BrickerBot: Verbrannte-Erde-Malware zerstört unsichere IoT-Systeme

Unbekannte haben offenbar das Ziel, das Erstarken eines neuen IoT-Botnetzes nach dem Vorbild von Mirai um jeden Preis zu verhindern. Dass ihnen dafür wirklich jedes Mittel recht ist, zeigt sich schlicht daran, dass sie sich die Taktik der ... mehr... überwachung, Spionage, Feuer, Mittelerde, Auge, Sauron Bildquelle: SELUXKANAUR (CC BY-ND 3.0) überwachung, Spionage, Feuer, Mittelerde, Auge, Sauron überwachung, Spionage, Feuer, Mittelerde, Auge, Sauron SELUXKANAUR (CC BY-ND 3.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Na dann liebe Hersteller (und Kunden), jetzt wird's richtig unangenehm. PS: Ich bleib wohl noch ein bisschen in meiner primitiven Höhle mit physikalischen Schaltern wohnen.
 
@chillah: Oder man nimmt einfach Geräte, die einem den Komfort erhöhen und auch ohne Internet in einem reinem Intranet einwandfrei ihren Dienst tun.
So verfahre ich seit über 10 Jahren und möchte den Komfort nicht missen.
 
@Master_P.: Und wie stellst Du das an? Es gibt da z.B. Heizungsthermostate, die per vpn nach Hause telefonieren und ganz neben bei auf bestimmten ports auf Nachricht lauschen! Schaltest du bei denen das W-Lan ab? Dann ist es aber mit "Komfort" so fort vorbei. Auch gibt es Schaltbare Steckdosen, die übers I-Net auf Befehle warten. Kappst Du die Verbindung, kannst du nicht mehr von Unterwegs die Kaffeemaschine einschalten. "Komfort" dahin!
Also bitte erkläre es mir, was du machst und wie. Danke.
 
@rOOts: Erst mal wäre die frage warum jedes Gerät ein vpn machen kann...im internen netz darf es auch gern ports öffnen, warum sind die von außen erreichbar? Achja da gibt's ja auch ne tolle funktion die jeder bei verstand abschaltet. Zum call home vpn generell habe ich ja unten schon gefragt

Zu guter letzt, warum kauft man blindlings irgendwelche Geräte?
 
@0711: Also, zum Einen sind solche Funktionen ja gar nicht dokumentiert!
Zum anderen, was nutzt ein Kühlschrank, der selbständig Eier einkaufen kann, wenn er gar nicht am Netz hängt? Also, es Gibt ja durch aus Geräte, die machen erst Sinn, wenn sie ON sind. Ob ich mein HOME auch aus dem Urlaub "übwerwachen" kann, muss jeder für sich entscheiden, aber andere können dies dann wohl möglich auch ;)
 
Gutes vorgehen, Schutz der Gesellschaft > Individualrecht
 
@0711: Vom Kern her gebe ich dir Recht. Aber wenn z.B. das Heizungsthermostat ausfällt ist das nicht mehr schön. Besonders, wenn man in einer etwas kälteren Region wohnt & so gut wie alle Heizkörper auf so IoT Thermostate umgestellt hat. Dann hat man die Bude vielleicht ein paar Tage lang kalt. Man müsste nämlich erst neue Thermostate besorgen. Und die alten wird man wohl auf Garantie, insofoern noch vorhanden, zum Verkäufer schicken bzw bringen. Und der muss dann auch erstmal neue rausgeben & nicht die "kaputten" erstmal in Reparatur geben.
 
@Blubbsert: jetzt wo das aber bekannt ist kann man vlt die thermostate vom i-net nehmen. werden ja auch im (w)lan gehen oder?
 
@Blubbsert: Was hat eine Heizung im Internet zu suchen? Davon abgesehen kann man die meisten "smarten" Thermoregler immer noch manuell bedienen.
 
@Blubbsert: Wenn diese Geräte derart unsicher im Netz hängen gehört als aller erstes der Betreiber bestraft, dann kann er sich um den Ersatz dieses Sondermülls kümmern.
 
