[datensicherheit.de, 21.12.2019] Seit der Entdeckung der „Mirai“-Variante „ECHOBOT“ im Mai 2019 ist sie laut Erkenntnissen des Analyseteams der Palo Alto Networks, „Unit 42“, von Zeit zu Zeit immer wieder aufgetaucht. „ECHOBOT“ sei hierbei mit neuer Infrastruktur in Erscheinung getreten und einer erweiterten Liste an Schwachstellen, nach denen er sucht, um seine Angriffsfläche mit jeder Entwicklungsstufe zu vergrößern. Diese „Mirai“-Ausgabe unterscheide sich von konkurrierenden Varianten durch die Vielzahl der angesprochenen Schwachstellen, im Gegensatz zu anderen Varianten, die an bestimmten, im Laufe der Zeit bewährten Schwachstellen festhielten.

ECHOBOT: neueste Version mit insgesamt 71 einzigartigen Exploits

Im Gegensatz zu anderen „Mirai“-Varianten zeichne sich „ECHOBOT“ auch durch die große Anzahl an mitgeführten Exploits aus. So weise die neueste Version insgesamt 71 einzigartige Exploits auf, von denen 13 bisher noch nicht ausgenutzt worden seien.
Diese reichen von sehr alten CVEs noch von 2003 bis hin zu ganz aktuellen, erst Anfang Dezember 2019 veröffentlichten Schwachstellen.
Dies deute darauf hin, dass die Akteure zum einen auf Schwachstellen älterer, noch im Einsatz stehenden Geräten abzielten, aber wahrscheinlich zu alt für ein Update aufgrund von Kompatibilitätsproblemen seien. Zum anderen spekulierten die Akteure bei neueren Schwachstellen darauf, dass diese so aktuell sind, dass die Betreiber noch keinen Patch durchgeführt haben.

Im Visier: Router, Firewalls, IP-Kameras, Servermanagement-Dienstprogrammen, speicherprogrammierbare Steuerungen u.a.

Die neuen Exploits nehmen demnach eine Reihe von sowohl gängigen als auch eher seltenen Zielen ins Visier. Diese reichten von Routern, Firewalls, IP-Kameras und Servermanagement-Dienstprogrammen bis hin zu speicherprogrammierbaren Steuerungen (SPS/PLC), einem Online-Zahlungssystem und sogar einer Webanwendung zur Steuerung von Yachten.
Die zuletzt beobachtete Version sei erstmals am 28. Oktober 2019 für ein paar Stunden aufgetaucht, danach sei sie abgeschaltet worden. Am 3. Dezember 2019 sei sie erneut aufgetaucht, habe die Payload-IPs gewechselt und schließlich zwei weitere Exploits hinzugefügt, die nicht in den Samples vom Oktober enthalten gewesen seien. Während Details zu dieser Version kürzlich veröffentlicht worden seien, habe die „Unit 42“ jetzt die CVE-Nummern (sofern verfügbar) für die neuen Schwachstellen festgestellt und die Kompromittierungsindikatoren für diese von der „Unit 42“ seit Oktober verfolgten Version zur Verfügung.

Weitere Informationen zum Thema:

BLEEPING COMPUTER, Ionut Ilascu, 12.12.2019
New Echobot Variant Exploits 77 Remote Code Execution Flaws

Paloalto NETWORKS,UNIT42, 06.09.2019
New Mirai Variant Adds 8 New Exploits, Targets Additional IoT Devices

Join GitHub today, 06.08.2019
ECHOBOT

datensicherheit.de, 11.12.2018
Botnetz Mirai beschränkt sich nicht mehr nur auf IoT-Geräte

datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit

datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

Von unserem Gastautor Guido Schaffner, Channel Sales Engineer, NETSCOUT Arbor

[datensicherheit.de, 18.02.2019] IoT-Geräte stellen weiterhin eine große Gefahr für Unternehmen dar. Immer noch sind diese unzureichend gesichert. Im Schnitt haben Anwender nur fünf Minuten Zeit, um die Werkseinstellungen ihrer IoT-Geräte zu verändern. Ansonsten droht eine Übernahme durch Hacker.

IoT-Hersteller vernachlässigen Security-by-Design

Sicherheitslücken, Schwachstellen und Default-Einstellung: Diese drei Kernaspekte beeinflussen maßgeblich die Sicherheit von IoT-Geräten. Kein Wunder also, dass vernetzte Devices bei Cyberkriminellen immer noch hoch im Kurs stehen, um diese missbräuchlich für ihre Zwecke zu nutzen. Anfällige IoT-Geräte können unter anderem Überwachungs- und Sicherheitskameras, Router, Smart-Factory-Devices, Steuerungssysteme, Türöffnungssysteme, Sensoren und Alarmanlagen sein.

Um die Geräte zu infiltrieren, nutzen Hacker die häufig werkseitig voreingestellten Standard-Benutzernamen und Standard-Passwörter wie etwa „1234“ (Default-Einstellung) aus. Spätestens seit 2016 die IoT-Malware Mirai den DNS-Dienst Dyn und Webdienste von Unternehmen weltweit lahmlegte, ist dieses Risiko weithin bekannt. Jüngstes Beispiel ist der taiwanesische Hersteller Resource Data Management für Kühlsysteme. Rund 7.000 Geräte sollen per Default-Hack zugänglich sein, darunter auch Geräte in Deutschland. Dennoch sehen viele Hersteller von IoT-Geräten häufig immer noch nicht vor, dass Anwender derartige Default-Einstellungen überhaupt ändern können. Hinzukommt, dass Hersteller bereits im Internet veröffentlichte Sicherheitslücken und Schwachstellen kaum oder gar nicht patchen. Das Konzept „Security-by-Design“, dass also Sicherheitsanforderungen bereits bei Konzipierung des Gerätes mitbedacht werden, bleibt bei vielen Herstellern immer noch unbeachtet. Sei es aus Ressourcenmangel oder wegen möglicher höherer Produktionskosten.

Hacker setzen IoT-Botnetze vor allem für DDoS-Attacken ein

Um Geräte zu kompromittieren, sind Brute-Force-Methoden immer noch das Mittel der Wahl. Hierbei versuchen die Cyberkriminellen, willkürlich gewählte Geräte automatisiert mit Passwort-Kombinationen bekannter Default-Einstellungen zu infiltrieren. Einmal gehackt, schließen Cyberkriminelle einzelne Geräte oft zu größeren und damit mächtigen Botnetzen zusammen. So ist zwar der Datenverkehr (Traffic), den ein zweckentfremdetes IoT-Gerät alleine generieren kann, nur gering. Doch werden Tausende von ihnen als Cluster zusammengeschlossen sind, können die Hacker Angriffe im dreistelligen Gbps (Gigabit pro Sekunde)-Bereich erzielen.

Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Angreifer ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die Motive reichen von Erpressung und Datendiebstahl über Wettbewerbsschädigung bis hin zu staatlicher Einflussnahme.

Mirai-Ableger sind immer noch hochgefährlich

Und das Gefahrenpotenzial von Botnetzen bleibt weiterhin hoch. So prognostiziert das Analystenhaus IHS Markit: Bis zum Jahr 2030 wird es mehr als 125 Milliarden IoT-Geräte geben. Auch Ableger des Mirai-Botnetzes sind weiterhin im Umlauf und richten Schaden an. Besonders in weiten Teilen Asiens, Brasilien und Spanien konzentrieren sich die Mirai-Botnetz-Knoten. Aktuelle Mirai-Ableger setzen beispielsweise Exploits ein, um Schwachstellen auszunutzen. Um im Internet offen zugängliche Geräte zu ermitteln, nutzen Hacker unter anderem die Suchmaschine Shodan.

Darüber hinaus haben Cyberkriminelle eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. So sind Mirai und seine Ableger in der Lage, mehrere Arten von DDoS-Angriffen sowohl auf Netzwerk- als auch auf der Anwendungsschicht zu durchzuführen. Darunter unter fallen Flooding-Angriffe und Überlastungsattacken auf Nameserver.

Wie Unternehmen ihre IoT-Geräte schützen können

Doch was können Unternehmen nun konkret umsetzen, um IoT-Geräte vor möglichem Missbrauch zu schützen?

1. Standard-Anmeldeinformationen ändern und Sicherheitsupdates aufspielen

Unternehmen sollten im ersten Schritt nur IoT-Geräte einsetzen, bei denen sie Default-Einstellungen selbst ändern können. Sind bereits vernetzte Devices im Einsatz, gilt es zu prüfen: Mit welchen Anmeldeinformationen sind diese derzeit ausgestattet. NETSCOUT Arbor hat eine Liste mit häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert. Einige davon sind auch im ursprünglichen Mirai-Quellcode oder in Mirai-Ablegern enthalten:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default
• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Da Mirai und seine Ableger kontinuierlich das gesamte Internet nach anfälligen Geräten scannen, hilft der Neustart oder Zurücksetzen eines Devices nicht. Innerhalb kurzer Zeit kann ein Gerät wieder kompromittiert werden – dies hat der aktuelle Threat Intelligence Report von NETSCOUT ergeben. Darüber hinaus sollten Geräte über Firmware- und Software-Updates stets auf dem aktuellen Stand gehalten werden. Noch vor dem Kauf sollten Unternehmen prüfen, ob der Hersteller der IoT-Geräte überhaupt regelmäßige Sicherheitsupdates anbietet.

2. Bereits befallene Geräte identifizieren und nicht benötigte Dienste deaktivieren

Für Administratoren gilt es zu prüfen, ob bestehende IoT-Geräte möglicherweise bereits befallen sind. Dazu sollten sie vor allem die TCP-Ports TCP/23 und TCP/2323 kontrollieren, über die Mirai-Hacker den missbräuchlichen Zugriff auf Geräte erlangten. Auch UPnP (Universal Plug and Play)-Funktionen, etwa bei Routern und Kameras, sollten Unternehmen abstellen. So wurden im letzten Jahr aufgrund einer jahrelang unentdeckten UpnP-Lücke mehr als 100.000 Router kompromittiert und als Botnetz zusammengeschlossen. Grundsätzlich empfiehlt es sich, nicht benötigte Dienste und Funktionen an IoT-Geräten immer zu deaktivieren.

3. IoT-Geräte mit Filterrichtlinien ausstatten

Unternehmen sollten ihre Geräte darüber hinaus mit Filterrichtlinie ausstatten. Diese schränken ein, in welchem Umfang und mit welchen anderen Geräten oder Standorten die Devices kommunizieren können. Außerdem gilt es festzulegen, mit welchen Netzwerken sich die Geräte verbinden dürfen. Auch Zugriffskontrolllisten, sogenannte ACLs, können hilfreich sein, um festzulegen: Welcher Endnutzer kann wann Zugriff auf welches Device erhalten.

4. Einsatz von Zero-Trust-Modellen prüfen

Um die Sicherheit weiter zu erhöhen, kann ein Zero-Trust-Modell eingesetzt werden. Hierbei werden neben Geräten, auch alle Anwendungen, Dienste und Benutzer geprüft. Somit wird jeglicher Datenverkehr, ob extern oder intern, gleich behandelt – und als grundsätzlich nicht vertrauenswürdig eingestuft. Jedes Gerät, das mit dem Unternehmensnetzwerk verbunden ist, wird dabei isoliert, gesichert und kontrolliert. IoT-Geräte befinden sich zudem nur in dem Netzwerksegment, das für ihren Anwendungsfall bestimmt ist. Unternehmen sollten jedoch unbedingt bedenken, dass Zero-Trust-Modelle hochgradig aufwändig sind und daher entsprechende Ressourcen erfordern.

5. Honeypots nutzen und eigene Intelligence verbessern

Stehen dem Unternehmen eigene Security-Experten zur Verfügung, können sie mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Hacker zu verstehen. Je mehr Unternehmen über die Taktiken, Techniken und Verfahren (TTPs) ihrer Angreifer wissen, desto besser können sie Schwachstellen identifizieren und sich verteidigen.

6. Mehrstufigen DDoS-Schutz implementieren

Zwar gab es in den letzten 24 Monaten einen dramatischen Anstieg der volumetrischen Distributed- Denial-of-Service (DDoS)-Angriffe, die von IoT-Botnetzen ausgelöst wurden. Doch künftig erwartet NETSCOUT Arbor komplexere Angriffe. So umfasst heutige Botnetz-Malware bereits verschiedene Angriffstechniken, die gleichzeitig über mehrere Vektoren ausgeführt werden können. Bereits 59 Prozent der Service Provider und 48 Prozent der weltweit in einer Studie befragten Unternehmen verzeichneten 2017 sogenannte Multivektor-Angriffe. Dies sind gleichzeitige Attacken auf die IT-Infrastruktur an verschiedenen und potenziellen Schwachstellen. Dies erschwert Unternehmen die Abwehr, während die Erfolgschancen der Angreifer steigen.

Sicherheitsexperten sind sich daher einig, dass Unternehmen auf mehrstufige DDoS-Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und aus einer Cloud- beziehungsweise beim Internet Service Provider (ISP) vorhandenen Komponente zusammen. Die On-Premise-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Hochvolumige Angriffe werden hingegen in der Cloud direkt beim ISP mitigiert.

Auch Laien können Botnetz-Angriffe durchführen

Vor allem der öffentlich zugängliche Schadcode von Mirai, auf denen heute noch viele IoT-Botnetze basieren, bleibt gefährlich. So wurde die ursprüngliche Mirai-Codebasis kontinuierlich um neue Funktionen erweitert, sodass zahlreiche weitere Varianten wie etwa OMG, JENX, Satori und IoTrojan existieren. Akteure gehen außerdem dazu über, bestehende Botnetze an Dritte weiterzuvermieten. Diese sind dann in der Lage, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren. Unternehmen müssen sich also der Gefahrenlage bewusst sein und entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten.

Bild: NETSCOUT Arbor

Guido Schaffner ist Channel Sales Engineer bei NETSCOUT Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Dort ist er verantwortlich für die DDoS-Abwehrlösungen von NETSCOUT Arbor sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Weitere Informationen zum Thema:

datensicherheot.de, 24.10.2018
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

[datensicherheit.de, 11.12.2018] Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von ASERT, ein Team aus Sicherheitsspezialisten des Unternehmens NETSCOUT Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big-Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

Schwachstelle in Hadoop Yarn

Die entdeckte Schwachstelle in Hadoop Yarn ermöglicht es den Angreifern, beliebige Shell-Befehle auszuführen und darüber Malware zu installieren. Dies sind Varianten der Mirai-Malware, die usrprünglich dafür entwickelt wurden, um Geräte im Internet of Things – wie zum Beispiel IP-Kameras und digitale Videorekorder – zu manipulieren. Da diese Art der Infizierung inzwischen in den Fokus der Öffentlichkeit gelangt ist und daher Schutzmaßnahmen besser werden, entwickelten die Cyberkriminellen nun die x86-Version.

Angreifer steuerndie die Verbreitung des Exploits selbst

Anstatt sich darauf zu verlassen, dass sich Bots selbstständig verbreiten, steuern die Angreifer die die Verbreitung des Exploits nun selbst. Eine relativ kleine Anzahl von Angreifern verwendet dazu eigens programmierte Tools, um die Hadoop-YARN-Schwachstelle zu erkennen und dann die Linux-Malware zu verbreiten. Die Vorteile einer solchen Anpassung liegen für die Angreifer auf der Hand: Verglichen mit IoT-Geräten haben Linux-Server in privaten Netzwerken deutlich mehr Bandbreite. Dies macht sie zu wesentlich effizienteren DDoS-Bots. Daher kann schon eine Handvoll gut ausgestatteter Linux-Server Angriffe erzeugen, die einem IoT-Botnetz mit deutlich mehr Geräten Konkurrenz macht.

