Risiken durch scheinbar harmlose Geräte im IoT:
Angriff der Toaster
Fortsetzung des Artikels von Teil 1
Ein lohnenswertes Ziel?
Um dies herauszufinden, werden Attacken in zwei Kategorien eingeteilt: gezielte Angriffe und opportunistische Angriffe. Anschließend wird untersucht, welche Motivation ein Hacker haben könnte, einen Toaster in der jeweiligen Kategorie anzugreifen.
Gezielte Angriffe
Gezielte Angriffe sind solche, bei denen der Hacker eine Person oder Organisation mit hohem Wert angreift. Dies war z.B. beim Hack von Sony Pictures der Fall. Hacker hatten es auf Sony abgesehen, um die bevorstehende Freigabe des Spielfilms „The Interview“ zu untergraben, in dem die nordkoreanische Regierung verspottet wird. Die Hacker hatten kein Interesse daran, andere Filmstudios anzugreifen, z.B. Paramount oder Universal. Sie griffen Sony an, weil genau diese Organisation von hohem Wert für die Hacker war.
Andere Attacken bezwecken das Gleiche: Stuxnet war für das Uranlabor in Natanz, Iran, ausgelegt, um Industriesteuerungen zu beschädigen. Von mehreren Prominenten in den USA sind plötzlich Privatfotos in der Öffentlichkeit aufgetaucht. Die Angreifer waren nicht daran interessiert, Fotos von zufällig ausgewählten Personen zu veröffentlichen. In beiden Fällen waren die Person oder die Organisation von hohem Wert für die Angreifer. Mit dieser Definition scheint es unwahrscheinlich, dass ein Hacker einen einzelnen Toaster einer Person angreifen würde, da dieser für den Angreifer nicht von Wert erscheint.
Opportunistische Angriffe
Opportunistische Angriffe sind solche, bei denen die Hacker davon ausgehen, den größten wirtschaftlichen Gewinn daraus zu erzielen. Die Angriffe auf den Einzelhändler Target, bei denen Informationen über 40 Mio. Kreditkarten gestohlen wurden, fallen in diese Kategorie. Den Angreifern war es wahrscheinlich egal, welche Organisation es trifft – sie waren nur an einem wirtschaftlichen Gewinn interessiert. Dieser Gewinn war erheblich, da die Informationen auf dem Schwarzmarkt pro Kreditkarte zwischen 25 und 40 US-Dollar einbrachten.
Eine weitere Art opportunistischer Attacken besteht darin, Malware-infizierte Rechner zur Aussendung von Spam Mails zu benutzen. Diese Rechner werden miteinander verbunden, um Netzwerke infizierter Maschinen zu erstellen, genannt Botnets. Ein Botnet namens Srizbi weist ca. 450.000 infizierte Rechner auf, die 40–60 % der weltweiten Spam Mails aussenden. Bei diesen Rechnern kommt es nicht wirklich darauf an, ob sie die Flugsicherung an einem belebten Flughafen überwachen oder Desktop-Rechner eines Börsenhändlers sind oder sogar nur zum Schreiben von E-Mails verwendet werden. Botnet-Angreifer kümmern sich nicht um den Zweck des Rechners, er ist einfach nur ein infizierter Knoten im Internet.
Mit dieser Definition erscheint es plausibel, wenn ein Hacker einen Toaster infizieren würde. Den Angreifer interessiert es nicht wirklich, dass es sich um einen Toaster handelt – er will nur, dass es sich um ein Gerät handelt, das einfach über das Internet zugänglich ist und wirtschaftlichen Gewinn erbringt. Da opportunistische Angriffe auf Gewinne abzielen, muss man sich fragen, ob die Wirtschaftlichkeit diese Hacker-Angriffe auch rechtfertigt. Wie viel Geld kann ein Hacker erwarten, wenn er einen einzigen Toaster infiziert?
Was ist ein gehackter Toaster wert?
Wie kann ein Hacker mit einem Angriff auf einen Toaster Geld verdienen? Es gibt drei Möglichkeiten: indem er persönliche Informationen innerhalb des Heimnetzwerks abgreift, den Toaster als Spam-Versender nutzt und Denial-of-Service-Attacken durchführt.
Persönliche Informationen sind auf dem Schwarzmarkt wesentlich weniger wert, als man denkt. Eine Sozialversicherungsnummer aus den USA ist nur 5 US-Dollar wert. Kreditkarten-Daten, die auf einem Rechner gespeichert sind, bringen in etwa den gleichen Gewinn. Login-Daten für ein Bankkonto sind nur 2 bis 4 % des Kontostands wert. Und der Zugriff auf eine Webcam wird am Schwarzmarkt mit nur 1 US-Dollar vergütet. Der Wert dieser Angriffe ist also sehr niedrig.
Ein Wert für den Angreifer ergibt sich bei der Fernsteuerung des Toasters als Teil eines Netzwerks infizierter Maschinen, um Spam Mails auszusenden und Denial-of-Service-Attacken durchzuführen. Das Mieten eines solchen Botnet kostet am Schwarzmarkt 200 US-Dollar pro Tag für 1000 infizierte Hosts. Ein einzelner Toaster könnte also 20 US-Cent pro Tag oder 6 US-Dollar pro Monat abwerfen. Nimmt man an, dass der Toaster durchschnittlich sechs Monate lang missbraucht wird, ergibt sich ein Wert von 36 US-Dollar. Auch dieser Wert ist sehr gering.
Hat der Hacker die Möglichkeit, persönliche Informationen über den Toaster zu beziehen und diesen gleichzeitig als Botnet zu nutzen, wäre er für einen Angreifer wohl 50 US-$ pro Jahr wert. Dies ist für einen Hacker eindeutig kein sehr interessantes Ziel. Die Kosten für den Zeitaufwand, die Attacke zu erstellen, belaufen sich wahrscheinlich auf Tausende von Dollar. Einen einzelnen Toaster anzugreifen ergibt daher für Hacker keinen wirtschaftlichen Sinn.
Jobangebote+ passend zum Thema
- Angriff der Toaster
- Ein lohnenswertes Ziel?
- Die Masse macht‘s
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
McAfee Labs Threat Predictions Report
Welche Cyber-Bedrohungen erwarten uns 2016 und bis 2020?
Produktpiraterie
Damit Software nicht in falsche Hände gerät
Mentor Graphics
Connected OS Software-Plattform für Infotainment-Systeme
Internet of Things
Infineon startet Security Partner Network (ISPN)
Sicher wie der Zufall
Optisches Sicherheitssystem lässt Hacker abblitzen
Entwicklungsunterstützung
EBV unterstützt bei IoT-Entwicklungen