@0711: Die Dinger tunneln die Router und telefonieren per VPN nach Hause. Da beste ist, der Verbraucher wird darüber sehr oft im unklaren gelassen!
Nun sind die Hersteller in der Pflicht!! Macht sie kaputt, die unsicheren IoT-Systeme!
Es tut mir zwar leid für die Anwender, aber es muss sich da endlich was tun.
 
@rOOts: Welche Geräte werden durch call home vpns anfällig?
 
@0711: Auszug aus c'T 8 vom 1.4.2017
Die von Aldi im Januar verkauften WLAN-Steckdosen enthalten ein nirgends dokumentiertes Web-Frontend.Gesichert nur mit einem Standardpasswort und man gelangt darüber sogar an das WLAN-Passwort!
Und im Fazit:
Welche Risiken ein Kunde durch den Betrieb eines IoT- oder Smart-Home-Gerätes eingeht, verheimlichen die Hersteller konsequent!
Versteckte Sensoren, Dienste und Funktionen auf welche in keinster Weise hingewiesen wird.

Wie soll da bitte ein unbedarfter Anwender vorgehen?
Eigentlich müssten diese Systeme ALLE vom Markt und zwar solange bis sich die Hersteller verpflichten für Sicherheit zu sorgen.

Um direkt auf deine Frage zu kommen, fast alle! Sichere IoT- oder Smart-Home-Systeme sind wohl eher die Ausnahme.
 
@rOOts: Was hat das mit Call Home VPNs zu tun? Das hat schlicht nichts mit (un)sicheren iot/smarthome Systemen zu tun...

Wie soll da bitte ein unbedarfter Anwender vorgehen? Simpel, ein unbedarfter Anwender sollte nicht jedes Dreck gerät ans Internet hängen (dürfen)
 
@0711: Willst du nun ALDI und Saturn & Media Makt die Lizenz zum Verkaufen entziehen,
oder muss nun jeder erst Netzwerktechnik oder Kommunikationstechnik studiert haben und muss einen Sachkenntnisnachweis erbringen, bevor er solche Technik kaufen darf! [Sarkasmus off]
Der Anwender hängt ja nicht das Gerät ans I-Net, sondern an sein Heimisches!
Ob trotz aller Vorsichtsmaßnahmen das Teil dann dennoch aus dem Netz erreichbar ist, können die meisten Anwender doch gar nicht überprüfen! B.z.w. sie müssen doch ans Netz, weil sie erst dann SMART sind.

Mein Beispiel hat direkt nichts mit Call Home, richtig! Es war laut Heise eine Webcam, die das WLAN-Passwort nach Hause sendete!
 
@rOOts: Ich bin durchaus freund deines genannten "Sachkenntnisnachweis" fürs Internet, ähnlich wie eben beim Auto. Die größten Probleme im Internet bestehen schlicht aufgrund der breiten Unkenntnis und Desinteresses vieler Anwender.

"Ob trotz aller Vorsichtsmaßnahmen das Teil dann dennoch aus dem Netz erreichbar ist, können die meisten Anwender doch gar nicht überprüfen!"
Tja und hier ist die krux, VOrsichtsmaßnahmen existieren bei den betroffenen Anwendern hier nicht, da wird nichts "geheimes" gemacht, da wird per upnp alles aufgemacht, die Anwender (mangelnde kentnis/Desinteresse) haben das natürlich auch im router standardmäßig aktiviert und so ist im wesentlichen alles offen. Bei diesen löchern geht es nicht darum dass sich irgendeine schlaue Software ein loch nach außen bohrt. Da wird einfach die reudige Einrichtung der meisten internetanschlüsse genutzt...alles offen, alles smart, alles geil

Ein Anwender muss für Schäden die er durch Unbedarftheit/Fahrlässigkeit verursacht haftbar sein...ob der Anwender dann den Hersteller in Regress nehmen kann ist dann erst mal sein Problem.
 
