Drucksache: windows.developer Magazin 2.2015 - Angriffsziel Internet of Things
Im windows.developer 2.15 ist ein Artikel über die Sicherheit des IoT erschienen.
Jedes Gerät, das mit dem Internet verbunden ist, kann nicht nur mit allen anderen mit den Internet verbundenen Geräten kommunizieren, sondern von dort aus auch angegriffen werden. Und für einen Angreifer ist es erst mal völlig egal, ob am anderen Ende der Verbindung ein Rechner, ein Kühlschrank, eine Heizung, ein Auto oder was auch immer sitzt.
Die Geräte des IoT weisen viele Schwachstellen auf. Das dringendste Problem ist die oft fehlende oder fehlerhafte Authentifizierung. Wenn die Geräte ungeschützt mit dem Internet verbunden sind, kann jeder darauf zugreifen, der sie findet. Und finden lassen sie sich über Google oder die spezialisierte Suchmaschine Shodan sehr leicht. Die Angriffe müssen dabei nicht mal von Kriminellen ausgehen, auch "Spassvögel" können für reichlich Ärger und womöglich sogar Schaden sorgen. Früher mussten die Skripkiddies zumindest noch passende Skripte aus dem Internet laden bevor sie damit Webserver verunstalten konnten, beim IoT können sie nach dem Aufruf der Weboberfläche des Geräts sofort munter drauf los klicken und sämtliche Einstellungen verstellen.
Aber auch alle anderen Schwachstellen dürfen nicht ignoriert werden. Die Angriffe auf die Synology NAS haben gezeigt, wo hin die Reise geht. Noch schützt die Geräte des IoT ihre relativ geringe Verbreitung im Vergleich zu Windows-Rechnern. Aber irgendwann werden die Cyberkriminellen auch das IoT im großen Maßstab ins Visier nehmen. Wahrscheinlich nicht schon 2015, aber vielleicht 2017 oder 2018. Und dann sind alle jetzt ausgelieferten, ungeschützten und von Schwachstellen geplagten Geräte leichte Opfer der Angriffe. Hier gilt es, zum einen die vorhandenen Schwachstellen zu finden und zu beheben, zum anderen bereits während der Entwicklung dafür zu sorgen, dass die neuen Geräte möglichst wenig Schwachstellen enthalten. Microsoft hat mit dem SDL vorgemacht, dass das möglich ist und wie es geht [47]. Die Entwickler der IoT-Geräte müssen in der Hinsicht noch viel lernen, und sie haben dafür nicht mehr viel Zeit.
Weitestgehend ausgeklammert habe ich die Frage nach dem Datenschutz und dem Schutz der Privatsphäre. Die Geräte liefern einfach zu viele Daten an die Hersteller, die daraus umfangreiche Profile des Nutzungsverhaltens erstellen können. Oft hat der Benutzer keine Möglichkeit, die Datenübertragung zu unterbinden oder zumindest einzugrenzen, ohne gleichzeitig zumindest auf einen Teil der Funktionen des Geräts zu verzichten. Auch dafür müssen Lösungen gefunden werden. Zumindest teilweise werden das keine technischen Lösungen sein können, denn damit lassen sich bekanntlich keine sozialen Probleme lösen.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Proofpoint: "Proofpoint Uncovers Internet of Things (IoT) Cyberattack"
- [2] Dan Goodin; Ars Technica: "Is your refrigerator really part of a massive spam-sending botnet?"
- [3] Paul Thomas; Symantec: "Despite the News, Your Refrigerator is Not Yet Sending Spam"
- [4] Louis-F. Stahl; BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
- [5] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
- [6] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
- [7] Susanne Schneidereit; BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
- [8] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
- [9] Ronald Eikenberg; Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
- [10] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
- [11] GTV Hacker: "Google Nest: Exploiting DFU For Root"
- [12] Amir Etemadieh, CJ Heres, Mike Baker; Def Con 22: "Hack All The Things: 20 Devices in 45 Minutes"
- [13] Amir Etemadieh, CJ Heres, Mike Baker; Def Con 22: Material zu "Hack All The Things: 20 Devices in 45 Minutes" (PDF)
- [14] Grant Hernandez, Orlando Arias, Daniel Buentello, Yier Jin; Black Hat USA 2014: "Smart Nest Thermostat: A Smart Spy in Your Home"
- [15] Kashmir Hill; Forbes: "Nest Hackers Will Offer Tool To Keep The Google-Owned Company From Getting Users' Data"
- [16] Andy Greenberg; Forbes: "Researchers' Google Glass Spyware Sees What You See"
- [17] Mike Lady: Kommentar unter dem Ars-Technika-Artikel "Google Glass spyware app is cute, but not the end of the world"
- [18] Marc Rogers; Lookout Blog: "Hacking the Internet of Things for Good."
