Ein Jahr im Rückblick:12 Überlegungen zur IoT-Sicherheit

Aus Verbrauchersicht sind die größten Sorgen der IoT-Sicherheit der Datenschutz -verbunden. Eine Familie könnte sich Sorgen machen, dass ihre Überwachungskameras einem Fremden einen Einblick in ihr Zuhause geben könnten. Oder dass die Daten, die ihre intelligenten Lautsprecher sammeln, angreifbar sind.

Diese Sorgen sind zwar berechtigt, passen jedoch nicht zu den gängigsten Bedrohungsmodellen oder stellen die größten IoT-Sicherheitsrisiken dar. Ein Angreifer, der auf IoT-Geräte abzielt, wird diese Geräte eher als Mittel zum Zweck betrachten. Vielleicht könnten sie Dutzende von ihnen in einem Distributed-Denial-of-Service-Angriff nutzen. Oder verwenden Sie sie als Drehpunkt, um wertvollere Ziele im Netzwerk zu erreichen.

In einem kürzlich auf der DEFCON in Las Vegas geführten Vortrag beleuchtete Bryson Bort, Chief Executive Officer von Scythe, Vorsitzender von GRIMM und Berater des Army Cyber ​​Institute in West Point, einige der bedeutendsten Trends im Bereich der Cybersicherheit im Zusammenhang mit IoT und industrielle Steuerungssysteme im letzten Jahr.

1. Nationalstaatliche Attribution wird immer häufiger

Vor nicht allzu langer Zeit schienen Gruppen der organisierten Kriminalität hinter der überwiegenden Mehrheit der Cyberangriffe zu stecken. Aber jetzt steigern nationalstaatliche Akteure ihr Spiel – manchmal rekrutieren sie Talente aus der Cyber-Unterwelt.

Der jüngste Data Breach Investigations Report von Verizon zeigt, dass die Zahl der Verstöße, die Gruppen der organisierten Kriminalität zugeschrieben werden, seit 2015 erheblich zurückgegangen ist. Im gleichen Zeitraum nahmen die staatsnahen Aktivitäten zu.

Mit zunehmender nationalstaatlicher Aktivität sind auch Versuche gewachsen, zu erklären, welches Land hinter einem bestimmten Angriff steckte. Während sich Cybersicherheitsforscher oft auf die technische Seite von Angriffen konzentrieren, sagte Bort, es sei wichtig, die Rolle der wahrscheinlichen Motivationen der Nationalstaaten bei einem bestimmten Angriff zu verstehen.

2. Der Angriff auf IoT-Geräte als Drehpunkt ist eine echte Sorge

Das Risiko, dass ein Angreifer Sie ausspioniert, wenn Sie durch eine mit dem Internet verbundene Kamera aus der Dusche steigen, ist real. Aber diese Art von Verletzung entspricht nicht den allgemeineren Zielen der Bedrohungsakteure, finanzieller Gewinn oder von Unternehmen oder Regierungen gezielter Spionage.

Eine bedeutendere Bedrohung ist jedoch die Verwendung von IoT-Geräten für seitliche Angriffe. Das Eindringen in viele handelsübliche IoT-Geräte ist relativ trivial und bietet einen Ausgangspunkt für weitere Spionage oder Sabotage.

Das Microsoft Security Response Center berichtete kürzlich, es habe einen Bedrohungsakteur beobachtet, der auf „ein VOIP-Telefon, einen Bürodrucker und einen Videodecoder“ abzielte. Die offensichtliche Motivation des Angreifers bestand darin, sich Zugang zu einer Vielzahl von Unternehmensnetzwerken zu verschaffen. „Sobald der Akteur erfolgreich Zugang zum Netzwerk eingerichtet hatte, ermöglichte ihm ein einfacher Netzwerkscan, um nach anderen unsicheren Geräten zu suchen, die Suche nach Konten mit höheren Privilegien, die Zugriff auf höherwertige Daten gewähren würden, und ermöglichte es ihm, sich im Netzwerk zu bewegen Bericht erklärt. Microsoft führte die Aktivität einer Gruppe namens "Strontium" zu, die auch als APT 28 von Fancy Bear bekannt ist. Das Kollektiv soll auch 2016 am DNC-Hack beteiligt gewesen sein.

3. Luftspalt (noch) nicht vorhanden

Theoretisch ist ein Air-Gap-Netzwerk physisch vom Rest der Welt isoliert, was es immun gegen Angriffe über das Internet macht. In der Realität sehen sich Unternehmen, die einen Ansatz der Sicherheit durch Verborgenheit verwenden, einem erhöhten Risiko ausgesetzt, Sicherheitsverletzungen zu erleiden. „Hat schon mal jemand einen echten Luftspalt gesehen?“ fragte Bort. „Nein, weil es sie nicht wirklich gibt. Kein einziges Mal in meinem ganzen Leben mit Stifttests in industriellen Steuerungsumgebungen [habe ich einen gesehen]“, fügte er hinzu.

Das bekannteste Beispiel für einen Bruch eines angeblich Luftspaltsystems ist wahrscheinlich Stuxnet. Bei dieser Verletzung konnte sich der Angreifer Zugang zu einem Netzwerk innerhalb einer iranischen Atomanlage verschaffen – wahrscheinlich über einen USB-Stick.

4. Die dunkle Seite grüner Energie ist Cybersicherheit

Dass das US-Stromnetz anfällig für Cyberangriffe ist, hat dank der Bemühungen erfahrener Journalisten wie Ted Koppel, dessen Buch „Lights Out“ aus dem Jahr 2015 dieses Thema behandelt, Berühmtheit erlangt. Auch im Jahr 2015 konnten angeblich russische Hacker rund 230.000 Menschen vorübergehend abschalten. In der Zwischenzeit haben US-Zeitungen eine Reihe von Artikeln veröffentlicht, in denen behauptet wird, Russland ziele auf das US-Stromnetz ab. In jüngerer Zeit gibt es anonyme Enthüllungen, dass die Vereinigten Staaten auch Russland ins Visier nehmen.

Die Situation wirft die Frage auf, warum Länder auf der ganzen Welt die Informationstechnologie in ihren Stromnetzen in großem Umfang nutzen, wenn sie eine Vielzahl neuer Bedrohungen mit sich bringt.

Bort fragte:„Warum gehen wir nicht einfach wieder komplett analog zurück?“

Ein Teil der Antwort auf die Frage ist grüne Energie. Eine Vielzahl von Faktoren, von Menschen auf der ganzen Welt, die Elektrofahrzeuge kaufen, bis hin zur Installation von Sonnenkollektoren auf ihrem Dach, haben die Gleichung für die Stromverteilung grundlegend verändert. Vor einigen Jahrzehnten war der Elektronenfluss von einem Umspannwerk zu einem Verbraucher unidirektional. Aber jetzt liefern Verbraucher durch erneuerbare Energien wie Solarenergie zeitweise Strom zurück ins Netz. „Jetzt brauche ich Computer, um das exponentiell komplexere Stromnetz zu verwalten“, sagte Bort.

5. Nationalstaaten greifen zunehmend kritische Infrastrukturen an

Cyberwarfare ist vielleicht nicht neu, aber die Nationalstaaten scheinen ihre Bemühungen zu verstärken, die industriellen Kontrollsysteme und die kritische Infrastruktur ihrer Konkurrenten anzugreifen. Diese Infrastruktur reicht von Wahlgeräten bis hin zu Wasser- und Strominfrastruktur.

Im Allgemeinen sind die nationalstaatlichen Akteure mit den fortschrittlichsten Cyberabteilungen die Vereinigten Staaten, Großbritannien, Israel, Russland, Nordkorea und der Iran. Vietnam würde wahrscheinlich eine lobende Erwähnung erhalten, sagte Bort. „Im vergangenen Jahr haben wir erlebt, wie die Vietnamesen nationalstaatliche Spionage auf extremem Niveau betrieben.

Anfang des Jahres berichtete Bloomberg, dass „staatsnahe Hacker Vietnams“ auf ausländische Automobilunternehmen abzielen, um die aufkeimenden Initiativen zur Fahrzeugherstellung des Landes zu unterstützen.

6. Cyberangriffe helfen, isolierte Länder zu finanzieren 

Im Jahr 2017 berichtete die New York Times, dass die Trump-Administration 4 Milliarden US-Dollar beantragt hatte, um Cyberwaffen zur Sabotage der nordkoreanischen Raketenkontrollsysteme zu finanzieren. Die Finanzierung würde auch Drohnen und Kampfjets unterstützen, um solche Raketen vom Himmel zu schlagen, bevor sie die US-Küsten erreichen. Dieselbe Veröffentlichung hatte anonyme Quellen zitiert, die behaupteten, eine laufende Cyber-Kampagne habe die Raketensysteme des Landes mindestens seit 2014 ins Visier genommen.