@0711: Zurück in die Steinzeit!
Ich bin der Meinung, dass da die Hersteller in der Pflicht sind!

Und Du brauchst einen Führerschein zur Teilnahme am Verkehr, aber keinen "Sachkenntnisnachweis", wie ein Kfz funktioniert und wie Du es reparieren könntest.
Dies wäre so in etwa ein vergleichbares Beispiel.
Also, ich muss nicht wissen, wie mein Kühlschrank das macht, dass ich immer frische Milch da habe, aber ich sollte wissen, wie ich die Einstellungen konfigurieren muss damit ich mehr oder weniger Milch geliefert bekomme. ;)
Und dank plug and play geht das doch auch.

Alles funzt, alles ok.
 
@Blubbsert: Wie konnte die Menschheit bisher nur überleben mit schlichten Bimetallreglern an den Heizkörpern, die nicht am Netz hingen.
 
@chronos42: ja, das frag ich mich auch immer wieder. Vor allem, wie oft verstellt man so ein Thermostat, dass es Sinn machen könnte ihn ans Netz zu hängen? Eigentlich muss man die nie verstellen, auch wenn ich zugeben muss, dass ich sie im Frühling alle zudrehe und im Herbst, wenns zu kalt wird erst wieder aufdrehe. Aber die zwei mal im Jahr kann ich problemlos zu den Dingen hingehen, sooo faul bin ich nicht, dass ich auch das vom Handy aus erledingen muss.
 
@0711: Aha, mutwillige Sachbeschädigung, eventuell lebenswichtiger Geräte findest du in Ordnung. Du musst ja auch bedenken, dass IoT-Geräte auch in Krankenhäusern zum Einsatz kommen. Aufgrund dieser Tatsache bezeichne ich so etwas auch als Mord.
 
@Memfis: Sollten solche Geräte am Internet hängen halte ich das für fahrlässig und zu aller erst sollte jener hinter schloss und riegel der das leben eines Patienten ans Internet angestöpselt hat, dann auch noch unverschlüsslte zugänge mit standardkennwörter offen haben...mit Fahrlässigkeit ist das wohl nicht mehr genug umschrieben, da muss man schon böse Absicht unterstellen.

Es ist längst Zeit dass es mal einen großen knall gibt bezüglich dem unverantwortlichen Umgang mit IT Systemen, fahrlässige Nutzung sollte längst vom Gesetzgeber sanktioniert werden...da der Gesetzgeber aber nichts macht sind hier offenbar dritte aktiv geworden und ich begrüße das

edit
Bei deinem Beispiel würde ich definitiv von fahrlässiger Tötung wenn nicht vorsätzlichem Mord sprechen aber ich spreche damit wohl eine andere Person an als du.
 
@0711: Die Geräte hängen natürlich nicht im Internet, noch nicht einmal am normalen Netzwerk, sondern befinden sich in einem getrennt betrieben Medizinnetzwerk. Aber auch das muss ja irgendwie gewartet werden und Informationen zentral erfasst werden. Ärzte und Pfleger wollen die Informationen am Ende irgendwo zentral ablesen und die Informationen müssen auch irgendwo (schon zu Beweiszwecken) gespeichert werden.

Wie das Netz genau aufgebaut ist weis ich nicht, da die Medizintechnik nicht mein Gebiet ist.
 
@Memfis: Na dann behaupte doch nicht, das sowas dort passiert und es dann "Mord" ist....
 
@Memfis: Hier spricht niemand von der Sabotage eines abgesicherten Netzwerks, es geht klar um Geräte die offen im Netz hängen, mit praktisch keiner Absicherung, für jeden zugreifbar, für jeden "nutzbar". Das ist eine volkswirtschaftliche Gefahr, das ist ein gesamtgesellschaftliches Problem.