- [19] Federico Maggi, Stefano Zanero, Alberto Volpatto; Black Hat Abu Dhabi 2011: "iSnoop: How to Steal Secrets From Touchscreen Devices"
- [20] Xinwen Fu, Qinggang Yue, Zhen Ling; Black Hat USA 2014: "My Google Glass Sees Your Passwords!"
- [21] SeungJin 'Beist' Lee; Black Hat USA 2013: "Hacking, Surveilling, and Deceiving Victims on Smart TV"
- [22] Aaron Grattafiori, Josh Yavor; Black Hat USA 2013: "The Outer Limits: Hacking the Samsung Smart TV"
- [23] Aaron Grattafiori, Josh Yavor; Black Hat USA 2013: Video "The Outer Limits: Hacking the Samsung Smart TV" auf YouTube
- [24] Aaron Grattafiori, Josh Yavor; Black Hat USA 2013: Präsentation "The Outer Limits: Hacking the Samsung Smart TV" (PDF)
- [25] Dan Goodin; Ars Technica: "Philips Smart TVs wide open to Gmail cookie theft, other serious hacks"
- [26] ReVuln: Video "Having fun via WiFi with Philips SmartTV" auf Vimeo
- [27] Donato Ferrante, Luigi Auriemma; PHDays IV 2014: "SmartTV Insecurity" (PDF)
- [28] John Leyden; The Register: "Hey, does your Smart TV have a mic? Enjoy your surveillance, bro"
- [29] Felix Ingram; NCC Group Blog / Cyber Security: "Bugs in your TV"
- [30] Branden Ghena, William Beyer, Allen Hillaker, Jonathan Pevarnek, J. Alex Halderman; 8th USENIX Workshop on Offensive Technologies WOOT 2014: "Green Lights Forever: Analyzing the Security of Traffic Infrastructure"
- [31] Nitesh Dhanjani: "Hacking Lightbulbs"
- [32] Nitesh Dhanjani: Video "Hacking Lightbulbs" auf YouTube
- [33] Alex Chapman; Context Security Blog: "Hacking into Internet Connected Light Bulbs"
- [34] Michael Jordon; Context Security Blog: "Hacking Canon Pixma Printers - Doomed Encryption"
- [35] Kiim Zetter; Wired: "Here’s How Easy It Could Be for Hackers to Control Your Hotel Room"
- [36] Jesus Molina; Black Hat USA 2014: "Learn How to Control Every Room at a Luxury Hotel Remotely: The Dangers of Insecure Home Automation Deployment"
- [37] David Jacoby; Securelist: "IoT: How I hacked my home - The story of a researcher who wanted to see how vulnerable he actually was"
- [38] Kashmir Hill; Forbes: "When 'Smart Homes' Get Hacked: I Haunted A Complete Stranger's House Via The Internet"
- [39] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion v2.0 - Attacking Network-Controlled Hardware"
- [40] Daniel Crowley, Jennifer Savage, David Bryan; DefCon 21: "Home Invasion v2.0 - Attacking Network-Controlled Hardware"
- [41] Fitsec Blog: "New piece of malicious code infecting routers and IPTV’s"
- [42] ProtectYourNet: "Lightaidra - Embedded Linux Device Botnet"
- [43] Kaoru Hayashi; Symantec: "Linux Worm Targeting Hidden Devices"
- [44] Dick O'Brien; Symantec: "The Internet of Things: New Threats Emerge in a Connected World"
- [45] Kaoru Hayashi; Symantec: "IoT Worm Used to Mine Cryptocurrency"
- [46] Carsten Eilers: "Exotisches Ungeziefer"; windows.developer 11.2014
- [47] Carsten Eilers: "Microsoft Security Development Lifecycle"; windows.developer 4.2012
Trackbacks
Dipl.-Inform. Carsten Eilers am : Unerfreuliches zu Routern und dem IoT
Vorschau anzeigen