Die andere Falte dieser Geschichte ist ein UN-Bericht, der enthüllt, wie Nordkorea bei der Finanzierung seines Waffenprogramms hilft. Darin heißt es, dass die Nation 2 Milliarden US-Dollar an Geldern von Finanzinstituten und Kryptowährungsbörsen gestohlen hat.

Bort sagte, es sei wahrscheinlich, dass Nordkorea die Mittel für eine Reihe von Käufen verwendet habe. „Niemand kümmert sich um [Nordkoreas] Währung. Sie befinden sich in einer geschlossenen Wirtschaft“, sagte er. „Wenn der Dear Leader Whisky und Ferraris haben möchte, kann er ihn nicht in lokaler Währung kaufen. Er braucht harte Währung“, fügte er hinzu. „Aus der Cyber-Perspektive ist ihr Hauptmotiv also Diebstahl.“

7. Ein einziger Cyber-Angriff kann Hunderte Millionen Dollar Schaden anrichten

Genau genommen sind WannaCry und seine Varianten nicht explizit IoT- oder ICS-fokussiert. Aber die Malware, die auf Microsoft Windows-Betriebssysteme abzielt, fügte ihren Opfern ähnliche Schäden zu. WannaCry zeigte, dass eine Malware den Betrieb des britischen National Health Service aufhalten könnte. Die Kosten der Malware für den NHS, die auch zur Absage von 19.000 Terminen führte, beliefen sich auf 92 Millionen Pfund. Unterdessen kostete der Cousin von WannaCry, NotPetya, einen weltweiten Versandkonzern zwischen 200 und 300 Millionen US-Dollar.

Nachdem die Malware über einen anfälligen Lieferanten in das Produktionswerk eingeführt wurde, war das goldene Image des Werks so alt, dass es nicht gepatcht werden konnte. Nachdem die WannaCry-Variante in der Umgebung eingesetzt wurde, "kompromittiert sie alles, was sie berühren konnte, und nahm die gesamte Anlage herunter", sagte Bort.

Während die USA WannaCry Nordkorea zugeschrieben haben, ist es unwahrscheinlich, dass der Nationalstaat beabsichtigt, die Anlage zu infizieren. "Dies war ein Lieferant, der zufällig ein infiziertes Bild hatte und es eingeführt hat", sagte Bort. "Ich weiss. Es ist verrückt.“

8. Trisis sollte ein Weckruf sein

Wie WannaCry startete Trisis angeblich im Jahr 2017. Die Angreifer, von denen FireEye glaubt, dass sie Verbindungen zu Russland haben, setzten eine Kombination aus Phishing und einer Watering-Hole-basierten Kampagne gegen ihre Opfer ein. Die Angreifer zielten zunächst auf IT. Infrastruktur und zog dann seitlich zu ihrem O.T. Netzwerk, wo sie das sicherheitstechnische System einer kritischen Infrastruktureinrichtung angriffen. „Das ist eine große Sache“, sagte Bort. „In industriellen Steuerungssystemen [das SIS] betreibt die Sensoren und Computer, die Dinge in der physischen Umgebung verändern.“

Während speicherprogrammierbare Steuerungen berechnen, was in der physischen Umgebung für industrielle Steuerungen passieren soll, „sind sie dumme Computer“, sagte Bort. „Ich muss keine SPS hacken. Ich muss nur einer SPS sagen, was sie tun soll. Sie bestätigen mich nicht. Sie suchen nicht nach Autorität. [..] „Das macht das SIS.“

Während die ersten offengelegten Opfer von Trisis im Nahen Osten ansässig waren, zielen die Autoren des Angriffs laut CyberScoop nun auf das US-Stromnetz.

9. Kampagnen für kritische Infrastrukturen laufen auf Hochtouren

Es mag relativ wenige Beispiele geben, die darauf hinweisen, dass riesige Bevölkerungsschichten auf der ganzen Welt von Cyberangriffen auf der Grundlage kritischer Infrastrukturen betroffen waren. Aber eine wachsende Zahl von Hackern greift diese Infrastruktur an. „Der wichtigste Punkt bei Angriffen auf kritische Infrastrukturen ist, dass es sich um iterative Geheimdienstkampagnen handelt“, sagte Bort. „Wir haben nicht viele Beweise dafür, dass das, was zerstörerisch sein sollte. Aber wir haben definitiv einen Beweis für diese Absicht, in die Infrastruktur einzusteigen.“

10. Ransomware hat das Potenzial, IoT-Geräte anzugreifen

Sicherheitsforscher haben bewiesen, dass es möglich ist, eine Reihe von IoT-Geräten als Geiseln zu halten. Obwohl Ransomware weit verbreitet ist, zielen die Angreifer, die sie einsetzen, eher auf herkömmliche Computergeräte ab.

Bort prognostiziert, dass sich Ransomware in den nächsten fünf Jahren auf neue IoT-basierte Domänen ausbreiten wird. „Ich denke, irgendwo auf der Welt wird morgens jemand aufwachen und sich zu seinem Auto vorarbeiten, um zur Arbeit zu gehen“, sagte er. „In der Sekunde, in der sie das Auto einschalten, wird das Infotainment-System mit der folgenden Meldung angezeigt:‚Ransomware:Senden Sie 3 Bitcoins, um es einzuschalten.‘“

11. In einer vernetzten Welt sind Lieferanten Teil des Risikomodells

Im vergangenen Jahr schlug Bloomberg mit der Behauptung, China habe die US-Lieferkette infiltriert, indem es einen der weltweit führenden Anbieter von Server-Motherboards kompromittiert habe. Die Geschichte wurde von mehreren Führungskräften der in der Geschichte erwähnten großen Technologiefirmen, darunter SuperMicro, Apple und Amazon, sowie Vertreter des US-Heimatschutzministeriums und des britischen National Cyber ​​Security Centre angefochten.

Während die Fakten des Artikels in Frage gestellt werden können, ist das sogenannte „Leben vom Land“ eine Bedrohung. „Angreifer bringen nicht nur ihre eigenen Werkzeuge mit ins Spiel. Sie nehmen das, was in dieser Umgebung bereits vorhanden ist, und verwenden es gegen Sie“, sagte Bort. „Alles, was Ihre Infrastruktur berührt, ist Teil Ihres Risikomodells. Es ist nicht mehr nur du.“

12. Ihre Daten verbreiten sich. So wird es verkauft.

„Wussten Sie, dass ein Smart-TV weniger kostet als ein Fernseher ohne Smart-Funktionalität?“ fragte Bort in der DEFCON-Sitzung. "Warum ist das so? Sie verdienen Geld mit Ihrer Telemetrie und Ihren Daten.“

Ein Business Insider-Artikel vom April kommt zu dem gleichen Schluss:„Einige Hersteller sammeln Daten über Benutzer und verkaufen diese Daten an Dritte. Die Daten können die Art der Sendungen, die Sie sich ansehen, die Anzeigen, die Sie ansehen, und Ihr ungefährer Standort umfassen.“

Einige Autohersteller wenden ähnliche Taktiken an, sagte Bort. „Es gibt mehrere Modelle, bei denen die Autohersteller prüfen, wie und was sie Ihnen beim Autofahren abnehmen können.“

Ein Bericht der US-chinesischen Wirtschafts- und Sicherheitsprüfungskommission äußerte sich besorgt über den „unberechtigten Zugriff der chinesischen Regierung auf IoT-Geräte und sensible Daten“ sowie die Ausweitung des „autorisierenden Zugriffs“. In dem Bericht heißt es:„[Chinas] autorisierter Zugriff auf die IoT-Daten von US-Verbrauchern wird nur zunehmen, wenn chinesische IoT-Unternehmen ihre Produktions- und Kostenvorteile nutzen, um Marktanteile in den USA zu gewinnen.“

Bort sagte, dass viele IoT-Geräte der Verbraucherklasse Daten nach China senden. „Wenn Sie wirklich Spaß haben wollen, schließen Sie ein IoT-Gerät zu Hause an, überprüfen Sie die Pakete und sehen Sie, wohin sie gehen“, sagte er. „Ich habe noch kein einziges Gerät gesehen, das ich angeschlossen habe, das nicht nach China geht. Nun, ich behaupte nicht, dass das ruchlos oder bösartig ist.“ Es ist einfach typisch für solche IoT-Geräte, Daten ins Land zu übertragen. Er fragte:„Wo werden sie hergestellt?“