IoT-Sicherheit: Passwort ändern nicht vergessen!
Ein der größten Gefahren im IoT geht von Default-Zugangsdaten aus: Werden die bei der Installation nicht auf individuelle Werte geändert, kann Schadsoftware mit den i.A. bekannten Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob Telnet, Fernwartung, Weboberfläche, ... - einem Angreifer ist jeder Weg Recht, Zugriff auf ein Gerät zu bekommen.
Mirai: 62 Zugangsdaten reichen aus
Das für DDoS-Angriffe genutzte Mirai-Botnet enthält eine hart kodierte Liste mit Zugangsdaten, über die der Bot versucht, sich über Telnet auf neu gefundenen Geräten einzuloggen. Auf der Liste stehen 62 Benutzername-Passwort-Kombinationen, und die reichem dem Bot, um ziemlich große Botnets aufzubauen.
Brian Krebs hat untersucht,
welche Geräte
von Mirai angegriffen werden. Dazu hat er die verwendeten Zugangsdaten
ausgewertet. Viele der verwendeten Benutzername-Passwort-Kombinationen sind
generisch, wie z.B. die beliebten Kombinationen admin/admin,
admin/password, root/root und
root/password.
Die werden von vielen Anbietern und Geräten verwendet und lassen nicht
unbedingt einen Rückschluss auf die konkret angegriffenen Geräte
zu. Sie erlauben dem Bot aber auch, sich auf einer großen Anzahl
unterschiedlicher Geräte einzuschleichen. Andere Zugangsdaten weisen
auf bestimmte Hersteller (z.B. root/realtek und
root/dreambox) oder sogar Geräte (root/ikwb
wird von Netzwerk-Kameras von Toshiba verwendet) hin.
Besonders interessant ist die Kombination root/xc3511, die
für eine Vielzahl von DVR aus chinesischer Produktion verwendet wird.
Flashpoint hat
herausgefunden,
dass hinter dieser Kombination ein einzelner Hersteller steckt: XiongMai
Technologies. Das Unternehmen stellt ungelabelte DVR und NVR sowie
IP-Kamera-Boards her, die samt Firmware an andere Hersteller verkauft
werden. Wenn die dann daraus ihre Geräte bauen, übernehmen sie
die Default-Daten von XiongMai Technologies. Mehr als 500.000 Geräte
weltweit sind dadurch betroffen. XiongMai Technologies hat daraufhin
bekannt gegeben,
betroffene Geräte, überwiegend Netzwerkkameras,
zurückzurufen. Alle seit September 2015 ausgelieferten Geräte
sind demnach nicht betroffen, da seitdem der Telnet-Zugang per Default
ausgeschaltet ist.
Die folgende Tabelle enthält die Benutzername-Passwort-Kombinationen aus dem Mirai-Sourcecode und dazu die von Brian Krebs ermittelten Hersteller bzw. Geräte.
| Benutzername | Passwort | Hersteller bzw. Gerät |
|---|---|---|
| 666666 | 666666 | Dahua IP Camera |
| 888888 | 888888 | |
| Administrator | admin | |
| admin | (none) | |
| admin | 1111 | u.a. Xerox Drucker |
| admin | 1111111 | |
| admin | 1234 | |
| admin | 1234 | |
| admin | 12345 | |
| admin | 123456 | ACTi IP Camera |
| admin | 54321 | |
| admin | 7ujMko0admin | |
| admin | admin | |
| admin | admin1234 | |
| admin | meinsm | Mobotix Network Camera |
| admin | pass | |
| admin | password | |
| admin | smcadmin | SMC Routers |
| admin1 | password | |
| administrator | 1234 | |
| guest | 12345 | |
| guest | 12345 | |
| guest | guest | |
| mother | fucker | |
| root | (none) | Vivotek IP Camera |
| root | 00000000 | Panasonic Drucker |
| root | 1111111 | Samsung IP Camera |
| root | 1234 | |
| root | 12345 | |
| root | 123456 | |
| root | 54321 | u.a. Packet8 VOIP Phone |
| root | 666666 | Dahua DVR |
| root | 7ujMko0admin | Dahua IP Camera |
| root | 7ujMko0vizxv | Dahua IP Camera |
| root | 888888 | Dahua DVR |
| root | Zte521 | ZTE Router |
| root | admin | IPX-DDK Network Camera |
| root | anko | ANKO Products DVR |
| root | default | |
| root | dreambox | Dreambox TV Receiver |
| root | hi3518 | HiSilicon IP Camera |
| root | ikwb | Toshiba Network Camera |
| root | juantech | Guangzhou Juan Optical |
| root | jvbzd | HiSilicon IP Camera |
| root | klv123 | HiSilicon IP Camera |
| root | klv1234 | HiSilicon IP Camera |
| root | pass | u.a. Axis IP Camera |
| root | password | |
| root | realtek | RealTek Router |
| root | root | |
| root | system | IQinVision Camera |
| root | user | |
| root | vizxv | Dahua Camera |
| root | xc3511 | H.264 - Chinesische DVR |
| root | xmhdipc | Shenzhen Anran Security Camera |
| root | zlxx. | EV ZLX Two-way Speaker? |
| service | service | |
| supervisor | supervisor | VideoIQ |
| support | support | |
| tech | tech | |
| ubnt | ubnt | Ubiquiti AirOS Router |
| user | user |
Passwort ändern ist Pflicht!
Bekannte Zugangsdaten sind ja auch bei den Schwachstellen in und Angriffen auf SOHO-Router ein großes Problem, wie u.a. mein Überblick über die 2015 veröffentlichten Schwachstellen in SOHO-Routern gezeigt hat. Wenn Sie also irgend etwas ans Netzwerk anschließen, egal ob nun ein IoT-Gerät, einen Router, einen Drucker, was auch immer, dann denken Sie daran, sämtliche Passwörter auf individuelle Werte zu ändern.
Wenn das denn möglich ist, denn zumindest bei den IoT-Geräten gibt es immer wieder Fehlkonstruktionen, bei denen die Änderung des Passworts entweder gar nicht möglich ist oder zwar ein individuelles Passwort gesetzt werden kann, es aber parallel noch hart kodierte Default-Zugangsdaten gibt. Solche Geräte gehören nicht ins Netz, sondern in den Elektroschrott. Es sei denn, sie möchten die Cyberkriminellen bei ihren Missetaten unterstützen.
So, wie für die Benutzer "Passwort ändern!" gilt, gilt deshalb für die Entwickler der IoT-Firmware "Passwort ändern möglich machen!". Denn sonst sind die Geräte Angriffen mit Default-Zugangsdaten schutzlos ausgeliefert. Idealerweise wird bei der Einrichtung des Geräts sogar das Setzen eines Passworts erzwungen. Dann müssen auch die Benutzer ein neues Passwort setzen, denen so was ansonsten herzlich egal ist. Das wird dann zwar sehr wahrscheinlich nicht besonders sicher sein, aber immer noch sicherer als ein öffentlich bekanntes Default-Passwort. Wenn das IoT-Gerät dann noch einen Schutz vor Brute-Force-/Wörterbuch-Angriffen besitzt, ist selbst ein eigentlich schlechtes Passwort mit etwas Glück so sicher, dass die Cyberkriminellen sich ein anderes Ziel suchen.
In der nächsten Folge geht es um weitere Schwachstellen in Firmware und Weboberfläche der Geräte des IoT.
Trackbacks