Drucksache: Entwickler Magazin 1.18 - Exoten im Internet of Targets
Im Entwickler Magazin 1.18 ist ein Artikel über die Sicherheit der Exoten im Internet of Things erschienen.
Nachtrag 1.3.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen
Ende des Nachtrags
Die Hersteller der IoT-Geräte haben eigentlich alle schon bewiesen, dass sie es mit der Sicherheit ihrer Geräte i.A. nicht so genau nehmen. Oft gilt wohl die Devise "Hauptsache es funktioniert so weit, dass man es verkaufen kann." Was außerdem noch möglich ist, finden dann die Sicherheitsforscher heraus.
Eins ist sicher: Die IoT-Geräte sind es nicht. Wenn doch mal eins sicher ist, muss dass die berühmte Ausnahme sein, die man benötigt, um die Regel zu bestätigen.
Ich hätte den Artikel noch über viele Seiten fortführen können, es gibt noch mehr als genug Material. Es gibt ja auch immer mehr Geräte für das IoT, und so lange deren Hersteller unter "Sicherheit" nur verstehen, dass sie damit mit Sicherheit erst mal Geld verdienen und das in Sicherheit bringen können, so lange bleiben die Geräte unsicher und der Nachschub an neuen Schwachstellen in und Angriffen auf die Geräte reißt nicht ab. Denn allem Anschein nach finden ja auch die unsicheren Geräte genug Käufer - warum sollten die Hersteller also Geld ausgeben, um sie sicher zu machen?
Eigentlich sollte ich Ihnen jetzt wohl raten, keine unsicheren IoT-Geräte zu kaufen, um die Hersteller unter Druck zu setzen, endlich etwas für die Sicherheit ihrer Produkte zu tun. Nur: Was können Sie denn dann noch kaufen? Eigentlich wohl fast nichts. Und das ist auch irgendwie nicht so toll, oder?
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Cyberkriminelle erobern das IoT"; Entwickler Magazin 1.2017
- [2] Carsten Eilers: "Autos – so angreifbar wie nie"; Entwickler Magazin 2.2017
- [3] Carsten Eilers: "Sesam, öffne dich!"; Entwickler Magazin 4.2017
- [4] Carsten Eilers: "Wenn das IoT ins Haus einzieht…"; Entwickler Magazin 6.2017
- [5] Carsten Eilers: "Internet of Targets"; Entwickler Magazin 4.2016
- [6] Plore; DEF CON 25: "Popping a Smart Gun" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube)
- [7] follower, goldfisk; DEF CON 24: "Breaking the Internet of Vibrating Things : What We Learned Reverse Engineering Bluetooth- and Internet-Enabled Adult Toys" (Website "Private Play Accord", Präsentation als PDF, Video auf YouTube)
- [8] Jeff John Roberts; Fortune.com: "Sex Toy Maker Pays $3.75 Million to Settle ‘Smart’ Vibrator Lawsuit"
- [9] Grant Bugher; DEF CON 22: "Detecting Bluetooth Surveillance Systems" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube)
- [10] Josh Datko, Chris Quartier; DEF CON 25: "Breaking Bitcoin Hardware Wallets" (Präsentation als PDF, Video auf YouTube, Website)
- [11] GitHub: cryptotronix/breakingbitcoin-hw (Hardware for the Breaking Bitcoin Board)
- [12] Mike (Michael Rich); DEF CON 24: "Use Their Machines Against Them: Loading Code with a Copier" (Präsentation als PDF, Whitepaper als PDF, Extras, Video auf YouTube)
- [13] Jens Müller; RuhrSec 2017: "How to Hack Your Printer"
- [14] Jens Müller; Black Hat USA 2017: "Exploiting Network Printers"
- [15] GitHub: RUB-NDS/PRET (Printer Exploitation Toolkit - The tool that made dumpster diving obsolete.)
- [16] Hacking Printers Wiki
- [17] Jens Müller, Juraj Somorovsky, Vladislav Mladenov; ON WEB-SECURITY AND -INSECURITY: "Printer Security"
- [18] Jens Müller; Mailingliste Full Disclosure:
- "Hacking Printers Advisory 1/6: PostScript printers vulnerable to print job capture"
- "Hacking Printers Advisory 2/6: Various HP/OKI/Konica printers file/password disclosure via PostScript/PJL"
- "Hacking Printers Advisory 3/6: Brother printers vulnerable to memory access via PJL commands"
- "Hacking Printers Advisory 4/6: Multiple vendors buffer overflow in LPD daemon and PJL interpreter"
- "Hacking Printers Advisory 5/6: HP printers restoring factory defaults through PML commands"
- "Hacking Printers Advisory 6/6: Multiple vendors physical NVRAM damage via PJL commands"
- [19] Tamas Szakaly; DEF CON 24: "Help, I've got ANTs!!!" (Präsentation als PDF, Video auf YouTube)
- [20] Zenofex, 0x00string, CJ_000, Maximus64; DEF CON 25: "All Your Things Are Belong To Us" (Präsentation als PDF, Liste betroffener Geräte, Video auf YouTube)
- [21] Carsten Eilers: "VoIP im Visier der Cyberkriminellen"; Entwickler Magazin 4.2015
Trackbacks