Niemand würde auf die Idee kommen wenn jemand ein Auto ohne Bremse, Lichtanlage, Gurt etc betreibt irgendwie die Schuld abzusprechen wenn derjenige losheizt und jemand umfährt...bei IT Systemen scheint das aber gängige Praxis zu sein, kein Schutz, egal, gibt ja auch keine Polizei die entsprechende Systeme aus dem Verkehr zieht. Jetzt machts halt jemand anders und ich kann mich nur widerholen, ich bejubel es

Nebenbei sollten die angesprochenen Medizinsysteme wesentliche Dinge voneinander trennen...Informationen von z.B. Steuerung, nicht per Software sondern Hardware. Und auf keinen Fall sollte irgendwas davon öffentlich erreichbar sein
 
@0711: das Problem ist aber dass es mit diesem ding die user trifft und nicht die hersteller, die ja eigentlich verantwortlich sind.
 
@My1: Nein, der Betreiber ist verantwortlich wenn er ein unsicheres IT System in betrieb nimmt und ans Internet hängt und damit trifft es genau die richtigen.
 
@0711: wenn der hersteller nach bspw ca 1 Jahr das System nicht mehr updatet obwohl es eigentlich locker 10 Jahre und mehr gehen würde dann sehe ich die schuld eindeutig beim hersteller und nebenbei, woher soll denn der user wissen ob so n ding sicher ist, vor allem da es ja auch ständig bspw auf der packung steht dass es sicher ist.
 
@0711: Das Probelem ist aber, dass die Hersteller Funktionen in diese Systeme einbauen und den Anwender darüber einfach gar nicht informiert! Und nun?
Call home per VPN und tunnel!
 
@My1: Dann sollte man statt einem tenda Gerät eins avm kaufen, man kann wissen ob Hersteller Ihre Geräte pflegen aber den letzten ist das schlicht egal.

Wer es sich nicht zutraut sollte davon absehen Geräte ans Internet zu hängen.

Die idee des Internetführerscheins scheint mir immer attraktiver
 
@rOOts: Gehört für mich dazu ob jemand befähigt ist solch ein Gerät offen ans internet zu hängen oder nicht
 
@0711: naja selbst ein AVM gerät kann hoffnungslos veraltet sein, als fritzbox 6360 user kann ich dir n lied davon singen wie bei VF ewig nix kam.
und dazu sieht man auch im smartphone bereich dass selbst namhafte hersteller wie sansung das net schaffen mit dem updaten
 
@My1: Der User ist dafür genau so verantwortlich wenn er überall den billigen, unnützen Krempel installiert. Vielleicht bringt ihn die Zerstörung dieses Mülls doch mal zum Nachdenken über das eigene Handeln.
 
@0711: Spätestens wenn ein Servicetechniker mit einer derartigen Schadsoftware auf das Netz zugreift dürfte die Sache anders aussehen. Schonmal daran gedacht? In jedem Fall ist das bewusste Zerstören fremder Dinge nicht zu tolerieren.
 
@Memfis: DIe entsprechenden Gerätschaften bleiben dann schrott wenn sie für derartige angriffe wie brickerbot anfällig sind...und zwar großer schrott. Dafür gibt es schlicht keine Rechtfertigung, nirgends und unter keinen umständen
 
@0711: OK, wenn DU SMARTE Heizungsthermostate zu Hause installierst, oder eine WLAN-Steckdosen, möchtest Du dieses IoT- oder Smart-Home-System doch auch von unterwegs bedienen können. Ob Du nun ein Hightech-krack bist oder nicht, tut hier nichts zur Sache. Wenn die Hersteller nur "kaputte" IoT- oder Smart-Home-Systeme auf den Markt werfen, werden diese Systeme auch irgendwann zu "Zombies". Ob du willst oder nicht! D.h. Du musst dich dieser Technik verweigern, da du sie z.Z. nicht Sicher betreiben kannst!

Fazit: "Niemand ist z.Z. befähigt IoT- oder Smart-Home-Systeme Sicher zu betreiben!"
 
