Ab dieser Folge geht es hier um die gefährlichsten Schwachstellen in den Geräten des IoT. Dabei orientiere ich mich an den Top IoT Vulnerabilities von OWASP. Auf Platz 1 steht dort das "Insecure Web Interface". Und in der Tat hat man den Eindruck, die Entwickler der Weboberflächen für die IoT-Geräte hätten es darauf angelegt, alle Schwachstellen, die man im Web vor 10 oder 15 Jahren gemacht hat, in ihren Oberflächen zu wiederholen.
Ein der größten Gefahren im IoT geht von Default-Zugangsdaten aus: Werden die bei der Installation nicht auf individuelle Werte geändert, kann Schadsoftware mit den i.A. bekannten Default-Zugangsdaten auf das IoT-Gerät zugreifen und es z.B. in ein Botnet integrieren. Und das gilt für alle Zugangsdaten, egal ob Telnet, Fernwartung, Weboberfläche, ... - einem Angreifer ist jeder Weg Recht, Zugriff auf ein Gerät zu bekommen.
Seit dem 20. September gab es mehrere DDoS-Angriffe, die von erst einem, dann mehreren Botnets aus IoT-Geräten ausgingen. Und deren Ziele und Auswirkungen sich immer weiter steigerten.
Angriffe auf kabellose Tastaturen und Mäuse habe ich bereits vorgestellt, nun gibt es einen Nachschlag. Gerhard Klostermeier und Matthias Deeg von Syss haben sich ebenfalls der kabellosen Tastaturen und Mäuse angenommen und dabei festgestellt, dass zwar die untersuchten Tastaturen ihre Kommunikation verschlüsseln und authentifizieren, nicht aber die Mäuse. Die beiden Forscher haben ihre Ergebnisse bereits auf einigen Sicherheitskonferenzen vorgestellt, so z.B. auf der Ruxcon 2016 (Präsentation als PDF), weitere folgen.