Für die Angreifer ist es zudem deutlich einfacher, die x86-Monokultur von Linux-Servern anzugreifen als die breite Auswahl an CPU-Derivaten, die in IoT-Geräten verwendet werden. Das Ziel der, bisher noch eher kleinen, Hacker-Gruppe ist klar: die Malware auf möglichst vielen Geräten zu verbreiten. Und aufgrund der Leistungsfähigkeit der Server lauert hier ein enormes Gefahrenpotenzial.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit

datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 24.10.2018] Hacker nutzen weiterhin erfolgreich werkseitig voreingestellte Benutzernamen und Passwörter (Default-Einstellung) in IoT-Geräten aus, um Botnetze aufzubauen. Per Brute-Force-Methode wählen Cyberkriminelle nach dem Zufallsprinzip Ziel-Geräte aus. Anschließend versuchen sie diese automatisiert mit Kombinationen aus Default-Einstellungen zu infiltrieren. Für den Monat September konnte NETSCOUT Arbor eine Liste mit 1.065 Kombinationen aus 129 verschiedenen Ländern identifizieren. Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Hacker, die DDoS-Angriffe einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen.

Die Top 5 der Default-Kombination im Monat September sind:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default

Hinweis: Diese Passwort-Kombinationen sind auch mit dem ursprünglichen Mirai-Quellcode enthalten. Die zwei Kombinationen vizxv und xc3511, die auf die DVRs (digitale Videorekorder) abzielen, verhalfen dem ursprünglichen Mirai-Botnetz zum Erfolg.

Darüber hinaus hat NETSCOUT Arbor eine Liste der häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert, die nicht im ursprünglichen Mirai-Quellcode enthalten sind:

• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Diese Liste enthält eine Mischung der Benutzernamen und Passwörter aus Basic, Default/Default und Root/ sowie spezifischen Kombinationen aus Root/1001chin und Root/taZz@23495859. Die spezifischeren Passwörter beziehen sich auf die werkseitigen Voreinstellungen für bestimmte Geräte. In den letzten zwei Jahren haben sich Angreifer darauf konzentriert, neue Geräte aufzunehmen.

Wenn ein automatisierter Bot, wie Mirai, einen Brute-Force-Angriff durchführt, besteht die Möglichkeit, dass das ausführende Gerät für genau denselben Angriff anfällig ist. Tatsächlich ist es möglich, dass das Gerät, das die Brute-Force-Attacke ausführt, bereits über den gleichen Angriff, vielleicht sogar die gleiche Kombination aus Benutzername und Passwort, zum Teil des Botnetzes wurde. Einige Geräte treten in bestimmten Ländern stärker in Erscheinung, entweder aufgrund der Verfügbarkeit oder der Popularität. Diese Liste zeigt die Popularität einiger Usernamen-/ Passwort-Kombinationen im lokalen Ranking (Land) gegenüber der globalen Verteilung dieser Kombination (overall Rank):

Die Kombination root/20080826, die hauptsächlich aus Russland stammt, scheint auf das Gerät TM02 TripMate – ein tragbarer WLAN Router – abzuzielen. Die Kombination vstarcam2015/20150602 zielt wahrscheinlich auf Webcams ab. Beide Geräte sind in den USA erhältlich, aber vor allem in Russland sehr beliebt. Da die Quellen gut verteilt sind, handelt es ich aller Wahrscheinlichkeit nach nicht um ein gezieltes Scannen, sondern um das Verhalten eines Bots. Die Kombination Telecomadmin/Admintelecom zielt auf Huawei-Geräte ab, die außerhalb westlicher Länder deutlich weiter verbreitet sind. Die Kombination aus Benutzernamen und Passwörtern aus dem Iran könnte auf einen älteren Bot hinweisen.

Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor, kommentiert: „IoT-Bots wählen ihr Ziel nach dem Zufallsprinzip und probieren solange Default-Kombinationen aus, bis die Liste erschöpft oder der Angriff erfolgreich ist. Security-Experten können mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Betreiber zu verstehen. Zusammenfassend zeigen unsere Untersuchungen, dass IoT-Geräte immer noch sehr leicht infiltriert werden können und daher anfällig für eine missbräuchliche Verwendung sind.“

Hintergrundinformationen:

Die IoT-Malware Mirai aus dem Jahr 2016 nutzte vor allem Standardbenutzernamen und Passwörter aus, um sich erfolgreich zu verbreiten. Darauf basierend wurden mehrere Mirai-Ableger entwickelten, die unter anderem Exploits einsetzten, um Schwachstellen auszunutzen. Später haben die Mirai-Macher eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. Einige Hacker erstellten daraufhin eigene benutzerdefinierte Listen mit Benutzernamen und Passwörtern, um Geräte zu infizieren, die bisher nicht infiltriert waren.

Weitere Informationen zum Thema:

Arbor Networks® ASERT
Karte mit Telnet-basierten Brute-Force-Angreifern

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 29.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 10.09.2018] Unit 42, das Anti-Malware-Team von Palo Alto Networks, meldet neue Varianten der bekannten IoT-Botnets Mirai und Gafgyt. Dabei handelt es sich um IoT-Botnets, die mit den großangelegten DDoS-Angriffen (Distributed Denial of Service) im November 2016 und danach in Zusammenhang stehen.

Instanz von Mirai zielt auf eine Schwachstelle in Apache Struts

Am 7. September 2018 fanden die IT-Sicherheitsexperten von Palo Alto Networks aktuelle Samples einer Mirai-Variante, die Exploits für 16 verschiedene Schwachstellen enthielt. Während in der Vergangenheit die Verwendung mehrerer Exploits innerhalb einer einzigen Stichprobe von Mirai beobachtet wurde, ist dies die erste bekannte Instanz von Mirai, die auf eine Schwachstelle in Apache Struts abzielt. Darüber hinaus identifizierte Unit 42 die aktuelle Hosting-Domain dieser Mirai-Samples. Auf dieser IP-Adresse wurden zeitweise Samples von Gafgyt gehostet, die einen Exploit gegen CVE-2018-9866 enthielten, eine SonicWall-Schwachstelle, die ältere Versionen von SonicWall GMS betrifft.

Die kürzlich von den Sicherheitsexperten entdeckten Varianten sind aus zwei Gründen bemerkenswert:

• Die neue Mirai-Version zielt auf die gleiche Schwachstelle von Apache Struts ab, die bei dem spektakulären Datensicherheitsvorfall beim US-Finanzdienstleister Equifax im Jahr 2017 ausgenutzt wurde.
• Die neue Gafgyt-Version zielt auf eine neue Schwachstelle ab, die ältere, nicht unterstützte Versionen des Global Management System (GMS) von SonicWall betrifft.

Diese Entwicklungen deuten darauf hin, dass die zwei IoT-Botnets zunehmend auf Unternehmensgeräte mit veralteten Softwareversionen ausgerichtet sind. Alle Unternehmen sollten daher sicherstellen, dass sie nicht nur ihre Systeme auf dem neuesten Stand halten, sondern auch ihre IoT-Geräte.

Die Integration von Exploits, die auf Apache Struts und SonicWall abzielen, könnte auch ein Hinweis darauf sein, dass sich diese IoT-/Linux-Botnets von Consumer-Geräten zu Zielen in Unternehmen verlagern. Der Exploit, der in der neuen Variante auf Apache Struts abzielt, wurde auf CVE-2017-5638 angesetzt, eine gängige Schwachstelle bei der Befehlsausführung über selbsterstellte Content-Type-, Content-Disposition- oder Content-Length-HTTP-Header.

Weitere Informationen zum Thema:

Palo Alto Networks Blog
Multi-exploit IoT/Linux Botnets Mirai and Gafgyt Target Apache Struts, SonicWall

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 31.08.2018
CAST-Workshop: IoT – Anforderungen und Herausforderungen an die IT-Sicherheit

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 29.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 28.06.2018] Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things (IoT): So war Ende 2016 das erste Mal ein groß angelegter Cyber-Angriff in Form der Mirai Malware erfolgreich, der hunderttausende IoT-Geräte wie Router, Kameras, Drucker und Smart-TVs für den Aufbau eines Botnets nutzte. Dieses sorgte weltweit für DDoS-Attacken, unter anderem auf Unternehmen wie Twitter, Amazon oder die Deutsche Telekom. Wie groß die Sicherheitslücken im IoT sind, wurde auch auf der Def Con Hacking Conference in Las Vegas gezeigt, indem Sicherheitsforscher vorführten, wie ein IoT-fähiges Thermostat mit einem gezielten Ransomware-Angriff gehackt und gesperrt werden kann.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Arten von Ransomware

Zunächst ist es wichtig, zwischen traditioneller Ransomware, die in der Regel auf PCs und Server abzielt, und Attacken auf IoT-Geräte zu unterscheiden. Klassische Ransomware infiziert den Zielcomputer und verschlüsselt die darauf befindlichen Daten, um für deren Entschlüsselung anschließend ein Lösegeld zu erpressen. Zwar ist es hier möglich, mit einer Datensicherung die betroffenen Daten wiederherzustellen, doch aufgrund mangelhafter Backups sehen sich einige Opfer gezwungen, der Lösegeldforderung nachzugeben. So bleibt diese Methode für Angreifer weiterhin ein profitables Geschäft, wie auch die massiven Ransomware-Wellen von WannaCry und Petya eindrucksvoll unter Beweis gestellt haben. Mit dem geringen Sicherheitsniveau von IoT-Geräten ist daher in den kommenden Jahren auch mit darauf zugeschnittenen Ransomware-Angriffen zu rechnen.

Ziel der IoT-Ransomware: Geiselnahme des Geräts

Datendiebstahl lohnt sich bei IoT-Geräten nicht. Auf ihnen befinden sich in der Regel kaum beziehungsweise keinerlei sensible Daten. Die Strategie der Angreifer konzentriert sich daher darauf, den Nutzerzugriff auf das Gerät zu sperren und das Endgerät sozusagen in Geiselhaft zu nehmen.

Auf den ersten Blick mag dies eher wie eine Unannehmlichkeit erscheinen. Doch bereits ein relativ harmloses Beispiel wie der Hack auf das Computersystem eines Vier-Sterne-Hotels in Kärnten, der 2017 Schlagzeilen machte, zeigt, welche weitreichenden Konsequenzen ein derartiger Angriff nach sich ziehen kann: Kriminelle manipulierten das Schließsystem der Zimmer, infolgedessen sie für die Gäste nicht mehr betretbar waren. Gleich dreimal in Folge führten die Angreifer erfolgreich diese Attacke gegen Forderung eines Lösegelds aus. Gleiches gilt für den Def Con-Hack des gesperrten Thermostats: Überträgt man dieses Beispiel auf Thermostate zur Steuerung von Kühlaggregaten in einem Lebensmittellager oder auf eine Rechenzentrumsklimaanlage, wird die neue Bedrohungslage von IoT-Ransomware deutlich.

Die zweifelhafte Sicherheitshistorie des Internet of Things

Leider ist eine Vielzahl der derzeit in Betrieb befindlichen IoT-Geräte extrem anfällig für IoT-Ransomware-Angriffe, denn im Zuge der IoT-Popularitätswelle haben viele Hersteller in den letzten Jahren Millionen von IoT-Geräten so schnell wie möglich entwickelt und verkauft, wobei die Gerätesicherheit auf der Strecke blieb. Infolgedessen verfügen die meisten IoT-Geräte heutzutage über Standardberechtigungen, verwenden unsichere Konfigurationen und Protokolle und sind notorisch schwer zu aktualisieren, was sie überaus anfällig für Kompromittierungsversuche und damit zu einem lukrativen Ziel für Cyberkriminelle macht.

Erschwerend kommt hinzu, dass das Auftreten von Low-Level-Protocol-Hacks wie KRACK (Key Reinstallation Attack) Angreifern neue Möglichkeiten bietet, die IoT-Infrastruktur zu umgehen und Geräte durch die Einspeisung eines anderen Codes zu manipulieren. Dies hat besonders schwerwiegende Folgen, wenn die Geräte Steuerbefehle von einer Cloud-Anwendung synchronisieren oder empfangen müssen.

Drei Punkte zur Bewertung der IoT-Gerätesicherheit

Um sichere Betriebsabläufe gewährleisten zu können, ist beim Einsatz von IoT-Geräten eine umfassende Bewertung der Gerätesicherheit aus verschiedenen Blickwinkeln unabdingbar. Die Evaluierung sollte stets die folgenden drei Bereiche abdecken:

• Hardware: Die physische Sicherheit sollte bei der Bewertung eines neuen Geräts immer eine wichtige Rolle spielen. Mit physischen Schaltern kann das Gerät manipulationssicher gemacht werden, indem dafür gesorgt wird, dass einzelne Gerätekomponenten nicht ohne Erlaubnis angesprochen und dekodiert werden können. Beispielsweise können mit einer Stummschalttaste Mikrofone und Audioempfänger sämtlicher Geräte deaktiviert werden.
• Software: Auch bei IoT-Geräten gilt: Die Software sollte stets auf dem neuesten Stand sein. Bei der Auswahl eines Geräteherstellers muss daher darauf geachtet werden, dass dieser seine Software regelmäßig aktualisiert und patcht.
• Netzwerk: Der Datenaustausch zwischen IoT-Geräten, Backend-Management- oder Speicherlösungen sollte ausschließlich über sichere Webprotokolle wie HTTPS erfolgen und der Zugriff ausschließlich über mehrstufige Authentifizierungsmethoden. Darüber hinaus ist darauf zu achten, dass alle standardmäßigen Anmeldeinformationen, die mit dem Gerät mitgeliefert wurden, umgehend in starke alphanumerische Zeichenfolgen abgeändert werden.

Die Umsetzung dieser grundlegenden Sicherheitsprinzipien trägt wesentlich dazu bei, sich gegen viele der aufkommenden Bedrohungen wie die neue Art von IoT-Ransomware-Angriffen zu verteidigen. Wenn die IoT-Welt jedoch wirklich sicher werden soll, ist es an der Zeit, sie wie jedes andere IT-System zu behandeln und sicherzustellen, dass ihr Schutz ebenso robust, effektiv und zukunftssicher ist.

Weitere Informationen zum Thema:

Digital Guardian
Enterprise IP & DLP Software

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen

datensicherheit.de, 05.05.2018
Internet der Dinge: Betriebssicherheit und IT-Sicherheit müssen ganzheitlich konzipiert werden

datensicherheit.de, 08.11.2017
Studie: Cybersicherheit im Kontext von IoT und Operational Technology

datensicherheit.de, 30.11.2016
CATS-Event 2016: HTW-Studenten simulieren Hackerangriffe

[datensicherheit.de, 05.01.2017] Laut einer aktuellen Meldung von Varonis ist Ende 2016 bekanntgeworden, dass eine „Mirai“ nicht unähnliche „Wormware“ einen Angriff auf einen Internet-Service-Provider (ISP) in Großbritannien lanciert hat. Insbesondere Kunden von Talk Talk und Post Office meldeten Störungen und Internetausfälle.

Verbraucher: Endlich Standard-Passwörter der Routers ändern!

Wie schon beim ersten Vorfall, bei dem sich das „Mirai“-Botnetz in erster Linie gekaperter Kameras aus dem Consumer-Bereich bedient habe, sei auch hierbei wieder ein offener Router-Port zum Einfallstor geworden.
Zwei wesentliche Aspekte hätten die jüngsten Vorfälle bei ISPs gemeinsam: „SQL Injection“ – eine immer noch real existierende IT-Sicherheitsplage. Verbraucher sollten nun endlich dazu übergehen, die Standard-Passwörter ihres Routers zu ändern.

Port zur Fernwartung der Router missbraucht

Die jüngste „Mirai“-Attacke begann ebenfalls Ende 2016 in Deutschland, als nahezu 900.000 Kunden der Deutschen Telekom Verbindungsstörungen ihrer Router meldeten. Danach soll sich der Angriff auf die britische Insel verlagert haben.
Bei genauerem Hinsehen hätten Sicherheitsexperten jedoch einige Unterschiede festgestellt. Die neue Variante der „Mirai“-Malware, „Annie“ genannt, habe Port 7547 (eine öffentliche IP und nicht den üblichen Telnet-Port 23) genutzt. Wie unter Netzwerk- und Telekom-Spezialisten bekannt, sei das nun der Port zur ISP-Fernwartung ihrer Router – und zwar über das ominöse „TR-064“-Protokoll.
Kurz zusammengefasst: Die Nachforschungen und Analysen kämen zu dem Ergebnis, dass die Angreifer das Protokoll direkt ausgenutzt hätten, um WiFi-Passwörter der Router mitzuschneiden sowie die Namen der betreffenden Funknetzwerke oder SSIDs.

