Nach Mirai und den DDos-Angriffen im letzten Jahr meldeten die Sicherheitsfirmen Netlab 360 und Check Point nun die nächste Gefahr für das Internet der Dinge: IoT Reaper. Die Antworten auf die dringlichsten Fragen im Überblick.
Was unterscheidet Reaper von Mirai?
Die Code-Analyse deckte offensichtliche Parallelen zwischen Reaper und Mirai auf. Dabei ist Reaper eine Art optimierte Version des Mirai-Quellcodes. Der größte Unterschied zwischen den beiden Botnets: Während Mirai sich voreingestellte oder schwache Passwörter zunutze machte, scannt Reaper die IoT-Geräte nach Software-Schwachstellen und Exploits, über die das Botnet sich dann Zugriff auf die Systeme verschafft. Anschließend werden die Geräte in eine Command-and-Control-Plattform eingegliedert, wodurch das Botnet weiter wächst. Insgesamt sind neun spezifische Firmware Vulnerabilties bekannt, die in Heimrouter, Videokameras und anderen IoT-Geräten ausgenutzt wurden.
Wie gefährlich ist Reaper?
Zwar scheint das Botnet wohl kleiner und weniger gefährlich als ursprünglich angenommen, die Gefahr für Unternehmen wie Gerätehersteller bleibt jedoch bestehen. Sicherheitsexperten schätzen die Anzahl der infizierten Geräte auf bis zu 20.000. Zwei Millionen weitere Hosts seien potenziell gefährdet, gehörten aber nicht zum Botnet. Die Verbreitung könne sich aber jederzeit ändern. Die Malware wird kontinuierlich überarbeitet und aktualisiert, so dass auch neue Schwachstellen jederzeit ausgenutzt werden können. Zwar stehen Patches für die Mehrzahl der Vulnerabilities zur Verfügung, viele Anwender und auch Unternehmen versäumen es jedoch, die notwendigen Updates durchzuführen, um IoT-Geräte zu patchen und Sicherheitslücken zu schließen.
Was können Hersteller tun?
Die erste Instanz einer effizienten Sicherheitsstrategie ist ein umfassender Einblick und eine kontinuierliche Überprüfung des in der Software eingesetzten Codes. Dies ist nicht immer selbstverständlich. Insbesondere im Bereich Open-Source wissen Hersteller oft nicht, welche Komponenten in welcher Software und in welchem Gerät verwendet werden. Daher gilt es, die in die Firmware eingesetzte OSS zu verwalten, zum Beispiel über entsprechende Software-Stücklisten, die mit bekannten Sicherheitslücken abgeglichen werden können. Zu finden sind diese unter anderem in der National Vulnerability Database. Allerdings sollten sich Unternehmen nicht allein auf öffentlich zugänglichen Datenbanken verlassen. Nur mit den richtigen Prozesse und Tools erhalten sie tatsächlich frühzeitig und zuverlässig Warnmeldungen über neue Schwachstellen in Open-Source- oder Drittanbieter-Komponenten.
Die meisten Geräte bleiben ungepatcht, weil Anwender nicht wissen, dass ein neues Update zur Verfügung steht. Und nur eine kleine Gruppe sucht aktiv und regelmäßig nach Updates für ihre Software oder Firmware. Anbieter, die wissen welche Kunden welche Softwareversion auf welchem Gerät nutzen, können hier ihr Software-Monetarisierungs-Backoffice nutzen, um Anwender von anfälligen Geräten im Ernstfall sofort zu benachrichtigen. Zudem lassen sich Software / Firmware-Update-Lösungen integrieren, die, sobald die Geräte verbunden sind, automatisch neue Updates anfordern.
Was können Software-Nutzer tun?
Neben regelmäßigen Patches und Updates, um Software und Firmware der Geräte auf den neuesten Stand zu halten, sind standardmäßige Benutzernamen / Passwort-Kombinationen in jedem Fall zu vermeiden. In manchen Fällen lohnt es sich zu prüfen, ob das Gerät überhaupt mit dem Internet verbunden sein muss.
Warum sind IoT-Geräte so gefährdet?
Software-Schwachstellen sind für Botnets immer wieder Einfallstore, um IoT-Geräte zu infizieren und Angriffe zu starten. Die vernetzten Geräte sind ein ideales Angriffsziel, da sie häufig durchgehend an High Speed Netzwerkverbindungen angebunden sind, auf Linux basieren und für einen eingeschränkten Rollout ausgelegt sind. Zudem fehlen den meisten Geräten Monitoring-Systeme, Filter oder Protokolle, die vor einer Infiltration warnen.
Trotz der vorsichtigen Entwarnung in Sachen Reaper sind IoT-Hersteller wie Anwender also gut beraten, entsprechende Sicherheitsstrategien zu etablieren. Klar ist, das IoT ist und bleibt Angriffsziel von Hackern. Und das nächste Botnet steht mit großer Wahrscheinlichkeit bereits in den Startlöchern.
Nicole Segerer, Head of IoT Deutschland, Österreich und Schweiz bei Flexera