Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
BerichtAnalyse: Kollateralschäden im Internet der Dinge
Was zunächst wie eine bundesweite Störung im Telekom-Netz aussah, entpuppte sich als Angriff, um die Router von fast einer Millionen Kunden in ein Botnetz einzugliedern. Erneut geht es um das Internet der Dinge, das zwar eine vernetzte Welt verspricht, mittlerweile aber ein Risiko für die Infrastruktur des Internets darstellt.
IoT sollte in Idiots of Things umbenannt werden, nach allem was ich nach der Attacke auf Brian Krebs gelesen habe (auf https://news.ycombinator.com und anderen Seiten). Die Hersteller scheinen sich demnach einen Scheiß um die Sicherheit ihrer Geräte zu kümmern.
Natürlich interessiert die das einen Scheiß, weil die Firmen und Hersteller ja immer NOCH MEHR sparen wollen und NOCH MEHR einnehmen wollen. Die Sicherheit solcherlei Geräte steht dabei heutzutage nur noch an zweiter Stelle und ist, aus Sicht der Hersteller, heute schon lange nicht mehr so wichtig, wie man dem Artikel gut entnehmen kann. Zumindest kommt einem dabei dieser Gedanke. Ich weiß nicht, was die Finanzer bei den Herstellern treiben, aber manchmal täte es sehr gut, mehr für die Sicherheit zu verscherbeln und nicht noch krasser zu sparen! Leider merkt man diese Sparwut heutzutage in und bei fast allen großen Firmen/Konzernen.
Natürlich interessiert die das einen Scheiß, weil die Firmen und Hersteller ja immer NOCH MEHR sparen wollen und NOCH MEHR einnehmen wollen. Die Sicherheit solcherlei Geräte steht dabei heutzutage nur noch an zweiter Stelle und ist, aus Sicht der Hersteller, heute schon lange nicht mehr so wichtig, wie man dem Artikel gut entnehmen kann. Zumindest kommt einem dabei dieser Gedanke. Ich weiß nicht, was die Finanzer bei den Herstellern treiben, aber manchmal täte es sehr gut, mehr für die Sicherheit zu verscherbeln und nicht noch krasser zu sparen! Leider merkt man diese Sparwut heutzutage in und bei fast allen großen Firmen/Konzernen.
Das Problem mit Investitionen in die Sicherheit ist halt immer, dass dem zunächst kein Nutzen gegenüber steht. Die Sicherheit verschiedener Geräte lässt sich auch nur schwer vergleichen, weshalb sie bei der Kaufentscheidung für viele Leute keine Rolle spielt. Damit gibt es für die Hersteller dann einfach keinen finanziellen Anreiz da etwas zu tun. Erst eine Haftung für Folgeschäden würde daran womöglich etwas ändern.
Naja so lange die breite Masse nicht mehr Sicherheit fordert, so lange investiert kein Unternehmen. Erst wenn die Kundschaft wegläuft und damit der Gewinn zurück geht wird angefangen etwas zu ändern. Und das muss dann nichtmal unbedingt in die richtige Richtung gehen.
Ich bin für mehr öffentlichkeitswirksame Aufklärung bei solchen Themen, erst wenn die Mehrheit der Bevölkerung versteht, worum es geht und wie wichtig es ist, erst dann wird es genügend Druck geben, etwas zu ändern. Nur auf die Politik will ich mich jedenfalls nicht verlassen, dort herrscht zu oft zu viel Lobbyismus.
Sicherheit im IoT wiederspricht sich leider oft mit dem deutschen Motto "Geiz ist geil". Die billigen IP Cams aus China haben vermutlich in ihrer Entwicklung kaum Schritte zur Sicherheit gegen Angriffe von ausen gesehen.
Generell sind viel zu viele Geräte schlecht oder nicht gegen einfachste Angriffe auf den Code der Microcontroller oder Prozessoren geschüzt.
Router sind da nur ein Posten. Man bedenke welche Wucht ein erfolgreicher Angriff auf iOS oder Android hätte. Damit könnte man nicht nur gezielt DDoS Angriffe führen sondern auch Mobilfunkzellen überlasten.
Es müssen die Nutzer mehr sensiebel mit ihren Geräten umgehen und sich die Folgen einer Internetanbindung klar machen. Die meisten Geräte mit Netzwerkzugang bekommen heute nie Updates ihrer Soft-/Firmware. It doch klar das hier oft uralte Lücken klaffen.
Für unerfahrene Nutzer wären Schwachstellen wohl nur mittels einer Software (einem Antivirus gleich) zu finden. Nur das aufzeigen alleine reicht eben nicht. Die software müsste sie gleich auch stopfen können.
Es wurde viel zu lange, unbesorgt immer mehr Kram ins Netz geballert. Langsam kommt die Rechnung und der wahre Preis dafür raus.
Naja, würde da nicht voreilig den Weltuntergang verkünden. Der simple Grund warum soviele IoT-Geräte derzeit übernommen werden ist dass sie gar nicht geschützt sind, z.b. Kameras kann man zu 90% aller Hersteller frei im Netz finden/auslesen, da ist nichts verschlüsselt oder ähnliches (wenn PW meist Hersteller "1234" Dinger), das ist ja geradezu eine Einladung.
Hier wird einfach am falschen Ende gespart, wenn die Industrie hier nicht freiwillig nachbessert muss eben eine Verpflichtung her, dann löst sich auch das Problem ganz von allein.
P.s. die Router sind ja nicht ausgefallen weil sie nicht gesichert waren sondern weil sie überlastet wurden, das Problem sind ganz andere Geräte die eigentlich nicht fürs Netz konzipiert sind aber unbedingt ans Wlan müssen weils hipp ist.
Also eigentlich sind die Router ausgefallen, weil sie nicht ausreichend gesichert waren und der Versuch immer wieder den Schadcode anzubringen bei eben genau diesem offenen Port zu einer Überlastung des Routers führte.
Es braucht gar keine Verpflichtung. Es reicht völlig aus, die Hersteller für alle entstanden Schäden einschließlich Nutzungsausfällen haftbar zu machen. Dann bessern sie schon freiwillig nach bzw. statten ihre Geräte dementsprechend aus.
drehen wir den Spieß mal um: Solange GeizistGeil Pri***** nur billig kaufen, solange wird sich daran nix ändern ... wir die Käufer haben es in der Hand ( wie bei den Wahlen ) nur die Fresse in Foren aufreißen ändert nix an den Ursachen! Aber es ist ja wie immer sehr viel bequemer die Schuld bei anderen zu suchen!
you get what you paid for!
Zusätzlich ist dabei auch Eigeninitiative gefragt, es reicht eben nicht so ein Billigschrott einfach ins Netz zu hängen, man muss sich auch damit auseinandersetzen! Aber Eigenverantwortung ist in der degenerierten heutigen Gesellschaft ja ebenso Mangelware!
Aber so ist das eben rise; zenith; decadence dieses Schicksal erlitt jede Hochkultur: unseren Zenit haben wir schon lange überschritten.
Kann sein, die Tatsache das aber Schrott überhaupt existieren darf ist ein Unding. Dazu kommt das viele keine Ahnung haben (war bei mir damals auch der Fall wo ich mir ein MS Tech 20 € 500 Watt Netzteil gekauft habe und mich gewundert habe, warum das nach 3 Stunden mit nem lauten Knall nen Abgang gemacht hat.^^
Du kannst nicht davon ausgehen das jeder über alles bescheid weiß, geschweige den die Zeit hat sich mit allem auseinanderzusetzen oder auch das Geld hat um andere die sich auskennen damit zu beauftragen sich um den Kram zu kümmern, über den sie selber nichts wissen.
Aber Eigenverantwortung ist in der degenerierten heutigen Gesellschaft ja ebenso Mangelware!
Woher soll bitte jemand der keine Ahnung hat wissen das Produkt xy eventuell gefährlich sein könnte? Die meisten haben wie gesagt keine Zeit um sich um Frau, Kind, Arbeit und dann auch noch dutzende technische Fragen Gedanken machen zu können. Die meisten lesen die Produktbeschreibung und wenn da steht sicher, dann finde ich hat das Produkt auch sicher zu sein punkt. Ist das nicht so, dann muss der Hersteller halt zahlen und zwar richtig.
