Dipl.-Inform. Carsten Eilers

Eins ist sicher: Die IoT-Geräte sind es nicht. Wenn doch mal eins sicher ist, muss dass die berühmte Ausnahme sein, die man benötigt, um die Regel zu bestätigen.

Ich hätte den Artikel noch über viele Seiten fortführen können, es gibt noch mehr als genug Material. Es gibt ja auch immer mehr Geräte für das IoT, und so lange deren Hersteller unter "Sicherheit" nur verstehen, dass sie damit mit Sicherheit erst mal Geld verdienen und das in Sicherheit bringen können, so lange bleiben die Geräte unsicher und der Nachschub an neuen Schwachstellen in und Angriffen auf die Geräte reißt nicht ab. Denn allem Anschein nach finden ja auch die unsicheren Geräte genug Käufer - warum sollten die Hersteller also Geld ausgeben, um sie sicher zu machen?

Eigentlich sollte ich Ihnen jetzt wohl raten, keine unsicheren IoT-Geräte zu kaufen, um die Hersteller unter Druck zu setzen, endlich etwas für die Sicherheit ihrer Produkte zu tun. Nur: Was können Sie denn dann noch kaufen? Eigentlich wohl fast nichts. Und das ist auch irgendwie nicht so toll, oder?

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Carsten Eilers: "Cyberkriminelle erobern das IoT"; Entwickler Magazin 1.2017
• [2] Carsten Eilers: "Autos – so angreifbar wie nie"; Entwickler Magazin 2.2017
• [3] Carsten Eilers: "Sesam, öffne dich!"; Entwickler Magazin 4.2017
• [4] Carsten Eilers: "Wenn das IoT ins Haus einzieht…"; Entwickler Magazin 6.2017
• [5] Carsten Eilers: "Internet of Targets"; Entwickler Magazin 4.2016
• [6] Plore; DEF CON 25: "Popping a Smart Gun" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube)
• [7] follower, goldfisk; DEF CON 24: "Breaking the Internet of Vibrating Things : What We Learned Reverse Engineering Bluetooth- and Internet-Enabled Adult Toys" (Website "Private Play Accord", Präsentation als PDF, Video auf YouTube)
• [8] Jeff John Roberts; Fortune.com: "Sex Toy Maker Pays $3.75 Million to Settle ‘Smart’ Vibrator Lawsuit"
• [9] Grant Bugher; DEF CON 22: "Detecting Bluetooth Surveillance Systems" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube)
• [10] Josh Datko, Chris Quartier; DEF CON 25: "Breaking Bitcoin Hardware Wallets" (Präsentation als PDF, Video auf YouTube, Website)
• [11] GitHub: cryptotronix/breakingbitcoin-hw (Hardware for the Breaking Bitcoin Board)
• [12] Mike (Michael Rich); DEF CON 24: "Use Their Machines Against Them: Loading Code with a Copier" (Präsentation als PDF, Whitepaper als PDF, Extras, Video auf YouTube)
• [13] Jens Müller; RuhrSec 2017: "How to Hack Your Printer"
• [14] Jens Müller; Black Hat USA 2017: "Exploiting Network Printers"
• [15] GitHub: RUB-NDS/PRET (Printer Exploitation Toolkit - The tool that made dumpster diving obsolete.)
• [16] Hacking Printers Wiki
• [17] Jens Müller, Juraj Somorovsky, Vladislav Mladenov; ON WEB-SECURITY AND -INSECURITY: "Printer Security"
• [18] Jens Müller; Mailingliste Full Disclosure:
  • "Hacking Printers Advisory 1/6: PostScript printers vulnerable to print job capture"
  • "Hacking Printers Advisory 2/6: Various HP/OKI/Konica printers file/password disclosure via PostScript/PJL"
  • "Hacking Printers Advisory 3/6: Brother printers vulnerable to memory access via PJL commands"
  • "Hacking Printers Advisory 4/6: Multiple vendors buffer overflow in LPD daemon and PJL interpreter"
  • "Hacking Printers Advisory 5/6: HP printers restoring factory defaults through PML commands"
  • "Hacking Printers Advisory 6/6: Multiple vendors physical NVRAM damage via PJL commands"
• [19] Tamas Szakaly; DEF CON 24: "Help, I've got ANTs!!!" (Präsentation als PDF, Video auf YouTube)
• [20] Zenofex, 0x00string, CJ_000, Maximus64; DEF CON 25: "All Your Things Are Belong To Us" (Präsentation als PDF, Liste betroffener Geräte, Video auf YouTube)
• [21] Carsten Eilers: "VoIP im Visier der Cyberkriminellen"; Entwickler Magazin 4.2015

Carsten Eilers

Kategorien: Drucksache

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks