Angriffe auf Webcams oder NAS-Server

Honigtöpfe in der Cloud

| Autor: Dr. Stefan Riedl

Ein Honeypot immitiert in der IT-Security ein Angriffsziel, um Bösewichte zu überführen oder Angriffsmuster zu analysieren.
Ein Honeypot immitiert in der IT-Security ein Angriffsziel, um Bösewichte zu überführen oder Angriffsmuster zu analysieren. (© Maria.Epine - stock.adobe.com)

In einem Versuch von Sophos dauerte es nicht mal eine Minute, bis es einen ersten Angriff auf Cloud-Server-Honeypots gab, die sich als Webcams oder NAS-Server ausgaben. Im Laufe des 30-tätigen Testzeitraumes mit zehn Test-Servern in der Cloud ging es ziemlich rund.

Der Begriff „Honeypot“ ist in der IT-Security eine Metapher, die auf der Anziehungskraft eines Honigtopfs auf Bienen basiert. „Honigtopf“ bezeichnet ein System, das ein tatsächliches Angriffsziel lediglich imitiert, beispielsweise einen Cloudserver. Anschließend kann das cyberkriminelle Tun der Angreifer analysiert werden. Für die Studie „Exposed: Cyberattacks on Cloud Honeypots“ (PDF) haben Sicherheits-Spezialisten von Sophos genau das getan und 30 Tage lang zehn Cloud-Server-Honeypots ins Netz gestellt und zwar in zehn der weltweit größten AWS-Datenzentren (Amazon Web Services) in Frankfurt, London, Paris, Mumbai, Ohio, Sao Paolo, Singapur, Sydney, Kalifornien und in Irland. So viel ­vorab: Die Studienergebnisse zeigen, dass Hacker-Angriffe zahlreich und schnell erfolgen und die Angreifer wohl automatisiert vorgehen.

Standardbenutzernahmen und -Kennwörter

Die Cloud-Fallen simulierten den Secure­Shell-Dienst (SSH), um dortige Anmeldeversuche zu messen. SSH ist ein Fernzugriffsdienst, der nicht nur von Servern verwendet wird, sondern auch in Smart Homes von unterschiedlichen Geräten wie Webcams oder NAS-Geräten genutzt wird. Auf diesen Systemen können Nutzer über SSH eine Verbindung herstellen, um das Gerät aus der Ferne zu konfigurieren oder auf Dateien zuzugreifen. Wenn ein Angreifer die Anmeldeaufforderung auf einem IoT-Gerät überwinden konnte, erhält er nicht nur die gleichen Zugriffsrechte wie der Besitzer, sondern kann beispielsweise auch die Zugriffsdaten ändern. Wie bei ­realen Installationen häufig Fall, haben die Sophos-Forscher auch bei der Konfigura­tion der Honeypots die werkseitig vorinstallierten Standardbenutzernamen und -kennwörter beibehalten.

Über fünf Millionen Angriffsversuche

Im Ergebnis zeigt die Untersuchung auf, dass Geräte, die nicht die empfohlene Inbetriebnahme-Konfiguration ­erhalten haben (darunter die Änderung von werkseitig installierten Standardkennwörtern auf vielen Geräten), einem Hacker ­einen relativ einfachen Zugriff auf diese Geräte gestatten. So wurden während des 30-tägigen Testzeitraums insgesamt mehr als fünf Millionen Angriffsversuche auf das Honeypot-Netz gezählt. Am häufigsten traf es dabei Ohio mit rund 950.000 Versuchen, gefolgt von Mumbai, Sydney, Irland und Paris mit Angriffsraten zwischen knapp 680.000 und 613.000 sowie Kalifornien mit rund 573.000 Versuchen. Frankfurt verzeichnete knapp 440.00 Angriffsversuche, und London und Singapur kamen mit rund 314.000 beziehungsweise 313.000 Attacken davon.

Kennwort „123456“

Ihre potenziellen Ziele machten die Hacker sehr schnell aus und starteten umgehend erste Angriffe. So wurde bereits 52 Sekunden nach Freischaltung der Honeypot in Sao Paolo (Brasilien) attackiert. Paris und Sydney waren bei der Erst-Attacke 17 beziehungsweise 18 Minuten am Netz. Frankfurt ereilte es nach einer guten Stunde, und in Irland dauerte es mit gut 100 Minuten am längsten, bis ein erster Angriffsversuch erfolgte. Weltweit waren die Honeypot-Cloud-Server durchschnittlich jeweils 13 Mal pro Minute, beziehungsweise 757 Mal in der Stunde das Ziel versuchter Attacken. Darauf, dass Werkskonfigurationen eben nicht geändert werden, spekulieren dabei erwartungsgemäß auch die Hacker in der Cloud – sie verwendeten bei den meisten Anmeldeversuchen Standard-Benutzernamen und beliebte, häufig verwendete, schwache Kennwörter. Die Zahlenreihe „123456“ etwa wurde weltweit am häufigsten als Kennwort für einen ­Anmeldeversuch benutzt.

Professionelle Cyberkriminelle

„Die Geschwindigkeit und das Ausmaß der Angriffe zeigen einmal mehr, wie beharrlich und entschlossen Cyberkriminelle sind, um Cloud-Plattformen anzugreifen“, kommentiert Michael Veit, Security-Evangelist bei Sophos. „Unsere wichtigste Empfehlung ist daher immer eine starke ­Authentisierung per Zertifikat beziehungsweise per Multifaktor-Authentisierung und zeitbasiertem Einmalkennwort. Die Cloud ist ein elementarer Bestandteil des modernen IT-Alltags und daraus nicht mehr wegzudenken. Die einzigen zugelassenen Standards dürfen deshalb nur die Sorgfalt bei der Konfiguration und eine schlagkräftige IT-Sicherheitsstrategie sein.“

Tipps von Sophos und wie KI unterstützen kann

Für Unternehmen haben die Sophos-Experten folgende Ratschläge:

  • Verwenden Sie auf SSH-Servern die schlüsselbasierte Authentifizierung und nicht nur ein Kennwort.
  • Verwenden Sie fail2ban auf Linux-­Servern, um die Anzahl der Anmeldeversuche zu begrenzen.
  • Verwenden Sie eine leistungsfähige Linux-AV-Lösung.
  • Setzen Sie eine KI-gestützte Cloud-­Security-Lösung mit Compliance-­Automatisierung ein, die mithilfe von KI das Bedrohungsrisiko unterschied­licher Cloud-Umgebungen auswertet und reduziert.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45881623 / Networking)