@rOOts: Ich habe eine ziemliche Abneigung gegen solche Systeme weil mir bewusst ist dass diese nahezu allesamt großer schrott sind, ja das müsste man oder man macht sie nur über eine gesicherte vpn Verbindung von unterwegs zugänglich was durchaus machbar ist (wobei manche geräte ja mit dem "heimatserver" sprechen müssen)

Fazit teile ich nicht aber ja, der Anspruch diese geräte halbwegs sicher zu betreiben ist hoch weil auf die Gerätschaften selbst nicht vertraut werden kann
 
@0711:

https://www.heise.de/newsticker/meldung/Sicherheitsforscher-IoT-Hersteller-machen-es-Bugjaegern-unnoetig-schwer-3678493.html

Ein Sicherheitsexperte hat nicht nur diverse Bugs in Kameras, NAS-Laufwerken, mobilen Routern oder einem Retinascanner gefunden

Ich bleibe dabei, "Niemand ist z.Z. befähigt IoT- oder Smart-Home-Systeme Sicher zu betreiben!"
 
@chronos42: wie ich in re:9 bereits erwähnte sind selbst markengeräte betroffen. In re:15 in dem heiselink sind auch NAS system von Western Digital betroffen. nicht unbeding "billiger krempel"
 
Kein Mitleid. Dieses zwanghafte "24/7-online und jedes verdammte Klo muß in's Netz" muß sich noch viel öfter rächen.
 
Ich finde das auch gut.
Schade für den Anwender und gut für den Anwender.
Wenn die IP-Cam den 10-fachen Stromverbrauch hat, weil sie dauernd an DDoS teilnimmt ist das auch für den Anwender nicht schön und der merkt das eventuell garnicht. Noch blöder ist, dass dann Websiten ausfallen und Traffic teurer wird + vll. sogar der Stream ruckelt.
Wenn das Gerät ordnungsgemäß benutzt kaputt geht fällt es oft in die Gewährleistungspflicht des Herstellers und der muss nachbessern.
Marodierende Geräte richten viel Schaden an, aber bringen dem Hersteller wenig Anreize nachzubessern.
Geräte die ständig kaputt gehen setzen den Hersteller unter Zugzwang, das nicht der ultimative, aber der bisher beste Lösungsansatz.

Viel viel schlimmer wäre es wenn das Problem noch eine Zeit lang länger unter den Teppich gekehrt werden würde.
rOOts nannte Heizungssysteme, das sind jetzt noch nicht allzuviele.
Stellt euch vor die werden gehackt und der Hacker wartet bis sich die Anzahl verhundertfacht um sie dann abzuschalten + Lösegeld zu verlangen.
Auch Krankenhäuser sind nicht davor gefeit wichtige Sachen ans Netz zu hängen, da soll es lieber jetzt krachen als später, momentan kenne ich noch keinen Fall wo ein Ausfall der IT sofort Leben bedrohen würde, aber es gibt einige Krankenhäuser die sehr wohl mit dem Gedanken spielen mehr wichtige Infrastruktur ans Netz zu hängen.
Google findet schnell ein paar kritische, noch nicht fatale Beispiele.
http://www.faz.net/aktuell/wirtschaft/unternehmen/krankenhaeuser-sind-ungeschuetzt-gegen-hackerangriffe-14552614.html
https://www.golem.de/news/gebaeudesteuerung-luxusklinik-vergass-it-im-netz-1702-126362.html

Wer aktuell sein Leben von IOT abhängig macht spielt Versuchskaninchen.
 
@andy01q: Richtig ich nannte Thermostate! Aber es sind quasi alle IoT- oder Smart-Home-Systeme davon betroffen.
Web-Cams mit WLAN, Schaltstackdosen mit WLAN, Automatische Schalter für den Rollladen mit WLAN, und noch vieles mehr. Alles was nur irgendwie mit WLAN ausgestattet ist, ist "kaputt"!
 
Die Beste News dieses Jahr.
 
Leider muss das wohl so sein, damit die Herren Entwickler mal eine schallende Ohrfeige erhalten und die grauen Zellen anfangen zu denken.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles