Nematode: Auch „gute” Würmer sind gefährlich

Das „Mirai”-Botnet sorgt derzeit für Probleme und Schlagzeilen. Sicherheitsforscher haben deswegen eine Möglichkeit aufgezeigt, die betroffenen Geräte abzusichern und das Botnet so unschädlich zu machen. Allerdings sieht der Plan vor, dass die Experten ihrerseits die betroffenen Geräte mit einer bestimmten Art von Wurm – einer sogenannten Nematode – angreifen. Das ist in vielen Ländern strafbar. Darüber hinaus birgt es auch technische und ethische Risiken. Trotz aller guten Absicht ist daher von dem Vorhaben abzuraten.

Mirai: Kameras und Videorecorder im Botnet

Das Mirai-Botnet besteht aus gekaperten Geräten des sogenannten „Internet of Things“ (IoT), insbesondere Überwachungskameras und Videorecordern. Es wird vermutet, dass diese Ansammlung ferngesteuerter Mediengeräte für den DDoS-Angriff benutzt wurde, der vor Kurzem den DNS-Provider DynDNS und in der Folge zahlreiche, teils sehr populäre Websites lahmlegte.

Nematode: Ein gutartiger Wurm soll helfen

IT-Sicherheitsforscher haben den Quellcode des Mirai-Botnets analysiert und einen Lösungsansatz präsentiert. Dieser sieht den Einsatz einer sogenannten Nematode vor. Dabei handelt es sich um einen speziellen Typ von Computerwurm, der, ähnlich wie sein Vorbild aus dem Tierreich, nach dem er benannt ist, zur Schädlingsbekämpfung eingesetzt wird.

Die Sicherheitsforscher haben Schwachstellen im Mirai-Quellcode entdeckt, die mit Hilfe der Nematode gezielt angegriffen werden könnten. Die Nematode soll sich über die selben Sicherheitslücken, die auch Mirai selbst verwendet, ausbreiten, die Sicherheitslücken stopfen und Mirai so an einer weiteren Verbreitung hindern.

In vielen Ländern ist die Nematode illegal

Ein solches Vorgehen wäre allerdings juristisch in vielen Ländern der Welt fragwürdig. In Deutschland etwa würden sich die Beteiligten wahrscheinlich der Datenveränderung (§303a StGB) strafbar machen. Auch in den USA und Großbritannien wäre ein solches Handeln Experten zufolge illegal.

Wohl vor allem aus diesem Grund ist der Nematoden-Quellcode mittlerweile wieder von der Programmierer-Plattform GitHub verschwunden. Der Entwickler hat ihn nach Diskussionen um die Rechtmäßigkeit des Nematoden-Einsatzes vorsichtshalber zurückgezogen.

Technische und ethische Probleme

Abgesehen vom rechtlichen Aspekt ist der Einsatz eines „gutartigen Trojaners“ auch in anderer Hinsicht bedenklich. Ethische ebenso wie technische Probleme fallen an. Da ist zunächst einmal die Frage, ob es überhaupt zulässig ist, in die IT-Systeme eines Anderen ohne dessen Wissen einzugreifen, und sei es mit den besten Absichten. Immerhin sind auf diesen Geräten häufig sensible Daten gespeichert und Datenschutz ist ein wichtiges Grundrecht.

Doch selbst, wenn man obige Frage (unter bestimmten Umständen oder Auflagen) positiv beantwortet, ist der Einsatz der Nematode technisch problematisch. Ein Angriff auf ein System und die Installation von Software bergen, auch, wenn sie mit der Absicht geschehen, lediglich Sicherheitslücken zu schließen, immer das Risiko, das Gerät zu beschädigen oder seine Funktion zu beeinträchtigen. Sogar noch wahrscheinlicher ist es, dass unbeabsichtigt zusätzliche Sicherheitslücken aufgerissen werden und so das Gerät anfälliger für zukünftige unautorisierte, in der Regel bösartige Eingriffe ist.

