Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
Auf den Sicherheitskonferenzen kommt sicher auch jede Menge Heimautomation zum Einsatz, hier geht es aber um die Sicherheit des "Internet of Things" und speziell der Heimautomation als Thema der Sicherheitsforscher.
Beim Schreiben des Artikels für das Entwickler Magazin Spezial "Internet of Things" und das Entwickler Magazin 4.14 sind einige interessante Vorträge übrig geblieben. Der Platz im Heft ist natürlich begrenzt, und das schränkt auch die Länge meiner Artikel ein. Zum Leidwesen der Redakteure kann ich ja fast alles, nur mit dem Schreiben kurzer Artikel habe ich gewisse Probleme. Die werden einfach immer länger als eigentlich geplant. Daher muss ich dann meist schweren Herzens irgend etwas weglassen oder kürzen.
Themen, die es nicht in den Artikel geschafft haben
Hier finden Sie eine Übersicht der Vorträge auf den Black Hat Sicherheitskonferenzen, die im Artikel nicht berücksichtigt wurden. Sie sollen einen Überblick über die Sicherheitsprobleme rund um das Internet der Dinge geben. Natürlich wurden auch auf anderen Sicherheitskonferenzen entsprechende Vorträge gehalten, für einen Überblick sind die "Black Hats" aber sehr gut geeignet. Bei der Auswertung bin ich bis zum Jahr 2011 zurück gegangen. Auf den nicht aufgeführten Black-Hat-Konferenzen gab es keine Vorträge zum Thema.
Black Hat Asia 2014 (März 2014)
Mark Schloesser hat auf der Black Hat Asia 2014 verschiedene Scans des Internets beschrieben: "Scan all the things - Project Sonar". Er beantwortet im Grunde zwei wichtige Fragen: Was ist alles mit dem Internet verbunden, und wie kann man es finden? Ein aktuelles Scan-Projekt ist das von Rapid7 gestartete "Project Sonar", dass Mark Schloesser ebenfalls vorstellt.
Black Hat USA 2013 (Juli/August 2013)
Auf der Black Hat USA 2013 wurde eine Reihe von Vorträgen zum Thema gehalten:
Craig Heffner hat sich mit der (Un-)Sicherheit von Überwachungskameras beschäftigt: "Exploiting Network Surveillance Cameras like a Hollywood Hacker". Wenn Sie denken, dass Sie ihre Umgebung über eine Netzwerk-Kamera überwachen kann das ein Irrtum sein - vielleicht überwacht ja auch jemand irgendwo auf der Welt Sie und ihre Umgebung über diese Kamera! Und ganz nebenbei können manche Kameras dem Angreifer auch den Weg ins lokale Netz öffnen.
Josh 'm0nk' Thomas und Nathan Keltner haben sich mit den gar nicht so schlauen "Smart Grid" auseinander gesetzt: "Teridian SoC Exploitation: Exploration of Harvard Architecture Smart Grid Systems". Es gibt auch ein Video auf YouTube dazu.
Mit der Sicherheit von Twine haben sich Jon Chittenden und Anson Gomes befasst: "Untwining Twine". Auch hier gibt es auf YouTube ein Video. Auch bei Twine gilt wie so oft: Sicherheit wird klein geschrieben.
Andrei Costin und Jonas Zaddach haben in einem Workshop die Analyse der Firmware von Embedded Devices behandelt: "Embedded Devices Security and Firmware Reverse Engineering".
Black Hat Abu Dhabi 2012 (Juni 2012)
Das IoT ist eng mit IPv6 verknüpft - die vielen Dinge brauchen ja auch IP-Adressen. Auf der Black Hat Abu Dhabi 2012 hat Antonios Atlasis einen Vortrag über den Missbrauch der IPv6 Extension Headers gehalten: "Security Impacts of Abusing IPv6 Extension Headers".
Black Hat Europe 2012 (März 2012)
Auf der Black Hat Europe 2012 hat Don A. Bailey sich um die Kommunikation der Devices und Rechner untereinander gekümmert: "War Texting: Weaponizing Machine to Machine Systems". Wenn die Geräte zu vertrauensselig sind kann ein Angreifer sie leicht missbrauchen.
Black Hat Abu Dhabi 2011 (Dezember 2011)
Mit kompromittierten Devices haben sich DongJoo Ha, SangMyung Choi, TaeHyung Kim und Seungyoun Han auf der Black Hat Abu Dhabi 2011 befasst: "Check Your Zombie Devices!: Analysis of the DDoS Cyber Terrorism Against the Country and Future Attacks on Various Devices". Zwar ging es insbesondere um DDoS-Angriffe, aber die Geräte des IoT lassen sich natürlich auch für andere Zwecke missbrauchen.
Michael Sutton hat sich auf der gleichen Konferenz der Embedded Webserver angenommen, über die viele Geräte verwaltet werden: "Corporate Espionage for Dummies: The Hidden Threat of Embedded Web Servers".
Black Hat USA 2011 (August 2011)
Auf der Black Hat USA 2011 gab es zwei relevante Vorträge, für die oben bereits aktuellere Versionen aufgeführt sind: "War Texting: Identifying and Interacting with Devices on the Telephone Network" von Don Bailey und "Corporate Espionage for Dummies: The Hidden Threat of Embedded Web Servers" von Michael Sutton.
Übersicht über alle Artikel zum Thema
- Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin Spezial "Internet of Things" - Risiken und Gefahrenpotenziale in der Heimautomation
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 4.2014 - Risiken und Gefahrenpotenziale in der Heimautomation
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Jede Menge Wiederholungen: WM-Titel, gefälschte SSL-Zertifikate, Zeus-Botnets, ...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Nichts wirklich Neues: AV-Schutz wirkungslos, Webcams ausspioniert, eine CA ohne Vertrauen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 4.16 - Internet of Targets
Vorschau anzeigen