Irgendwann im Jahr 2017, irgendwo in Nord Amerika wird irgendwie ein Casino beraubt. Das Diebesgut: Daten, exfiltriert über einen vernetzten Temperatursensor im Aquarium in der Lobby. Anscheinend sollen 10GB interner Daten über den fish tank aus dem Casino an eine IP-Adresse in Finnland geflossen sein. Es ist bei solch einer Ausgangslage und all den damit verbundenen filmischen Assoziationen nicht verwunderlich, dass der fish tank hack zu einer populären Story wurde.

Aber was genau ist dran an der Geschichte? Tauchen wir etwas tiefer ein.

Artikel wie How a fish tank helped hack a casino aus der Washington Post verbreiteten das Ereignis im Spätsommer 2017. Dass ein Aquarium an einem Hack beteiligt sein könnte, schien viele Autor*Innen zu faszinieren. Als Quelle berief man sich bei dieser Story auf das britisch-amerikanische IT-Sicherheits-Unternehmen Darktrace.

Darktrace beschreibt sich selbst als führend im Bereich der KI-basierten Cyberabwehr. Das System von Darktrace soll die internen Datenströme und Verbindungen in einem Netzwerk analysieren und dabei typische von atypischen Mustern zu unterscheiden lernen. So sollen sich subtile Abweichungen erkennen und folglich Bedrohungen identifiziert lassen. Darktrace formuliert dies so: “Das ist eine radikale Abkehr von herkömmlichen Tools, die sich auf statische Regeln und Blacklists bekannter Bedrohungen verlassen und daher blind sind für neuartige und hochkomplexe Angriffe.” (Quelle).

Der Global Threat Report von Darktrace stellt einzelne Fallbeispiele Ihrer Kunden vor und will auf Vorgänge oder aktuell relevante IT-Sicherheitsvorfälle hinweisen. In der Report-Ausgabe von 2017 findet sich unter Punkt 6: “Compromised Connected Fish Tank”. Auf diesem Fallbeispiel eines Darktrace Kunden basieren alle Artikel zu dem Thema. Schauen wir uns also an, was genau in diesem Report zu diesem Vorfall beschrieben ist und diskutieren die dünne Faktenlage und die eventuell aus ihr zu ziehenden Schlüsse.

Ein nicht näher benanntes Spielkasino in Nord Amerika hatte sich ein neues Aquarium zugelegt und dazu einen High-Tech Sensor installiert, der Salzgehalt, Temperatur und gleichzeitig auch die Fütterung überwachte. Dieser Sensor soll vom eigentlichen Netzwerk zumindest teilweise isoliert gewesen sein, leider werden hier keine detaillierten (technischen) Aussagen zur Umsetzung getätigt.

Die verdächtigen Aktivitäten des Sensors wurden dann erkannt durch:
• Datentransfer von 10GB außerhalb des Netzwerkes.
• Kein anderes Gerät des Kasinos hatte je mit der externen Adresse zu tun.
• Kein anderes Gerät sendete diese Menge an Daten außerhalb des Netzwerkes.
• Das genutzte Protokoll ist normalerweise eher für Video-Streaming geeignet.

Darktrace schloss daraus, dass Angreifer*Innen größere Mengen an Daten über den Sensor aus dem internen Netz des Spielkasinos ab geschnorchelt hatten.

Credit @marilarifari

Zusammengefasst wurde also ein IoT (Internet of Things) Gerät, das über Schwachstellen verfügte und extern erreichbar war, übernommen und dazu verwendet in das interne Netz einzudringen. Von dort wurde die unzureichende Netzwerkseparierung überwunden und auf relevante Daten zugegriffen, die dann über den Sensor mittels UDP exfiltriert wurden. Das Monitoring-System hat diesen Vorgang dann nach(!) einem Datentransfer von 10GB als verdächtig eingestuft und den Vorfall erkannt.

Dass der Sensor von jeder externen IP-Adresse erreichbar gewesen ist, die interne Netzwerkseparierung fehlerhaft umgesetzt und intern keine weiteren, sinnvollen Schutzmaßnahmen (wie Zugriffs-Kontrollen) etabliert waren, ist leider nicht ungewöhnlich. Ungewöhnlich ist für mich eher, diesen Fall als ein positives Beispiel für das eigene Monitoring-System zu verwenden, das kein Problem damit zu haben scheint, wenn der Temperatursensor Kreditkartennummern aus der Datenbank anfordert und erst nach Sendung von 10GB an unbekannte Empfänger aktiv wird.

Mit der Ausnahme, dass es sich eben um einen Sensor aus einem Aquarium gehandelt hat, ist dieser Fall also keineswegs speziell. Die Lehren daraus sind daher auch wenig überraschend. Ein sinnvolles IT-Sicherheitskonzept schließt natürlich alles mit ein, ob es ein Laptop ist, ein Temperatursensor oder ein “intelligenter” Kühlschrank. Bei regelmäßigen Pentests fallen genau solch verwundbare IoT-Geräte auf. Mindestens die mangelnde Netzwerkseparierung und fehlenden Zugriffskontrollen hätten nach einem Pentest beseitigt werden können. Dies wäre aus Sicht des Kasinos sicher besser gewesen, als auf die KI-Lösung zu setzen, die nach dem Sicherheitsvorfall selbigen auch noch mit dem Stichwort fish tank hack bekannt macht.