All dies wird noch wahrscheinlicher dadurch, dass das Zielgerät bei einer automatisierten Verbreitung nicht genau bekannt ist. Dementsprechend können kaum gezielte Tests beispielsweise bestimmter Software-Konfigurationen durchgeführt werden. Der Nutzer, der von dem Eingriff gar nichts weiß, kann diese Probleme kaum gezielt diagnostizieren. Eine Kontaktaufnahme mit dem Verursacher und gemeinsame Fehlersuche – oder eine Haftung der beteiligten Sicherheitsforscher für versehentlich angerichtete Schäden – sind ebenfalls schwierig bis unmöglich.

Die Hersteller in die Pflicht nehmen

Aus all diesen Gründen ist, trotz guter Absichten und einigen Potentials, von einem Nematoden-Einsatz (und ähnlichen zukünftigen Aktionen) abzuraten. Die Risiken sind zu unüberschaubar und werden auch durch die möglichen Erfolge nicht negiert.

Nichtsdestotrotz muss das Problem unsicherer IoT-Devices angegangen werden. Solche Geräte erleben gerade eine stark wachsende Verbreitung und sind häufig unsicher. Das erhöht die Gefahr von Sicherheitsvorfällen, auch solchen großen Ausmaßes. Erschwert wird diese Aufgabe dadurch, dass Benutzer Smart Devices nach ihrer Installation häufig nicht warten, solange sie zu funktionieren scheinen. Haben bei Computern, Smartphones und Tablets viele Menschen mittlerweile die Notwendigkeit regelmäßiger Updates für die Sicherheit begriffen, so übertragen leider nur wenige von ihnen dies auch auf ihre Kameras, Videorecorder und andere Smart Devices, sei es aus Bequemlichkeit, Unwissenheit oder schlichter Überforderung.

Eine legale und wahrscheinlich ungefährlichere Möglichkeit als der Wurm-Einsatz durch Sicherheitsexperten wäre, dass die Anbieter entsprechender Geräte die Verantwortung für deren Sicherheit auch nach dem Kauf übernehmen. Sie würden dann – vom Kunden durch einen entsprechenden Vertrag genehmigt – eine Möglichkeit zur Fernwartung der Geräte vorsehen. Sicherheits-Updates könnten so über das Netzwerk eingespielt und problematische Einstellungen notfalls ebenfalls über das Netzwerk korrigiert werden, ähnlich, wie es beispielsweise viele DSL-Provider bereits mit den von ihnen ausgelieferten Routern tun.

Ein solcher Eingriff wäre dem Nutzer immerhin vorab bekannt und von ihm akzeptiert. Zudem hätte der Nutzer einen Ansprechpartner bei eventuellen Problemen. Auch könnte die Verbreitung der Updates so gezielt auf bestimmte Geräte erfolgen, was durch Inkompatibilität verursachte Probleme zwar nicht ausschließt, aber doch deutlich unwahrscheinlicher macht. Allerdings bedeutet ein solches Szenario für die Hersteller zusätzlichen Aufwand und Kosten. Sie müssten also – sei es durch Vorschriften, durch positive Anreize oder schlichtweg durch die Marktsituation – motiviert werden, diese Nachteile zu akzeptieren und Verantwortung für die Sicherheit der Smart Devices zu übernehmen.

Daneben sollten auch die Nutzer besser über Sicherheitsrisiken beim IoT aufgeklärt werden. Sie sollten zudem sinnvolle Tipps erhalten, wie sie ihre eigenen Geräte mit vertretbarem Aufwand sicherer machen können. So können sie mithelfen, das Internet of Things sicherer zu machen, statt nur passive Unbeteiligte zu sein, während andere mit Würmern auf ihre Geräte zugreifen.


Image „Computer & Sicherheit“ by TheDigitalWay (CC0 Public Domain)


Schlagwörter: , , , , , , , , , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus