Edith Ramirez, lieferte eine achtseitige Grundsatzrede auf der CES, in der sie die Bedenken ihrer Agentur in Bezug auf Datenschutz, Datenerfassung und Sicherheit darlegte und Gerätehersteller für das Internet der Dinge darauf aufmerksam machte. Vielleicht hören sie diesmal zu.

verbergen