In einer Richtlinie zu Schadsoftware habe ich mal die etwas sperrige Formulierung „begrenzt konfigurierbare Geräte“ verwendet.
Gemeint ist die ganze Billigelektronik, die ganzen teuren Medizingeräte, all der Kram, den wir in Organisationen im Netzwerk finden. Egal wie klein und egal wie simpel die Funktionsweise - auf den Geräten laufen Betriebssysteme, die im Prinzip genau so funktionieren können (und i.d.R. auch tun) wie die auf unseren Computern und Laptops.
Nicht weil unsere Smartwatch oder der Staubsaugerroboter wirklich einen Texteditor oder einen SSH-Client benötigt - sondern weil es halt einfacher und schneller ist eine bereits existierende Software zu verwenden als sie erst zu schreiben oder erst anzupassen.
Es funktioniert? Prima. Es kann mehr als wir benötigen? Kein Problem!
Beispiele dafür dass solche Geräte Infrastruktur kompromittieren können, gibt es täglich, meine persönliche Top 3 Liste über die Jahre waren:
-
Sex Toys
Ein Hersteller von Zubehör für die Erwachsenenunterhaltung hat seinen Artikel mit Kamera und Motoren versehen (fragt mich nicht, ich weiss es auch nicht), und der Einfachheit halber eine Firmware aufgespielt die ‚eigentlich‘ für Flugdrohnen gedacht ist. Dabei hat er das Standardpasswort nicht geändert, so dass Gott und die Welt per Funkschnittstelle darauf zugreifen konnten… wie ich gelernt habe hat sich der Begriff „Screwdriving“ dafür etabliert durch die Gegend zu fahren und im Netzwerk Ausschau nach derlei Geräten zu halten. -
Thermometer am Aquarium
Ein Kasino hatte mal ein großes Aquarium in der Lobby stehen, an diesem Aquarium befand sich ein Thermometer für die Wassertemperatur, dass man dann an das Netzwerk der Infrastruktur angeschlossen hat. Somit hatten Angreifer dann die Müglichkeit über ein ungeschütztes System in die Infrastruktur einzudringen und sensible Daten rauszutragen. -
Bügeleisen
Klar, Bügeleisen brauchen natürlich einen Wifi-Chip. Man will seine Wäsche ja nicht bügeln wie so ein Steinzeitmensch. Laut alten Berichten, die Quellenlage ist da nebulös, wurden diese dann verwendet um Schadsoftware über WLAN auszuspielen und/oder aus verschiedenen WLANs Scam/Spam zu versenden. Diese Geschichte ist mit einem Fragezeichen über dem Kopf zu lesen, da eigentlich Geräte für Angriffe verwendet werden, die eine ständige Stromversorgung und ständige Netzwerkverbindung haben sollten, was - ich kann da nur für mich sprechen - bei Bügeleisen nicht durchgehend der Fall ist.
Warum wärme ich hier gerade die ollen Kamellen auf? Wir haben mal wieder einen schönen Fall. Wie Bleeping Computer berichtet gab es mal wieder einen schönen Fall, wo sich Angreifer einer Webcam bedient haben.
Hier gibt es sogar einen Twist - die Angreifer hatten sich bereits lateral im Netzwerk ausgebreitet, aber sie bekamen den Ball nicht ins Tor geschossen. Die Sicherheitssoftware auf den Computern blockierte das Programm zum Verschlüsseln der Daten. Also haben sie sich noch etwas weiter umgeguckt, festgestellt dass da eine vernetzte Webcam ohne Sicherheitssoftware (wie auch) im System hängt… darauf eine alte, vulnerable Linux-Distribution lief, und haben dann von dieser Webcam aus Netzwerklaufwerke gemountet und die Schadsoftware auf der Webcam laufen lassen, die dann die Netzwerklaufwerke verschlüsselt hat.
Was hätte man tun können? Nun ja
- Die ersten Versuche auf den Computern haben sicherlich einen Alarm ausgelöst… da hätte man genauer hingucken können was los ist, als nur zu sagen „Prima, Virenscanner hat seinen Job gemacht, das schreibe ich dann in den Jahresbericht für ein Fleissbienchen“.
- Man hätte diese Webcam in ein segmentiertes Netz packen können, so dass sie gar nicht erst die Möglichkeit hat sich alle Netzwerke zu mounten und darauf zuzugreifen.
- Man hätte ein Monitoring-System verwenden können dass auffällige Netzwerkaktivitäten bemerkt und unterbindet.
- Man hätte ein Monitoring-System verwenden können, dass auffällige Schreibaktivität auf den Servern bemerkt und unterbindet
- Man hätte bei der Datensicherung merken können, dass das letzte Backup unwahrscheinlich groß ist (jede Datei hätte sich ja geändert).
- Und man hätte die Software auf der Webcam ins Patchmanagement aufnehmen können - laut Artikel hätte ein Update zur Verfügung gestanden, dass die ausgenutzte Sicherheitslücke geschlossen hätte.
Vielleicht ist das ja eine Geschichte, die euch das nächste mal bei der Budgetplanung hilft, wenn es darum geht welche Systeme man einsetzt, und wer diese Meldungen eigentlich bekommt und bearbeitet.