Andrew McGill vom News-Portal The Atlantic hat die IoT/DDos Geschehnisse zum Anlass genommen, 'die Unvermeidbarkeit gehackt zu werden' mit einem Fake-Toaster als Honeypot zu testen. >The Inevitability of Being Hacked< Ihm gings da wie mir; man kann sich die Arbeitsweise von Crawlern & Bots real gar nicht richtig vorstellen. Eigentlich müßte der Umfang der Adresspools ja eine gewisse Anonymität für die eigenen Geräte gewährleisten.
Er setzt also ein Gerät auf einem virt. Amazon-Server auf und rechnet nach Tagen, vielleicht Wochen auf Ergebnisse. Nun, der erste Versuch war innerhalb der ersten Stunde, nach 41min. Der Zweite mit anderer IP und log-in Daten nach 55min. Bis zum Abend in nicht ganz elf Stunden, versuchten 300 verschiedene IPs ihr Glück, viele mit dem Hersteller-Passwort.
Auch wenn das Szenario seiner Meinung nach nicht ganz typisch für Realbedingungen gewesen sei, auf untertauchen in der Masse wie in der Vergangenheit, kann man sich in der Zukunft nicht mehr verlassen. Tools wie Zmap scannen mittlerweile in Stunden und Scripts & Crawler, die für Botnets eingesetzt werden, wie man sieht auch.
Kaveh Wadell vom The Antlantic stellte hier ein paar Tage vorher die Frage zur (juristischen) Verantwortlichkeit bei Cyberattacken. Um Hersteller von Geräten in die Pflicht zu nehmen, müßte in den USA die "Federal Trade Commission" aktiv werden. Der letzte FTC-Bericht zur IoT-Sicherheit ist drei Jahre alt: FTC Press-Release 2015.
Na ja, der 'Druck' auf Hersteller wird sich erstmal auf lange, endlose Verhandlungen beschränken. In der Zwischenzeit bieten Firmen wie F-Secure mit http://sense.f-secure.com/ Home-Lösungen zur Absicherung an. Und das Dyne-Kollektiv hat einen Privacy-Hub für daheim, heißt Dowse - The IoT Privacy Hub - cc-by-nc-sa 3.0 - http://criticalengineering.org/
http://dowse.equipment/
Zitieren
