Ungesicherte IP-Kameras für großangelegte DDoS Attacke mitverantwortlich

Am vergangenen Freitag legte eine DDoS-Attacke (distributed denial-of-service) auf einen wichtigen DNS-Provider indirekt auch mehrere große Webseiten lahm, darunter Twitter, Netflix, Amazon uva. Das besondere an der Attacke war, daß sie hauptsächlich über das sogenannte Internet-of-Things erfolgte -- die Flut an Anfragen, welche den Provider in die Knie zwang, kam also nicht von infizierten Computern, sondern von vernetzten Consumer-Heimgeräten, anscheinend vor allem IP-Kameras (Webcams), aber auch von anderen Produkten, die über Internet / App ansprechbar sind (DVR, Drucker uä).

Viele dieser Geräte sind kaum oder gar nicht nach außen geschützt, etwa da die Pro-forma Passwörter der Hersteller nur selten geändert werden und somit allgemein bekannt sind. Erschwerend kommt aber hinzu, daß es oft Passwörter auf verschiedenen Levels gibt -- das Webinterface hat ein eigenes, welches sich ändern läßt, während in den Tiefen der Firmware weitere lauern, die sich weder ansprechen noch ändern lassen. Malware läßt sich von Hackern dann leicht aufspielen und so die Kontrolle über die Geräte gewinnen. Bei der Suche nach Geräten, die von der aktuellen Malware Mirai kompromettiert und somit Teil des Botnetzes wurden (oder werden konnten), ließen sich bis jetzt wie es scheint viele Kameras des chinesischen Herstellers Xiongmai von Sicherheitsspezialisten identifizieren -- es dürften aber natürlich auch andere Hersteller betroffen sein. Xiongmai hat daraufhin nun viele Geräte, die in die USA geliefert wurden, zurückgerufen; ältere IP-Cams konnten sogar ziemlich simpel über Telnet angesprochen werden. Da Xiongmai auch Komponenten für IoT-Geräte liefert, stecken sie mehr oder weniger unsichtbar aber auch in Technik von anderen Herstellern.

Welche Folgen der fahrlässige Umgang vieler Hersteller mit den Sicherheitsstandards bei ihren "smarten" Geräten haben kann, illustriert also dieser Angriff -- von denen wir, so steht es zu befürchten, noch einige weitere sehen werden, solange es nicht zu einem weitreichendem Umdenken kommt. So sollten fest in Hardware gegossene Passwörter unzulässig sein, und wie wäre es beispielsweise, wenn jedes online-fähige Gerät statt einem per Werk gesetzten Default-Passwort einen individuellen, zufällig generierten Code auf der Packung mitbrächte, welcher als Passwort bei der Installation einzugeben wäre (so wie die Seriennummern bei gekaufter Software). Sicherlich umständlicher, aber bestimmt sicherer.