Drucksache: Entwickler Magazin 4.2014 - Risiken und Gefahrenpotenziale in der Heimautomation
Im Entwickler Magazin 4.14 ist ein Artikel über die Risiken und Gefahrenpotenziale in der Heimautomation erschienen.
Es gab bereits mehr oder weniger kritische Schwachstellen in der wohl mitunter etwas blauäugig implementierten Firmware der Dinge, die da mit dem Internet verbunden werden und dadurch natürlich auch möglichen Angriffen ausgesetzt sind.
Die Heimautomation und das Internet der Dinge enthalten Schwachstellen, und die kann man natürlich auch ausnutzen. Damit es dazu gar nicht erst zu Angriffen kommt, müssen diese Schwachstellen beseitigt werden. Außerdem muss das Internet der Dinge von Anfang an unter Berücksichtigung der Sicherheit entwickelt und vor allen möglichen Angriffen geschützt werden. Und zwar komplett, nicht nur soweit es sicherheitsrelevante Funktionen implementiert. Denn sonst öffnet vielleicht irgend eines der ungeschützten Geräte einem Angreifer den Weg ins lokale Netz.
Am wichtigsten ist dabei natürlich die Authentifizierung, aber auch alle anderen klassischen Schwachstellen dürfen nicht ignoriert werden. Denn die beste Authentifizierung ist nutzlos, wenn zum Beispiel eine Pufferüberlauf-Schwachstelle ausgenutzt werden kann, um Code in die Steuerung ein zu schleusen und damit die Authentifizierung zu unterlaufen.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Louis-F. Stahl, BHKW-Infothek: "Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0"
- [2] Susanne Schneidereit, Louis-F. Stahl; BHKW-Infothek: "Gefahr im Kraftwerk: Auch große BHKW sind betroffen!"
- [3] Gunnar Micheel, Susanne Schneidereit; BHKW-Infothek: "Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0"
- [4] Susanne Schneidereit, BHKW-Infothek: "Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken"
- [5] Vaillant Deutschland: "Neue VPN-Kommunikationseinheit für Ihren ecoPOWER 1.0" (PDF)
- [6] Ronald Eikenberg, Heise Online: "Kritische Schwachstelle in hunderten Industrieanlagen"
- [7] Louis-F. Stahl, Ronald Eikenberg; Heise Online: "Kritisches Sicherheitsupdate für 200.000 Industriesteuerungen"
- [8] Nitesh Dhanjani, Black Hat Asia 2014: "Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts"
- [9] Nitesh Dhanjani: "Hacking Lightbulbs"
- [10] "Hacking Lightbulbs" Video auf YouTube
- [11] IOActive: "IOActive Lights Up Vulnerabilities for Over Half a Million Belkin WeMo Users"
- [12] IOActive: "IOActive Security Advisory: Belkin WeMo Home Automation Vulnerabilities" (PDF)
- [13] Jared Allar, US-CERT: Vulnerability Note VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [14] Belkin, Inc. Information for VU#656302 - Belkin Wemo Home Automation devices contain multiple vulnerabilities
- [15] Behrang Fouladi, Sahand Ghanoun; Black Hat USA 2013: "Honey, I’m Home!! - Hacking Z-Wave Home Automation Systems"
- [16] "Black Hat USA 2013 - Honey, I'm home!! - Hacking Z-Wave Home Automation Systems" Video auf YouTube
- [17] Sensepost Research Labs: "Hacking Z-Wave Home Automation Systems"
- [18] Drew Porter, Stephen Smith; Black Hat USA 2013: "Let's get Physical: Breaking Home Security Systems and Bypassing Buildings Controls" (Präsentation dazu)
- [19] "Black Hat USA 2013 - Let's get physical: Breaking home security systems & bypassing controls" Video auf YouTube
- [20] Daniel Crowley, David Bryan, Jennifer Savage; Black Hat USA 2013: "Home Invasion 2.0 - Attacking Network-Connected Hardware"
- [21] Trustwave SpiderLabs Security Advisory TWSL2013-020: Hard-Coded Bluetooth PIN Vulnerability in LIXIL Satis Toilet
- [22] Markus Selinger, AV-Test: "Test: Smart-Home-Kits öffnen Tür und Tor – für jeden"
- [23] Carsten Eilers: "Kommentare zu spammenden Kühlschränken, neugierigen Geschäften und mehr"
- [24] Carsten Eilers: "Ransomware: Geld her, oder die Daten sind weg"
Nachtrag 19.6.2014:
Beim Schreiben des Artikels sind einige interessante Forschungsergebnisse
zum Thema "auf der Strecke geblieben", die ich
hier
nachreiche.
Ende des Nachtrags vom 19.6.2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : Jede Menge Wiederholungen: WM-Titel, gefälschte SSL-Zertifikate, Zeus-Botnets, ...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Unerfreuliches zu Routern und dem IoT
Vorschau anzeigen