Hacker nutzen „TR-064“-Kommando

Um die ganze Sache noch ein bisschen schlimmer zu machen: Den Hackern sei es gelungen, ein nicht besonders gut implementiertes „TR-064“-Kommando zu finden. Dies erlaubte ihnen den Zugriff, beziehungsweise gestattete es den Angreifern nun eigene Shell-Befehle zu injizieren.
Diese Shell-Kommandos seien hauptsächlich verantwortlich für den Download und das Ausführen der Binaries vom C2-Server der Hacker. Dieser Server stoße den Prozess dann wieder und wieder an, um den „Annie“-Wurm möglichst schnell und weit zu verbreiten.

Privacy-by-Design gefordert!

Ganz nebenbei sei noch erwähnt, dass bei den obigen Zugriffen keinerlei Authentifizierung nötig gewesen sei – kein Benutzername, kein Passwort.
Man dürfe sich also leise fragen, ob ISPs und Router-Hersteller mit Konzepten wie Privacy-by-Design vertraut sind. Man sei geneigt zu glauben: eher nicht…

Womöglich mehrere Cyber-Gangs beteiligt

In allen bekannten Fällen sehe es so aus, dass die Störungen und Ausfälle unter denen die betreffenden ISP-Kunden zu leiden hatten, durch den zusätzlichen Daten-Traffic verursacht worden seien. Immer mehr und mehr Router seien mit Anfragen auf ihre Ports überschwemmt worden.
Nach aktuellem Wissensstand habe es die „Annie“-Wormware allerdings nicht auf Router-Funktionen als solche abgesehen. Daraus lasse sich schließen, dass der DDoS-Aspekt eine nicht intentionale Begleiterscheinung und Folge von „Annie“ sei.
Es kursiere zusätzlich die Annahme, dass an diesem Angriff unterschiedliche Cyber-Gangs beteiligt gewesen seien und sich verschiedener „Mirai“-ähnlicher Varianten bedient hätten.

Absicht der Angriffe weiterhin nicht eindeutig geklärt

Die ultimative Absicht der Angriffe sei weiterhin nicht ganz eindeutig geklärt. Vielleicht habe man zeigen wollen, dass es überhaupt möglich sei, Router in einem derartigen Ausmaß für einen Angriff auszunutzen.
Talk Talk habe zügig ein Firmware-Update veröffentlicht, um den Bug im „TR-064“-Protokoll zu beseitigen und es unmöglich zu machen, auf diesen offenen Port zuzugreifen. Zusätzlich sei das WiFi-Passwort auf die Standard-Werkseinstellungen zurückgesetzt worden (auf der Rückseite des Gerätes zu finden).

Einstellungen der eigenen Firewall etwas genauer ansehen!

Wie schon am Beispiel der „Mirai“-Attacke auf Consumer-Kameras erläutert, sei es keine schlechte Idee sich die Einstellungen der eigenen Firewall etwas genauer anzusehen. Wenn es keinen absolut triftigen Grund gibt, eine Fernwartung oder Remote-Verwaltung zu gestatten (oder andere spezielle Funktionen), sollte man solche öffentlichen Ports einfach entfernen.
Wenn nur halbwegs jeder durchschnittliche Benutzer beim Verwalten seines WiFi-Netzwerks etwas sorgfältiger vorgegangen wäre, hätte der Angriff niemals ein solches Ausmaß erlangen können.
Ken Munro, Gründer des Unternehmens PentestPartners, habe in den ursprünglichen Antworten von Talk Talk eine Schwachstelle bemerkt – und die weitaus meisten Benutzer hätten schlicht darauf verzichtet, die WiFi-Passwörter aus den Standard-Werkseinstellungen tatsächlich zu ändern. Die von den Hackern eingesammelten Passwörter sollten also immer noch gültig sein… Eine wenig vertrauenerweckende Vorstellung!

Handel mit WiFi-Passwörter als mögliche Absicht

Eine Möglichkeit zur Ausnutzung solcher sei das sogenannte „Wardriving“.
Angreifer ermittelten beispielsweise mithilfe von „wigle.net“ den Standort des gewünschten Routers und starteten dann in räumlicher Nähe einen Angriff.
Ein paar WiFi-Passwörter, SSID-Namen und „wigle.net“ reichten folglich aus, um im Hacker-Geschäft mitzumischen. Es sei durchaus vorstellbar, dass WiFi-Passwörter das eigentliche Ziel des Angriffs gewesen seien und Cyber-Kriminelle eine immense Zahl von Passwort-Listen jetzt im „Dark Web“ zum Verkauf anböten. Zum Jahreswechsel 2016-2017 und darüber hinaus erwarteten Beratungsunternehmen massive „CEO-Fraud“-Angriffe. Man dürfe davon ausgehen, dass Passwörter, die in Zusammenhang mit Führungskräften, VIPs oder anderen erfolgversprechenden „Whaling“-Kandidaten stehen, im „Dark Web“ gute Preise erzielen würden.

Änderung der Passwörter empfohlen!

Kunden von Talk Talk und anderen betroffenen ISPs täten gut daran, ihre Passwörter so schnell wie möglich und für alle betroffenen Geräte zu ändern. Für alle anderen sei es vermutlich keine schlechte Idee, die bestehenden WiFi-Passwörter von Zeit zu Zeit zu ändern und – wo gestattet – „Horse-Battery-Staple“-Techniken für möglichst unknackbare Passwörter einzusetzen.
IT-Fachleute mögen einwenden, dass diese Tipps für Endverbraucher gut und schön seien, aber im Firmenumfeld keinerlei Relevanz hätten. Bei dieser Argumentation sollte man sich aber vor Augen halten, dass Injection-Angriffe und die auch unter Profis grassierende „Defaultitis“ zu einem Problem werden könnten.

Weitere Informationen zum Thema:

GRAHAMCLULEY, 02.12.2016
TalkTalk and Post Office customers lose internet access as routers hijacked Poorly-secured routers are being compromised by hackers.

BadCyber
New Mirai attack vector – bot exploits a recently discovered router vulnerability

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 29.11.2016] Am 28. November 2016 wurde bekannt, dass bei der Hacker-Attacke auf die Telekom deren Router Teil eines weltweiten Botnetzes werden sollten, das ebenfalls auf die „Mirai“-Schadsoftware zurückgeht.

Hacker suchen nach öffentlichen Ports und anschließend nach schwachen Passwörtern

Die „Mirai“-Attacke zeigt laut Andy Green, Varonis, wie verwundbar wir und nicht zuletzt die digitale Wirtschaft tatsächlich sind – und das nicht zuletzt „dank des schon fast sträflich zu nennenden Leichtsinns“, wenn es um IT geht.
Zwar könne kann nichtsahnende Verbraucher entschuldigen, weil sie den heimischen Router und ihre IoT-Gadgets behandelten als würde es sich einfach um ein weiteres Haushaltsgerät handeln (einstecken und nicht weiter darüber nachdenken), aber unglücklicherweise brauchten selbst besonders einfach zu nutzende, wartungsfreie Router ein Minimum an Aufmerksamkeit. Dazu gehöre es, die Standardeinstellungen zu ändern und komplexe Passwörter zu verwenden – ein Standard in der IT von Unternehmen, sollte man annehmen. Die Realität sehe allerdings anders aus, und „Defaultitis“ sei erheblich weiter verbreitet als man glauben sollte. Üblicherweise suchten nun Hacker nach öffentlichen Ports und anschließend nach schwachen Passwörtern auf PoS-Servern oder -Geräten – und das seien entweder solche, die nie geändert worden seien, oder solche, die ausschließlich aus Bequemlichkeit so vergeben würden wie etwa „admin1234“.

Beibehalten der Standardeinstellungen erleichtert fremde Übernahme

Genau das sei die Technik, derer sich das „Mirai“-Botnet bei seinem Angriff auf IoT-Kameras bedient habe. Selbst wenn Angreifer andere gängige Methoden wie beispielsweise Phishing verwendeten, könnten sie sich Schwachstellen innerhalb der internen firmeneigenen Software mit beibehaltenen Default-Einstellungen zunutze machen.
So sei es geschehen beim „Mega-Hack“ auf die US-Handelskette Target. Die Hacker hätten bereits gewusst, dass es bei Target ein Account gegeben habe, bei dem die Standardeinstellungen leichtsinnigerweise beibehalten worden seien (es habe sich um eine beliebte IT-Managementsoftware gehandelt). Sich dieses Accounts zu bemächtigen sei vergleichsweise simpel gewesen. Anschließend sei genau dieses Konto mit zusätzlichen Rechten ausgestattet worden, was es den Angreifern erlaubt habe, unzählige Kreditkartendaten zu stehlen und aus dem Netzwerk heraus zu schleusen.

Gefahr für Unternehmen: Schwachstellen und „Defaultitis“

Die wichtigste Lektion, die das „Mirai“-Botnetz erteilt habe: Es werde immer Lücken an der Netzwerkgrenze geben. Wenn man von den allgegenwärtigen Phishing-Kampagnen hierbei einmal absehen wolle, werde es weiterhin Schwachstellen in Routern, Netzwerkgeräten und anderen Infrastrukturkomponenten geben – und diese erlaubten es Hackern ins Netzwerk zu gelangen.
Die menschliche Natur lasse sich nur sehr viel schwerer ändern als es im Sinne der IT-Sicherheit lieb sei. So sei mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass die „Defaultitis“ weiter grassiere. Unternehmenssoftware gehöre nicht zu den simpelsten Tools. Für IT-Abteilungen habe es deshalb Priorität, Applikationen und Systeme so schnell wie möglich zum Laufen zu bekommen. Nicht selten würden dann Standardeinstellungen und schwache Passwörter beibehalten, in der Hoffnung, dass der Benutzer sie dann selbst ändert. Für Unternehmen werde das ein Problem bleiben.

„Mirai“-Lektion sollte Lernkultur stärken!

Man könne getrost davon ausgehen, dass es Hackern immer wieder gelingen werde, die erste Verteidigungslinie eines Unternehmensnetzwerks zu durchbrechen oder zu umgehen, warnt Green.
Traditionelle Sicherheitssysteme sollte man deshalb ergänzen, um das Netzwerk im Hinblick auf potenzielle Eindringlinge zu überwachen. So gesehen könne man fast dankbar für die „Mirai“-Lektion sein. Green: „Das Vorkommnis hat jedenfalls sehr deutlich gezeigt, dass Unternehmen den Blick nach Innen richten sollten, wenn sie Datenschutzmaßnahmen planen und Risiken senken wollen.“

Weitere Informationen zum Thema:

VARONIS – The Inside Out Security Blog, 01.11.2016
Overheard: “IT security has nothing to learn from the Mirai attack”

datensicherheit.de, 05.10.2016
Schwere Datenschutzverletzung bei Yahoo wirft Fragen auf