Schwache Sicherheit: Überwachungskameras werden zum Botnetz für DDoS-Attacken

Vernetzte Welt heißt heute nicht nur fast uneingeschränkte Kommunikation zwischen menschlichen Wesen, sondern auch Geräte können miteinander kommunizieren. Das Internet der Dinge ist allerdings nicht nur Segen, denn es eröffnet auch Menschen, die nicht nur gutes im Sinn haben, ganz neue Möglichkeiten. Eine dieser Möglichkeiten ist LizardStresser, ein Tool, welches DDoS-Attacken via vernetzter Geräte ausführt. Das Tool selbst ist nicht neu, seit 2014 ist es verfügbar, seit 2015 kann jeder auf den Source Code zugreifen und sich sein eigenes Botnetz bauen. LizardStresser wurde beispielsweise schon genutzt, um Banken anzugreifen oder Regierungswebseiten und ISPs lahmzulegen.

Warum man sich für solche Attacken gerade IoT-Geräte aussucht, liegt auf der Hand. Zum einen sind sie in der Regel permanent mit dem Netz verbunden, zum anderen wird der Sicherheitsaspekt von den Herstellern viel zu sehr außer Acht gelassen. Die Geräte müssen so lange sicher sein (oder den Anschein von Sicherheit geben) bis sie beim Kunden sind. Die Pflege der Sicherheit kostet Geld, das viele Hersteller nicht investieren wollen.

So kommt es, dass zig Geräte das gleiche Standard-Passwort haben und auch sonst nicht gut gegen Angriffe abgesichert sind. Arbor Networks beobachtet seit Anfang des Jahres einen starken Anstieg der Verbreitung von LizardStresser und kann diesen auch in Zusammenhang mit ausgeführten Attacken bringen, die Ziele mit bis zu 400 Gbps angreifen. Realisiert über Überwachungskameras, wie Newsweek berichtet.

Nun ist das alles nicht neu, eigentlich ein Problem, das seit der breiteren Verbreitung von IoT-Geräten bekannt ist. Aber offenbar ändert sich nichts. Vernetzt wird weiter alles, auf die Sicherheit wird weiter nicht geachtet. Updates lohnen sich normalerweise für den Hersteller nicht, ein verkauftes Gerät bringt schließlich mit oder ohne Sicherheitsrisiko beim Verkauf erst einmal den gleichen Gewinn.

Man kann nur an die Hersteller appellieren, dem Nutzer zu sagen, er solle keine unsicheren Geräte kaufen, ist natürlich quatsch. Man kann ja vorher nicht wissen, wie sehr sich ein Hersteller kümmern wird, auch am Preis eines Gerätes lässt sich dies leider nicht festmachen. Selbst größere Hersteller sind keine Garantie für die Pflege eines Produktes über einen längeren Zeitraum, Nest-Nutzer mussten dies bereits feststellen.

Mit Axis hat auch schon ein erster Hersteller reagiert, bietet Updates für seine Überwachungskameras an. Axis ist vor allem im Unternehmensumfeld tätig, eine schnelle Reaktion ist hier unumgänglich. Zwar bezieht Axis seinen Sicherheitshinweis nicht direkt auf die Story von Newsweek, spricht aber von Sicherheitsproblemen mit Systemen, die über das Internet erreichbar sind. Unwahrscheinlich, dass hier andere Lücken gemeint sind.