Die Entwicklung eines neuen Produktes ist immer in Zeitnot. Wenn es halbwegs läuft, meist auch schon vorher, wird mit dem Verkauf begonnen. Einen Angriff zu verhindern ist Sache des Kunden.
Hier ist die eigentlich wichtigste Barriere der Router. Dass der Router selber angegriffen werden kann, ist dabei ein eigener Skandal. Dabei ist es hier ja die automatische Konfiguration durch den Provider, den der Provider (Telekom) offenbar nicht gegen Zugriff Dritter geschützt hat.
Seit Jahrzehnten fehlt aber eine Firewall. Deren Bedienung versteht zwar offenbar kaum eine Mensch, aber das liese sich technisch lösen. Z.B. ein neues IoT-Gerät muß vor der Netzfreigabe eine Liste der möglichen Verbindungspartner übermitteln.
Wie sieht es eigentlich mit der Störerhaftung aus?
Ergänzung ()
Vor ein paar Monaten hat die c´t Fernsehgeräte (Smart-TVs) getestet. Diese rufen für jeden Sender, den man einschaltet den RPG auf, egal, ob man daas anschauen will oder ausgeblendet hat.
Diese Webseite, per Metarefresh ständig neu geladen, ist gespickt mit JavaScript-Code, der den Aufruf an über 7 Werbenetzwerke meldet. Wenn es die ersten Trojaner für Samsung-TVs gibt, wird es bestimmt spannend.
Diese Angriffe können z.B. von einem PC oder Smartphon erfolgen, welches im gleichen Netz angemeldet ist. Um sowas abzusichern muß eigentlich vor jeden Netzwerkclient eine Firewall konfiguriert werden.
Das ist ein übles Problem und meiner Ansicht nach eine tickende Zeitbombe. Aber getan wird nichts. Der Kunde ist viel zu uninformiert und kauft letztlich nach dem einzigen ihm bekannten Vergleichsfaktor: Preis. Selbst wenn sich die Industrie zusammen tut und sicherere Geräte baut (und den Preis natürlich an den Kunden weitergeben wird und muss) kommt irgend ein rasant wachsender Anbieter, der 30% billiger ist und den ganzen "was wäre wenn Sicherheitsscheiss" nicht bietet. Aber es ist billig und wird gekauft wie geschnitten Brot.
So tickt die Welt und jetzt, wenn wir uns alle auf das Internet und smarte Geräte verlassen, wird der Bumerang dieser auf einer pervertierten Form des Egozentrismus und absolut Kurzsichtigkeit aufbauenden Wirtschaftsform bald zurück kommen.
Mit Blick auf die Gütesiegel ist das aber heikel, weil Malware der Botnetze für gewöhnlich Zero-Day-Exploits ausnutzen, also Lücken, die bis dato noch nicht bekannt sind.
Das ist grundfalsch. Die Botnetze nutzen in aller Regel Lücken aus die bekannt sind aber noch nicht gefixt. Zuallererst die Schwachstellen die in den neuesten Patches gefixt wurden. D.h. es ist Microsoft Patch Tuesday und am Thursday gibts neuartige Angriffe via Malware die die am Dienstag gefixten Schwachstellen ausnutzt: es sind eben noch nicht alle Geräte gepatcht.
Auch der Angriff auf die Telekomrouter nutzte eine bekannte Schwachstelle aus die Anfangs November bekannt wurde im TR069 Server der Router. Ende November passierte der Angriff.
Ein prima Schutz vor IoT Botnetzten wären IMHO auch Router mit intelligenter Firewall.
Wenn ein Gerät mit Macadresse X im Netz ein Auffälliges Verhalten an den Tag legt, zbsp sendet zu viele Pakete an Adresse Y in einem festen Zeitintervall oder Zeitraum, oder immer gleiche Pakete, dann gibt es eine Warnung per Email, und wenn es weiter geht wird es automatisch blockiert und muss vom Besitzer Manual freigeschaltet und Whitelisted werden.
Wer merkt denn jetzt bitteschön ob irgend etwas mit einem Gerät im Netz nicht gut läuft?
Ausser wer OpenWRT oder anderen custom Firmware aufm Router hat und Traffic Monitoring betreibt hat doch keine Ahnung was in seinem Netz überhaupt abgeht.
