Zum Inhalt

Trendthemen

Schütz deinen Raspberry Pi!

F-Secure Deutschland

21.09.17 5 Minuten Lesezeit

Raspberry Pi Computer sind großartig. Sie bieten vielseitige Hardware, sind leicht zu nutzen und eigenen sich als Grundlage für zahlreiche Projekte. Dazu sind sie günstig zu haben und gut dokumentiert. Auch wir bei F-Secure nutzen Pis, etwa für Automatisierungsprojekte, als Penetration-Testing-Plattform bei Red-Team-Einsätzen oder als Plattform zum Sammeln von Informationen aus Funk-, WiFi, Bluetooth- oder I2C-Kommunikation.

Allerdings hat die Offenheit des Gerätes auch einen Nachteil: Wer nicht aufpasst und seinen Raspberry Pi einfach so ins Netz hängt, der lädt Hacker und andere Kriminelle nahezu ein. Ein gehackter Pi kann ein Einfallstor ins Firmennetzwerk sein, ein Hobbyprojekt kann so ein privates oder Firmen-Netzwerk gefährden.

Aber warum würde überhaupt jemand einen Raspberry Pi hacken, sind diese Geräte für Angreifer überhaupt interessant?

Ja. Die Größe des Gerätes hat keine Auswirkung auf seine Attraktivität für Angreifer. Wie bei anderen Computern locken drei Dinge:

  • Rechenleistung: Auch wenn Raspberry Pis weniger CPU-Leistung als etwa Desktop-Systeme oder Server haben, so eignen sie sich dennoch beispielsweise für das Schürfen von Kryptowährungen. Vor allem, wenn nicht nur ein System, sondern mehrere hundert übernommen wurden.
  • Bandbreite: Die Geräte sind ideal, um Daten entweder zu verteilen (etwa als Download-Server für Warez) oder um DDoS-Attacken im Verbund zu starten. Alternativ lassen sie sich als sogenannter Jump Host nutzen mit denen Angreifer ihre Herkunft verschleiern können.
  • Zugang zum Netzwerk: Gerade in Firmennetzen ist der Haupteingang oft stark gesichert. Geräte wie ein Raspberry Pi (oder ein Drucker mit Cloud-Print-Funktion) öffnen unter Umständen eine Hintertüre ins Netzwerk, über die Angreifer deutlich einfacher eindringen können. Von diesem Ausgangspunkt aus können sie andere Systeme im Netzwerk attackieren oder von Innen Lücken in die Abwehr zu schlagen.

Wie werden Raspberry Pis angegriffen?

Die Mini-Computer werden oft für Hobbyprojekte oder wissenschaftliche Experimente genutzt. Die Besitzer vergessen oft, dass eine Internetverbindung in zwei Richtungen geht. Wer Daten ins Web schickt, der kann von außen erreicht werden. Zudem werden Dienste, etwa SSH oder http, im Web öffentlich gemacht, auch wenn dies nicht gewollt ist. Noch schlimmer ist, dass Standard-Kennwörter oft nicht geändert werden. Das macht es Angreifern leicht, sich Zugang zu verschaffen. Aufzufinden sind die Geräte übrigens deutlich leichter als man oft denkt. Suchmaschinen wie Shodan haben sich darauf spezialisiert, zum Zeitpunkt als wir den Artikel schreiben, findet die Suchmaschine mehr als 100 000 Raspberry Pis – den Großteil davon in Deutschland.

Tipps für einen sicheren Raspberry Pi

Ändern Sie das Standardpasswort: Wenn Sie eine aktuelle Version von noobs oder raspian installieren, sollten sie das Standardpasswort für den Nutzer „pi“ in ein ordentliches Kennwort ändern. Länger ist dabei immer besser, eine Passphrase ist besser als ein Passwort. Das Passwort selbst ändern sie auf der Kommandozeile des Raspberry Pi mit dem Befehl „passwd pi“ (pi steht dabei für den jeweiligen Nutzernamen).

