Suchen

Ungeschütztes IoT-Gerät in Minuten gehackt! Webcam in 98 Sekunden durch Botnet infiziert

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Wie gefährdet sind IoT-Geräte mit Internetzugang? Ein Sicherheitsexperte wollte es herausfinden, kaufte sich eine günstige IP-Kamera und schloss sie unter Beobachtung am Internet an. Innerhalb von Minuten hatte ein Bot das Gerät gefunden, innerhalb von Sekunden war es gehackt und infiziert.

Firmen zum Thema

Botnets infizieren IoT-Geräte innerhalb von Minuten. Gerade hartcodierte, nicht veränderbare Telnet-Passwörter stellen ein großes Problem dar.
Botnets infizieren IoT-Geräte innerhalb von Minuten. Gerade hartcodierte, nicht veränderbare Telnet-Passwörter stellen ein großes Problem dar.
(Bild: Pixabay / CC0 )

Das Mirai-Botnetz hat in den letzten Monaten mehrere spektakuläre DDoS-Angriffe verursacht. Entsprechend groß ist das Interesse unter Sicherheitsexperten, vor allem, nachdem der Quelltext auf Github veröffentlicht wurde. Rob Graham, ein fast schon berühmt-berüchtigter Hacker und Co-Schreiber bei ErrataSecurity, wollte genau wissen wie ein solches Botnet vorgeht. Also kaufte er eine günstige IP-Kamera. Diese isolierte er über einen Raspberry PI vom Rest seines Netzwerks und lies sie mit dem Internet kommunizieren.

Innerhalb von fünf Minuten hatte ein Wurm die Kamera aufgespürt, einen Login gefunden und das Gerät mit eigenem Code infiziert. Graham überwachte die Kommunikation die gesamte Zeit und dokumentierte das Vorgehen auf seinem Twitter-Account. Das bietet einige interessante Einblicke in die Vorgehensweise der Malware.

Zunächst sucht der Wurm nach einem Weg, die Binärdateien für die Infektion nachzuladen. Dabei versucht es mehre Ansätze, etwa wget oder tftp. Schlägt dies fehl, greift die Malware zu anderen Techniken. Sobald die Binärdateien auf dem System sind, kann der Wurm das Opfer infizieren. Im Test klappte dies innerhalb von 98 Sekunden.

Abwehrmaßnahmen

Es ist beeindruckend, wie schnell Mirai neue Geräte im Internet finden und infizieren kann. Das ist wahrscheinlich eine Notwendigkeit um so erfolgreich zu sein. Viele Zielgeräte bieten keinen dauerhaften Speicher, entsprechend müssen sie nach jedem Neustart neu infiziert werden.

Als Anwender, egal ob zu Hause oder im Unternehmen, sollte man neue IP-basierte Geräte entsprechend in einem geschlossenen Netzwerk einrichten. Wichtig ist, dass alle Kennwörter geändert werden, bevor das Gerät Kontakt mit dem Internet aufnehmen kann. Besonders bei günstigen Geräten kann es allerdings sein, dass etwa Telnet-Kennwörter nicht geändert werden können. Dann sollten verwundbare, nicht genutzte Ports in der Firewall blockiert werden. Wer auf Nummer sichergehen möchte, der kann seine Systeme zudem regelmäßig neu starten um eine etwaige Infektion zu löschen.

(ID:44402118)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist