Angriffe auf Router
Paradigmenwechsel bei Geräte-Sicherheit nötig
Der Angriff, von dem auch 900.000 Router der Deutschen Telekom betroffen waren, schlägt hohe Wellen. Experten warnen, dass solche Angriffe in Zukunft zum Alltag werden könnten. Ein Umdenken bei der Geräte-Konfiguration ist gefordert. Ein Kommentar von Limelight Networks.
Noch immer ist unklar, wer hinter der Attacke steckte. Bekannt ist inzwischen, dass der Angriff nicht allein der Telekom galt. Außerdem verwendeten die Hacker als Basis für ihren Angriff eine Variante der Schadsoftware „Mirai“, die bereits seit September für verschiedene Attacken genutzt wurde.
Steve Miller-Jones, Senior Director Product Managements bei Limelight Networks, einem Unternehmen für die Bereitstellung und Auslieferung digitaler Inhalte, kommentiert den Vorfall wie folgt: „Der Mirai-Wurm und seine Varianten haben die Sicherheitsumgebung verändert. Es gibt unzählige Geräte, die mit dem Internet verbunden sind und damit als potenzielle Ziele übernommen und von Angreifern augenblicklich als ‘Bot-Armee’ genutzt werden können. Durch neu entwickelte und installierte Software Patches kann die Anzahl der anfälligen Geräte zwar reduziert werden, dennoch zeigen die jüngsten Attacken, welche Auswirkungen dieser Wurm haben kann und wie wichtig es ist, Security als Grundpfeiler bei der Bereitstellung aller Systeme, Software und Services sicherzustellen.“
Was ist das Problem?
„Im Fall des aktuellen Angriffs gab es eine Attacke auf Breitband-Router, die unter anderem tausende von Telekom-Router zum Absturz brachte. Vor allem ungesicherte Router mit einer Schwachstelle in der Fernwartungs-Schnittstelle haben es einer Version der Mirai-Schadcodes ermöglicht, die Router zu übernehmen“, weiß Miller-Jones. „Bei Angriffen durch Mirai scheinen mehrere Aspekte eine Rolle zu spielen und tatsächlich gab es bereits eine ganze Reihe von Angriffen mit dieser Schadsoftware. Zum einen sind die zum Internet gerichteten Schnittstellen der Breitband-Router einiger Hersteller ungesichert. Das erlaubt die Fernwartung auf Administratorebene ohne Authentifizierung. Zum anderen wurde berichtet, dass manche der Geräte Funktionen beinhalten, die anfällig für ‘Command-Injection’ sind.“
Was muss geändert werden?
„Die Botnet-Landschaft, die für solche Attacken existiert, hat sich seit dem Auftreten des Mirai-Wurms deutlich geändert. Besonders die Gerätehersteller sehen, dass ihre Kunden- und CPE-Geräte häufig leicht übernommen werden und dann als Teil einer großflächigen Attacke eingesetzt werden können“, sagt Steve Miller-Jones. „Eine Möglichkeit, um solchen Angriffen besser entgegenwirken zu können, ist, die Konfiguration von Geräten neu einzuschätzen, bevor sie mit dem Kunden geteilt werden. Das betrifft vor allem die voreingestellten Sicherheitsoptionen der Schnittstellen und die einzelnen Software-Komponenten innerhalb des Geräts. Schnittstellen dürfen nicht länger ungesichert sein, wenn sie mit dem Kunden geteilt werden. Auch davon auszugehen, dass die Authentifizierung und das System nicht kompromittiert werden oder diese Geräte für Hacker nicht interessant sind, sind Fehlannahmen. Ein solcher Paradigmenwechsel in der Herangehensweise an Online-Sicherheit verlangt, dass die gesamte Architektur von Software und Services, wie sie heute auf Geräten läuft, gründlich überprüft wird.“
Lesen Sie mehr zum Thema