Nutzen Sie Schlüssel statt Passwörtern: Wenn Sie sich per SSH auf ein Gerät schalten, macht eine Schlüsseldatei häufig mehr Sinn als ein Kennwort. Eine Schlüsseldatei ist „etwas, dass ich habe“ im Vergleich dazu ist das Passwort „etwas, dass ich kenne“. Private Schlüssel sind meist die sicherere Alternative zum Kennwort, solange sie nicht verloren gehen – oder die Datei selbst im Web landet. Die Anleitung hier erklärt, wie sich der Zugang umstellen lässt.

Sichern Sie Ihre Konfiguration: Die Speicherkarte in Ihrem Raspberry Pi wird kaputt gehen. Vielleicht nicht heute, nicht morgen, aber vielleicht nächste Woche. Sichern Sie daher regelmäßig die Konfiguration, so dass Sie schnell mit einer neuen Karte und den gleichen Einstellungen weiterarbeiten können.

Schaffen Sie ein eigenes Netzwerk: Wo möglich sollten Sie den Raspberry Pi in einem eigenen Netzwerk betreiben. So eine Segmentierung minimiert Ihre Angriffsfläche – wird der Pi gehackt, kann der Angreifer nur auf das Gerät zugreifen, nicht aber auf ihren Dateiserver oder ihren Desktop. Es gibt im Web zahlreiche Tutorials, wie sich mit Hilfe einer Firewall die verschiedenen Bereiche im LAN trennen lassen. Oft bieten Router auch einen „Gastmodus“ der Geräte automatisch von den anderen Systemen im Netzwerk trennt.

Update, Updates, Updates: Betriebssystem und andere installierte Programme müssen regelmäßig aktualisiert werden. So werden bekannte Schwachstellen geschlossen, die Angreifer sonst für Attacken nutzen könnten. Die Anleitung hier erklärt, wie dies mit Raspbian funktioniert.

Abschalten, was nicht benötigt wird: Ist ein Dienst deaktiviert, kann ihn eine Angreifer nicht nutzen. Schalten Sie Dienste ab oder blocken Sie den Zugriff in der Firewall. Zusätzlich kann es Sinn machen, die Ports für genutzte Dienste zu ändern. Damit verwirren Sie zwar keinen echten Hacker, ein automatisiertes Angriffstool ignoriert Sie aber möglicherweise.

Vermeiden Sie vorinstallierte Systeme wo möglich: Es ist verlockend, ein fertiges Image einfach einzuspielen. Allerdings müssen Sie dann dem Ersteller zu 100 Prozent vertrauen (und sich zudem sicher sein, dass er nicht gehackt wurde). Alternativ sollten Sie versuchen, die jeweiligen Funktionen selbst von einem Standard-OS aus aufzubauen. Auch diese Betriebssysteme können natürlich kompromittiert sein, da hier allerdings mehr Nutzer draufsehen, werden solche Manipulationen normalerweise schneller entdeckt.

Falls Sie ein fertiges Image für einen bestimmten Anwendungsfall nutzen müssen, dann führen Sie auf alle Fälle diese Maßnahmen durch:

  • Ändern Sie die Kennwörter für alle Nutzerkonten, darunter den pi-User und natürlich „root“. Je nach genutztem Image können noch mehr Nutzer oder Dienste eingerichtet sein, mit dem Befehl „netstat“ werden alle aktiven Dienste angezeigt. Falls Sie bestimmte Services intern benötigen, sollten Sie die Kommunikation ins Web in der Firewall sperren.
  • Erstellen Sie die SSH-Schlüssel mit den Befehlen
    # /bin/rm -v /etc/ssh/ssh_host_*
    # dpkg-reconfigure openssh-server
    neu. So verhindern Sie, dass jemand vorinstallierte Schlüssel gegen Sie nutzen kann.
  • Ändern Sie Ports: Wenn Sie Dienste auf anderen als den Standard-Ports betreiben, filtern Sie etwa 99 Prozent aller automatisierten Attacken.
  • Besuchen Sie regelmäßig die Seite des Image-Anbieters und informieren Sie sich über mögliche Schwachstellen. Halten Sie Ihr System so aktuell wie möglich.
F-Secure Deutschland

21.09.17 5 Minuten Lesezeit

Kategorien

Hervorgehobener Artikel

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.