Die Mission des HD Moore

Ein amerikanischer IT-Sicherheitsexperte hat in einem privaten Experiment 3,7 Milliarden IP-Adressen angefunkt. Die dabei gesammelten Daten offenbaren massive Sicherheitslücken auch bei kritischen Infrastrukturen.

Sie werden von HD Moore vermutlich noch nie gehört haben. Und doch könnte es sein, dass er auch Sie kontaktiert hat – oder besser Ihren Computer. Moore hat bis vor einigen Wochen ein erstaunliches Experiment unternommen: Von seinem Rechnerverbund, den er zu Hause installiert hat, hat er Millionen Computer in aller Welt drei Mal am Tag „gepingt“ – also eine Datenanfrage geschickt. „Ich habe hier Kühlanlagen herumstehen, damit mein Haus nicht Feuer fängt“, sagt Moore, Forschungsleiter der IT-Sicherheitsfirma Rapid7, zu seiner privaten Rechnerfarm.

Das Experiment begann im Februar 2012. Ziel war, jeden ans Netz angeschlossenen Computer zu erfassen. „Das ist nicht Teil meines Jobs, ich mache das aus Spaß“, sagt Moore. Mit dem Spaß ist es nun vorbei. „Es gab ziemlich viele Beschwerden, Hassmails, auch Anrufe der Polizei.“ Die Daten aus seinem Experiment haben es aber in sich: Sie offenbaren einige schwere Sicherheitslücken sogar in Industriesystemen, die Infrastrukturen wie Stromversorgung oder Verkehrsampeln steuern.

Moores Internet-„Zensus“ bestand darin, an jede einzelne der 3,7 Milliarden vergebenen IP-Adressen eine automatisierte Nachricht zu schicken, etwa einen "Ping Request". Die Antworten von 310 Millionen IP-Adressen ergaben zusammengenommen zwei Terabyte Daten. Viele zeigen, dass die dahinter liegenden Rechner ohne Probleme von einem Angreifer übernommen werden könnten.

Besonders brisant sind Moores Ergebnisse aus dem Teilbereich Industriesteuerungssysteme, die er gerade veröffentlicht hat. Hier offenbarten 114.000 Geräte bekannte Sicherheitslücken. Auf vielen kann man sich mit vom Hersteller voreingestellten Standard-Kennwörtern Zugang verschaffen. Auf 13.000 Geräte konnte man über einen Software-Befehl sogar direkt zugreifen – ohne Kennwort.

Solche Zugänge eröffnen Angreifern erhebliche Möglichkeiten, sagt Moore. Sie könnten Firmenserver neu starten, Patientendaten von medizinischen Geräten abgreifen und sogar die Kontrolle über Fabriken und Infrastruktur-Leitzentralen übernehmen. Ein anonymer Hacker hatte kürzlich eine ähnliche Datenanalyse veröffentlicht, die 420.000 gekaperte Rechner umfasste.

Moore hat für seine Untersuchung mit so genannten Konsolenservern gearbeitet, die der Fernwartung von Geräten dienen, die selbst nicht unmittelbar ans Internet angeschlossen sind. „Konsolenserver sind gewissermaßen der Kitt zwischen archaischen Computersystemen und der vernetzten Welt“, erläutert Moore. „Sie machen viele Organisationen anfällig für Angriffe.“ Ob die Lücken, die er ausgemacht hat, noch ausgenutzt werden, kann er nicht sagen. Für die betroffenen Firmen hat er aber Informationen zusammengestellt, wie sie ihre Systeme selbst auf die Lücken hin überprüfen können.

Joel Young von Digi International, einem Hersteller von Konsolenservern, findet Moores Forschungsarbeit hilfreich. Sie zeige Digi International, wie dessen Kunden mit dem Produkt umgehen. „Einige Kunden setzen sie ein, ohne irgendwelche Sicherheitsvorkehrungen zu befolgen“, sagt Young. „Wir müssen bei den Kunden mehr Aufklärung über Sicherheitsprobleme leisten.“

Digi International biete seinen Kunden auch einen Cloud-Dienst an, mit dem sie eine private gesicherte Verbindung zu ihren Konsolenservern abseits des üblichen Internet-Datenverkehrs aufbauen könnten, so Young. Andererseits werde das Unternehmen sein Produkt auch weiterhin mit voreingestellten Standard-Kennwörtern ausliefern, weil nur so die Erstinstallation reibungslos abläuft. Die Kunden müssen danach ihr eigenes Kennwort anlegen. „Ich kenne keinen besseren Weg“, versichert Young.

Mit Moores Ergebnisse lasse sich nun das Ausmaß des Sicherheitsproblems quantifizieren, lobt Billy Rios, der beim Start-up Cylance Industrie- Steuerungssysteme untersucht. Unternehmen würden die Gefährdung immer noch unterschätzen. So seien kritische Infrastrukturen wie die Stromversorgung genauso leicht angreifbar wie Steuersysteme für automatische Türen in einem Bürogebäude. „Die nutzen dieselben Systeme“, sagt Rios.

Einfache Angriffe könne man dadurch verhindern, dass man auf Konsolenserver nur über private Datenkanäle zugreift. Doch könnten Angreifer immer noch mit anderen Verfahren die Zugangsdaten herausbekommen, betont Rios.

Im Januar hatte Moore bereits andere Ergebnisse seines ungewöhnlichen Hobbys veröffentlicht. Er fand heraus, dass sich rund 50 Millionen Drucker, Spielkonsolen, Router und netzgebundene Speicher über Sicherheitslücken im Protokoll Universal Plug and Play (UPnP) hacken lassen. Mittels UPnP können Computer beispielsweise automatisch verfügbare Drucker finden.

Moores Daten haben seinen Kollegen von Rapid7 auch zu einem pikanten Fund verholfen: Sie fanden heraus, dass Polizei und Geheimdienste eine Software namens FinFisher einsetzen, um politische Aktivisten auszuspähen. Zudem konnten sie die Steuerungsstruktur der Operation „Roter Oktober“ offenlegen, in der die IT-Systeme verschiedener europäischer Regierungen infiltriert worden waren.

Die IT-Sicherheitsbranche habe einige ernsthafte Probleme übersehen, glaubt Moore, weil sie sich zu sehr auf die Arbeitsplatzrechner von Firmenangestellten konzentriere. „Wir haben es offensichtlich mit schwerwiegenderen Problemen zu tun“, sagt Moore. Man sollte sich mehr darum kümmern, riskante „Hintertüren“ zu Computersystemen zu schließen.

Bis auf weiteres will Moore sein Experiment nicht wiederholen. Zum einen hat es seine Strom- und Internetrechnung kräftig in die Höhe getrieben. Vor allem aber drohte ihm die Sache am Ende über den Kopf zu wachsen, als sich das Computer Emergency Response Team der chinesischen Regierung bei US-Behörden beschwerte, er hacke „all ihr Zeug“. In den bislang gesammelten Daten gebe es aber noch genug auszuwerten, sagt Moore. „Wir sitzen auf Bergen von Sicherheitsproblemen.“

(nbo)