Bericht Analyse: Kollateralschäden im Internet der Dinge

[Giga-Gaga]

Könnte man diese iot Geräte, die von Mirai befallen sind, auf die gleiche Weise "patchen" wie sie befallen wurden?

Also eine Malware die automatisch Geräte sucht und wenn diese von Mirai befallen sind dies löschen und die genutzten Ports blockiert.

 

[MaLow17]

Das ist grundfalsch. Die Botnetze nutzen in aller Regel Lücken aus die bekannt sind aber noch nicht gefixt.

Auch der Angriff auf die Telekomrouter nutzte eine bekannte Schwachstelle aus die Anfangs November bekannt wurde im TR069 Server der Router. Ende November passierte der Angriff.

Nix grundfalsch, sie nutzen alles was nötig ist:
https://www.bleepingcomputer.com/news/security/you-can-now-rent-a-mirai-botnet-of-400-000-bots/

Rent from Biggest Mirai Botnet (400k+ devices)
We use 0day exploits to get devices - not only telnet and ssh scanner.
Anti ddos mitigation techniques for tcp/udp.
Limited spots - Minimum 2 week spot.
Flexible plans and limits.
Free short test attacks, if we have time to show.

Übrigens zielte der Angriff nicht auf die Telekomrouter ab.

 

[SaltyDog]

Oh mann, auch hier viele Spekulationen und wenig handfestes. Spekulatius, passend zur Weihnachtszeit. Nach meinen Recherchen sieht das wie folgt aus.

Auch der Angriff auf die Telekomrouter nutzte eine bekannte Schwachstelle aus die Anfangs November bekannt wurde im TR069 Server der Router. Ende November passierte der Angriff.

Das ist falsch. Der Angriff zielte auf einen TR064-Server, der nur LAN-seitig hätte erreicht werden sollen.

Der Angriff wurde TR069 lediglich über aufgebaut und sollte dann mittels TR064-Payload eine Code-Injection durchführen. Das was Anfang November bekannt wurde, ist genau das: Einige Routerherstellern haben offenbar einen TR064-Dienst nach außen offen, welcher eigentlich für die LAN-Seite gedacht ist und wohl mittels offener TR069-Verbindung nutzbar ist/war. Das kommt davon, wenn man sich nicht an definierte Standards hält.

Hier übrigens die offizielle Stellungnahme von Zyxel:
http://www.zyxel.com/support/announcement_tr_064_protocol.shtml

Die Ursache schieben sie jetzt übrigens auf ein Fehler im eines bestimmten SDK des Chiplieferantes.

Das alles mit TR069 relativ wenig zu tun, denn die Anfrage einen Verbindung zum ACS des ISP zu öffnen ist per se schonmal kein Einfallstor. Klar, eine TR069-Verbindung war Voraussetzung, aber im konkreten Fall zielte der zweite Schritt auf den Absetzen eines TR064-Befehls der zudem noch ein Linux-basierte Router-OS voraussetzte.

Im Telekom-Fall war es wohl so, dass ein Bug im Speedport-OS war, welcher die geöffnete ACS-Verbindung zu DTAG-Server nicht mehr schloss und da zig Anfrage kamen haben die Speedports irgendwann die Grätsche gemacht.

 

[Dr. MaRV]

Klingt für mich eher nach einer Suche zu der Rechtfertigung der Massenüberwachung

JA, sehe ich auch so. Jetzt wird mit harmlosen DDoS Attacken Angst beim Bürger geschürt, das er sich freiwillig überwachen läßt und keine Bedenken dabei hat, wenn zukünftig Regierungsapparate "mitlesen".
Und ja, die Attacken sind harmlos für mich als Privatperson. Wenn ein Unternehmen dadurch (finanziellen Schaden) erleidet, ist das etwas anderes aber für dich eigene Sicherheit ist jedes Unternehmen selbst verantwortlich. Mal abgesehen davon, sollte dort auch kein Speedport- oder AVM Router zum Einsatz kommen.
Grundsätzlich ist eine enge Zusammenarbeit zwischen Staat und Unternehmen für mich erst einmal bedenklich.
Was kümmert es mich wenn das Internet mal ein oder zwei Tage nicht geht? Oder irgendeine Seite mal nicht erreichbar ist? Früher ging es auch ohne und das wird es zwei, drei Tage auch weiterhin.
Der Mehrheit würde etwas Entzug gut tun!

Die Ganze Sache ist ein Witz in meinen Augen, da stellt sich so ein Honk vom BSI vor die Presse und labert was von Glück gehabt, wir müssen uns besser Schützen.
Mutti sagt, ja damit müsse man eben leben, das ist eben so.
Und unser Herr Innenminister will Verschlüsselung und Sicherheit am liebsten abschaffen, um zukünftig ohne großen Aufwand mitlesen zu können.
Geht's noch!?
Und dann gibt es mehr als genug Presseartikel, die auch jetzt noch so berichten, als hätte es der Angriff explizit auf die Telekom, deren Router und ihren Kunden abgesehen. Dabei stand schon letzte Woche Sonntag fest, es waren Kollateralschäden und nicht das Ziel.

 

[mrs.johansson]

meine meinung: einfach nur zum kotzen. anarchie? ohne mich!

danke

 

[HominiLupus]

Sorry dann war es eben ein anderer Server mit 1TR69 Beteiligung. Aber es war eben kein 0Day sondern ein 14 Tage bekannter Fehler.
Natürlich behaupten die Mirai heinis in Eigenwerbung ultracoole 0Days zu nutzen. Wer das glaubt: ich hab billige Brücken im Angebot.

 

[CR4NK]

Ist schon geil, dass ein Kühlschrank so smart ist, dass man ihn hacken und für alles mögliche nutzen kann

Dann bleib ich doch lieber bei meinen analogen / mechanischen Küchengeräten.

 

[DrLuckys]

Warum werde ich das Gefühl nicht los, das der totalen Überwachung, bald nichts mehr im Wege steht?

Haben wir, als kleine Verbraucher, eigentlich eine Möglichkeit, uns dagegen zu wehren/schützen? Außer unseren Netzstecker vom Router zu ziehen?

Würd mich nicht wundern, wenn zu allem Überfluss, irgendwelche Anwälte auf den Trichter kommen, und Mahnbescheide verteilen *kopfschütteln*

 

[Sinthuria]

Das Maß an Möglichkeiten Menschen zu überwachen steigt eh mit der Anzahl der vernetzten Geräte. Und dabei ist es letztendlich gleich ob es der Staat tut oder Google, Facebook und Co. Der Saat benötigt letztendlich noch eine rechtliche Legitimation. Wirtschaftsunternehmen tun das doch heute schon völlig ungeniert, sofern die die technischen Möglichkeiten dazu haben. Noch viel schlimmer wird es, wenn immer mehr Autos vernetzt sind oder wenn autonomes Fahren erst einmal alltagstauglich und flächendeckend verbreitet ist.

 

[Dr. MaRV]

...

Das mag sein, aber bei einem Fernseher kann ich selbst entscheiden, ob ich ihn online bringe oder nicht und damit auch, ob jemand meine Gewohnheiten überwacht oder nicht. Noch habe ich keinen Fernseher gesehen den man online aktivieren muss. Es ist auch ein Unterschied, ob jemand herausfinden möchte, welchen Sender ich am liebsten sehe, oder welche Butter mein Kühlschrank kauft, als meine gesamte Kommunikation mit Freunden und Bekannten abzuschöpfen, oder Bewegungsprofile zu erstellen.
Das eine ist Marktanalyse, das andere rigorose Überwachung des Bürgers und Generalverdacht.
Die Machenschaften der Unternehmen kann ich umgehen, indem mein Kühlschrank eben nicht smart ist, der Fernseher nur im LAN kommuniziert und ich mich von dem ganzen Socialmediascheiß fernhalte. Die Machenschaften des Staates nicht, denn das ist Gesetz, von Fachidioten angeraten und von ahnungslosen Richtern und Politikern legitimiert. Natürlich nur zu unser aller Schutz.

Haben wir, als kleine Verbraucher, eigentlich eine Möglichkeit, uns dagegen zu wehren/schützen? Außer unseren Netzstecker vom Router zu ziehen?

Du musst diesen ganzen smart Mist einfach nicht mit machen. Ich mag Technik, aber manches ist einfach nur totaler Blödsinn.
Wozu brauche ich Lichtschalter die ich mit dem Tablet steuern kann? Oder Heizungsthermostate zum fernregeln? Wenn ich Licht brauche, dann bin ich in dem Raum wo ich es brauche, da ist dann auch der Schalter. Die Heizung selbst in programmiert, wenn sie heizt ist auch die Bude warm, da muss ich nicht an Thermostaten rumfummeln. Einmal auf 21°C eingestellt und gut. Konstant eine Temperatur ist sparsamer als ständig auskühlen und neu aufheizen.
Ich brauche auch keine Kameras in meiner Wohnung. Wenn ich nicht da bin und jemand bricht ein, ist es egal ob die Kamera mir eine Email schickt oder nicht. Ich kann es nicht mehr ändern, die Typen sind bereits drin. Den Schaden reguliert dir Versicherung.
Ernsthaft, die Laptop Kamera kleben wir ab, aber die Wohnung samt dem was wir darin treiben stellen wir (öffentlich) online oder was?

 

[loxer]

Jedenfalls guter Bericht, von daher vielen Dank! :-)

 

[MaLow17]

Natürlich behaupten die Mirai heinis in Eigenwerbung ultracoole 0Days zu nutzen. Wer das glaubt: ich hab billige Brücken im Angebot.

K.A. was Dich so daran stört, dass Du es in Frage stellen musst, dass die Black-Hats vom Mirai-Botnetz Zero-Day-Exploits haben und diese auch ausnutzen. Sehr wahrscheinlich ist es. Die finanziellen Mittel werden sie wohl haben z.B. durch genügend Rechenpower (Zombie-Rechner), um z.B. Bitcoins-Mining im großen Stil zu betreiben und z.B. damit u.a. im Darknet exklusive Zero-Day-Exploits einzukaufen von Hardware/Software. Das hat bestimmt nichts mit "ultracool" zu tun, sondern ist reines Business.

Wie es in Wirklichkeit aussieht, können wir nur erahnen. Den vollen Umfang werden wir nie ganz begreifen wer, wann, wie, was, wo .

Gruß
MaLow

 

[DekWizArt]

Haben wir, als kleine Verbraucher, eigentlich eine Möglichkeit, uns dagegen zu wehren/schützen? Außer unseren Netzstecker vom Router zu ziehen?

Der Anfang wäre auf jeden Fall schon mal die Möglichkeiten die man hat auszunutzen. Du musst keinen Router von Deinem Provider einsetzen.

 

[Chris_S04]

Ich denke nicht, dass das der erste Schritt in Richtung Massenüberwachung ist. Die kommt so oder so früher oder später. Aber wie soll bitte durch die Absicherung der Geräte die Massenüberwachung Einzug erhalten? Hintertüren klar, aber die hat man am Ende bei proprietären Systemen meist irgendwo. Abhilfe würde hier nur der komplette Umzug auf Open Source Software schaffen.

Ein Problem aber, das man bei jedem Produkt hat, nicht nur bei IoT-Produkten ist eben, dass vieles "nach der Mode" geht. Ist heute in einem Möbelgeschäft Hochglanz angesagt, findet man 9 von 10 Garnituren in Hochglanz, nur eine nicht und die ist meist vergleichweise teuer. Also kaufen Leute oft das, was angesagt ist und auch da entscheidet oft der Preis. Warum? Weil jeder sein sauer verdientes Geld sparen will. Viele Leute verdienen auch einfach so wenig, dass sie sich von vielen Produkten gerade so das günstigste leisten können. Das ist kein Problem des Internets, der Sicherheit oder des IoT sondern ein grundlegendes Problem hier in der Gesellschaft. Denen dann zu sagen "Kauft doch nicht das billigste, Geiz ist Geil ist doch für den Arsch", das ist blanker Hohn, vielleicht kann sich die Person mit Ach und Krach die "Geiz ist Geil"-Geräte kaufen. Also mal schön runter vom hohen Ross.

Dass man aber Geräte, die Zugriff auf das Internet haben, absichern muss, das ist doch klar. Erstens, wenn der Angreifer schon mal im Netzwerk ist, hat er eine große Hürde schon mal genommen, sich dann weiter vom Toaster o.Ä. auf den Windows-Rechner o.Ä. zu verbreiten ist dann nicht mehr so der riesige Act. Außerdem, wer sagt denn, dass mich DDos als Privatperson nicht betrifft? "Dann ist halt mal 2 oder 3 Tage das Internet weg" kann man halt auch nicht zu Leuten sagen, die als Freelancer und/oder im Home Office arbeiten oder auf Onlin Banking angewiesen sind. Es ist nicht so einfach zu verallgemeinern. Das einzige, das man tatsächlich verallgemeinern kann, ist eben, dass man einen besseren Schutz braucht für seine digitale Sicherheit und Privatsphäre und genau hier muss angesetzt werden von der Wirtschaft. IT Sicherheit ist kein "nice to have" mehr in einer Welt, in der sich so viel online abspielt.

 

[Fliz]

Ein Problem ist aber auch der User selber, der sich keine Gedanken über Sicherheit im Internet macht und einfach alles, nur weil "smart" ist, ins Internet lässt.. Hier muss auch mal sensibilisiert werden auch wenn ich hier in erster Instanz die Hersteller in der Pflicht sehe..

 

[Do Berek]

Das Wörtchen "Smart" glaube ich, wird sowas werden wie früher "Tele" oder "Cyber".
Ein ausgelutschter Begriff und ad absurdum geführt.

 

[DekWizArt]

Ein Problem ist aber auch der User selber, der sich keine Gedanken über Sicherheit im Internet macht und einfach alles, nur weil "smart" ist, ins Internet lässt.. Hier muss auch mal sensibilisiert werden auch wenn ich hier in erster Instanz die Hersteller in der Pflicht sehe..

Hm, beide würde ich sagen. Natürlich der Hersteller in der Absicherung seiner Geräte, inkl. Sicherheitspatche. Aber auch der Benutzer in seinem agieren im Internet.

 

[yii]

Das alles mit TR069 relativ wenig zu tun, denn die Anfrage einen Verbindung zum ACS des ISP zu öffnen ist per se schonmal kein Einfallstor. Klar, eine TR069-Verbindung war Voraussetzung, aber im konkreten Fall zielte der zweite Schritt auf den Absetzen eines TR064-Befehls der zudem noch ein Linux-basierte Router-OS voraussetzte.

Im Telekom-Fall war es wohl so, dass ein Bug im Speedport-OS war, welcher die geöffnete ACS-Verbindung zu DTAG-Server nicht mehr schloss und da zig Anfrage kamen haben die Speedports irgendwann die Grätsche gemacht.

qft

Die Bestürzung ist jetzt im deutschen Lande groß, nachdem ein scheinbar simpler Angriff gleich mal großflächig das Netz lahmlegt. Aber noch viel bedenklicher ist die offensichtliche Fehlinformation und Unfähigkeit diese Probleme a) zeitnah durchgehend zu analysieren und b) die Öffentlichkeit nach bestem Wissen und Gewissen zu informieren. Im Kommentarbereich von heise kamen recht schnell Loganalysen ans Tageslicht, die etliche falsche Informationen der 'Nachrichtenmeldungen' bloßlegten und trotzdem schaffte es die Fachpresse nicht, sich zeitnah zu aktualisieren. Man kann nur hoffen, dass an den verantwortlichen Knotenpunkten Leute mit etwas mehr Ahnung sitzen.

Allgemein zum Thema (Ausfall)Sicherheit:
In den Köpfen von Bevölkerung, Politikern, Firmenbossen wird erst ein Umdenken stattfinden, wenn es richtig böse knallt. Solange es immer noch irgendwie gutgeht, man davon nicht betroffen ist oder eventuelle Maßnahmen sich in zusätzliche Anstrengung und noch schlimmer, Geld, erstrecken, wird man auf dem kleinsten gemeinsamen Nenner fahren.

 

[mschadenersatz]

Ich arbeite zur Zeit an Schadenersatzforderungen, da der Router 724 Typ A seit einem Reboot am 28.11. seine Login-Daten vergessen hat. Tatsächlich sehe ich das als möglich, da dies kein Einzelfall war und von Vorsatz oder zumindest grober Fahrlässigkeit zu sprechen. Ich vermute hecktische Updates dahinter, wie auch immer ein Versagen der Telekom (letztendlich aufgrund einer gerade "mal schlecht programmiert Schadsoftware").

Der 724 Typ A war "laut Telekom zwar nicht betroffen", war aber Teil einer der Meldungen in der frühen Phase des Angriffs (findbar auf t-online.de im Google Cache).

Mal ehrlich, Internet, Telefon und Fernsehen sind ausgefallen und wir haben keine Infos von der Telekom erhalten. Stattdessen sollen wir in den Laden gehen und unsere Router selber flicken - d.h. alle Aufwände werden an uns weitergegeben, keine Unterstützung ("sie können den Techniker anfordern - 99 EUR/h - den müssen aber Sie bezahlen"), keine Gutschrift und bis dato keine Entschuldigung. Stattdessen "ziert" die Telekom sich, um mit trickreichen Formulierungen um Schadenersatz herum zu kommen. Hotline pampig, T-shop unfähig.

Biete über persönliche Nachricht Interessenaustausch an. Solange schiesse ich erstmal mit "Verbraucher-Schrot" in die Telekom (Rückbuchung von Überweisungen, Minderung der Rechnung, Anforderung einer Stellungnahme, Lastschriftentzug, Anforderung einer Datenschutzauskunft, Werbeoptout, Umstellung Papierrechnung, ...).

 

[Niko-P]

Insgesamt sind es rund 41 Millionen Geräte im Internet, bei denen dieser Port offen ist, ermittelte das Internet Storm Center mittels der Suchmaschine Shodan. Und auf diese Geräte hatten es die Angreifer abgesehen, die rund 900.000 Telekom-Kunden gerieten also eher zufällig auf das Radar, da die Malware ohnehin nicht funktionieren konnte.

Ah ja, also könnten potenziell 41 Millionen Geräte betroffen sein?

Zufälligerweise war der Code nicht mit den Routern der Telekom kompatibel und nun Jubeln alle das der Angriff nicht erfolgreich war.

Aber was ist mit den restlichen 40 Millionen Geräten?
Diese könnten potenziell auch angegriffen worden sein, nur hat dies vielleicht keiner bemerkt xD

Natürlich wird kein Hersteller/Betreiber/Provider offen zugeben das sein Geräte auch betroffen sein könnten...