Anstatt sich darauf zu verlassen, dass die Kunden ihre anfälligen Smart Home-Geräte vor der Verwendung bei Cyberangriffen schützen, haben Forscher der Ben-Gurion University of the Negev (BGU) und der National University of Singapore (NUS) eine neue Methode entwickelt, die es Telekommunikations- und Internetdienstanbietern ermöglicht, diese Geräte zu überwachen.

Laut ihrer neuen Studie, die in der Fachzeitschrift Computers & Security veröffentlicht wurde, stellt die Möglichkeit, massive Distributed-Denial-of-Service (DDoS)-Angriffe über ein Botnetz aus kompromittierten Geräten zu starten, ein exponentiell wachsendes Risiko im Internet der Dinge (IoT) dar.

Solche massiven Angriffe, die möglicherweise von IoT-Geräten in Heimnetzwerken ausgehen, wirken sich sowohl auf das Angriffsziel als auch auf die Infrastruktur von Telekommunikationsdienstanbietern (Telcos) aus.

“Die meisten Heimanwender haben nicht das Bewusstsein, das Wissen oder die Mittel, um laufende Angriffe zu verhindern oder zu handhaben”, sagt Yair Meidan, ein Doktorand in der Abteilung für Software- und Informationssystemtechnik (SISE) der BGU. “Infolgedessen fällt die Last auf die Telcos, die damit umgehen müssen. Unsere Methode greift ein Problem aus der realen Welt auf, das bereits herausfordernde Angriffe in Deutschland und Singapur verursacht hat und eine Gefahr für die Telco-Infrastruktur und ihre Kunden weltweit darstellt.

Jedes angeschlossene Gerät hat eine eindeutige IP-Adresse. In Heimnetzwerken werden jedoch in der Regel Gateway-Router mit NAT-Funktionalität (Network Address Translation) eingesetzt, die die lokale Quell-IP-Adresse jedes ausgehenden Datenpakets durch die öffentliche IP-Adresse des Haushaltsrouters ersetzt. Folglich ist die Erkennung angeschlossener IoT-Geräte von außerhalb des Heimnetzwerks eine schwierige Aufgabe.

Die Forscher entwickelten eine Methode zur Erkennung angeschlossener, anfälliger IoT-Modelle, bevor sie kompromittiert werden, indem sie den Datenverkehr von jedem Smart Home-Gerät überwachen. Auf diese Weise können Telcos überprüfen, ob bestimmte IoT-Modelle, von denen bekannt ist, dass sie durch Malware für Cyberattacken ausgenutzt werden können, mit dem Heimnetzwerk verbunden sind. Auf diese Weise können Telcos potenzielle Bedrohungen für ihre Netzwerke erkennen und schnell Präventivmaßnahmen ergreifen.

Mit der vorgeschlagenen Methode kann eine Telefongesellschaft anfällige IoT-Geräte erkennen, die hinter einem NAT angeschlossen sind, und diese Informationen nutzen, um Maßnahmen zu ergreifen. Im Falle eines potentiellen DDoS-Angriffs würde diese Methode es der Telefongesellschaft ermöglichen, Schritte zu unternehmen, um dem Unternehmen und seinen Kunden im Voraus Schaden zu ersparen, z.B. das Abladen des großen Verkehrsvolumens, das durch eine Fülle infizierter inländischer IoT-Geräte erzeugt wird. Dies wiederum könnte verhindern, dass der kombinierte Verkehrsanstieg auf die Infrastruktur der Telefongesellschaft durchschlägt, die Wahrscheinlichkeit einer Dienstunterbrechung verringern und die kontinuierliche Verfügbarkeit der Dienste sicherstellen.

“Im Gegensatz zu einigen früheren Studien, die ihre Methoden mit partiellen, fragwürdigen oder völlig unmarkierten Datensätzen oder nur einem Gerätetyp evaluierten, sind unsere Daten vielseitig und explizit mit dem Gerätemodell gekennzeichnet”, sagt Meidan. “Wir teilen unsere experimentellen Daten mit der wissenschaftlichen Gemeinschaft als neuen Maßstab, um zukünftige reproduzierbare Forschung in diesem Bereich zu fördern”, sagt Meidan. Dieser Datensatz ist hier zu finden.

Diese Forschung ist ein erster Schritt zur drastischen Minderung des Risikos, das von inländischen NAT IoT-Geräten für die Infrastruktur von Telcos ausgeht. Für die Zukunft versuchen die Forscher, die Skalierbarkeit der Methode weiter zu validieren, indem sie zusätzliche IoT-Geräte einsetzen, die eine noch breitere Palette von IoT-Modellen, -Typen und -Herstellern repräsentieren.

“Obwohl unsere Methode darauf ausgelegt ist, anfällige IoT-Geräte zu erkennen, bevor sie ausgenutzt werden, planen wir, die Widerstandsfähigkeit unserer Methode gegen feindliche Angriffe in zukünftigen Forschungsarbeiten zu bewerten”, sagt Meidan. “In ähnlicher Weise könnte ein Spoofing-Angriff, bei dem ein infiziertes Gerät viele Dummy-Anfragen an IP-Adressen und Ports ausführt, die sich von den Standard-Anfragen unterscheiden, zu einer verpassten Erkennung führen.

Zu den anderen Forschern, die an dieser Studie teilnahmen, gehören Vinay Sachidananda, F&E-Manager bei Trustwave und Senior Researcher an der National University of Singapore (NUS), sowie Hongyi Peng, BSc-Student an der NUS.

Ein Teil dieser Forschung wurde durchgeführt, als Vinay Sachidananda an der Singapore University of Technology and Design (SUTD) war. Zu den Forschern an der BGU SISE gehören Prof. Asaf Shabtai und Racheli Sagron, ein BSc-Student. Yuval Elovici ist Professor in der Abteilung BGU SISE, Direktor der Telekom Innovation Laboratories und Leiter des Forschungszentrums für Cybersicherheit an der BGU.

Dieses Projekt wurde von der Europäischen Union im Rahmen von “Horizont 2020” gefördert.

Quelle/Sender (gekürzt): BGU