IoT: Wie ich einmal mein Zuhause hackte

Die Geschichte eines Sicherheitsexperten, der herausfinden wollte, wie angreifbar er tatsächlich ist

Inhalt

Einleitung

Häufig werden neue Begriffe innerhalb der IT-Sicherheitsbranche übermäßig gehypt. Derzeit kursieren viele Berichte darüber, wie Hacker und Forscher gleichermaßen Sicherheitslücken beispielsweise in Autos, Kühlschränken, Hotels oder Hausalarmanlagen finden. Alle diese Dinge fallen unter den Begriff IoT (Internet of Things – Internet der Dinge), und aktuell gehört dies zu den am stärksten aufgeputschten Themen in der Branche. Das einzige Problem bei dieser Art von Forschung besteht darin, dass nicht jeder einen Bezug dazu hat: Es ist ein ziemlich cooler Forschungsbereich mit detaillierten Analysen, aber wenn der Leser keinen Bezug zu den Attacken hat, kann er Forschungsergebnisse auch nicht korrekt verstehen.

Wir versuchen oft, die Zukunft mittels proaktiver Forschung vorherzusagen, und meiner Meinung nach ist es auch durchaus wichtig, zu versuchen, die Zukunft vorherzusagen und proaktive Sicherheitsforschung durchzuführen. Aber ich denke, es ist noch viel wichtiger, das zu thematisieren, was relevant ist und über Bedrohungen zu diskutieren, zu denen die Menschen einen Bezug haben. Ich habe mir Gedanken über dieses Thema gemacht und bin zu dem Schluss gekommen, dass es keinen großen Sinn macht, wenn wir potentielle, künftige neue Bedrohungen identifizieren, aber nicht in der Lage sind, uns vor aktuellen Bedrohungen zu schützen.

Die Bedrohungen sind allgegenwärtig, auch in diesem Moment, in dem Sie dieses Dokument lesen. Als Nutzer in einer vernetzten digitalen Umgebung müssen wir uns folgende Fragen stellen: ‘Wie hoch ist das aktuelle Bedrohungsniveau?’ und ‘Wie angreifbar bin ich?’ Insbesondere, wenn wir uns kleine Homeoffice-Netzwerke aufbauen. In einem typischen modernen Haushalt kann es um die fünf mit dem lokalen Netzwerk verbundene Geräte geben, bei denen es sich nicht um Computer, Tablets oder Mobiltelefone handelt. Die Rede ist von Geräten wie Smart-TVs, Drucker, Spielekonsolen, Netzwerkspeichergeräte und einige Arten von Medien-Playern/Satellitenreceivern.

Ich habe beschlossen, ein Forschungsprojekt anzuschieben und Untersuchungen durchzuführen, die ich für wichtig halte, indem ich herauszufinden versuche, wie einfach es ist, mein eigenes Zuhause zu hacken. Sind die mit meinem Netzwerk verbundenen Geräte angreifbar? Was ist ein Angreifer tatsächlich in der Lage anzustellen, wenn diese Geräte kompromittiert werden? Kann mein Zuhause gehackt werden? Bevor ich mit meinen Nachforschungen begann, war ich recht fest davon überzeugt, dass mein Heim sicher ist – ich meine, ich arbeite seit über 15 Jahren in der IT-Sicherheitsbranche, und ich bin regelrecht paranoid, wenn es um die Anwendung von Sicherheitspatches usw. geht. Ich war der Meinung, dass andere Häuser sehr viel „hackbarer“ sein müssten als das meine, denn ich habe wirklich eine Menge ‘Hightech’-Equipment zu Hause.

Bei meiner Untersuchungen lag der Fokus nicht auf Computern, Tablets oder Smartphones, sondern vielmehr auf anderen Geräten, die Zuhause mit meinem Netzwerk verbunden sind. Zu meiner Überraschung stellte sich heraus, dass ich tatsächlich einen Haufen unterschiedlicher Dinge an mein Netzwerk angeschlossen habe. Bei den meisten handelt es sich um Unterhaltungselektronik: Smart-TV, Satellitenreceiver, DVD/Blu-Ray-Player, Netzwerkspeichergeräte und Spielekonsolen. Derzeit ziehe ich außerdem in ein anderes Haus um, und ich habe mich mit der lokalen Sicherheitsfirma unterhalten. Sie haben vorgeschlagen, das neuste Alarmsystem zu installieren, das mit dem Netzwerk verbunden wird und von meinem mobilen Gerät gesteuert werden kann… Nachdem ich meine Untersuchungen abgeschlossen habe, bin ich nicht mehr so sicher, dass das eine so gute Idee ist.

Zu den Geräten in meinem Netzwerk gehören beispielsweise:

  • ein Netzwerkspeichergerät (NAS) von einem bekannten Hersteller Nr. 1
  • ein NAS von einem bekannten Hersteller Nr. 2
  • ein Smart-TV
  • ein Satellitenreceiver
  • ein Router von meinem Internet Service Provider
  • ein Drucker.

Vor Beginn meiner Untersuchungen habe ich alle Geräte mit den neusten Firmware-Versionen aktualisiert. Dabei stellte ich fest, dass nicht alle Geräte automatisierte Update-Checks haben, wodurch die Aktualisierung sich durchaus langwieriger gestaltete. Ich als Endkunde musste die neue Firmware manuell herunterladen und auf einigen der Geräte installieren, was tatsächlich nicht so einfach war, da die neuen Firmware-Dateien nicht so einfach zu finden waren und der gesamte Update-Prozess für einen durchschnittlichen Computer-Nutzer nicht unbedingt problemlos durchzuführen war. Eine andere interessante Beobachtung bestand darin, dass die meisten Produkte vor mehr als einem Jahr abgekündigt wurden oder einfach keine Updates verfügbar waren. Das gab mir zu denken … „leben“ diese Homeoffice- und Unterhaltungsprodukte nur etwa ein Jahr, bevor sie abgekündigt werden?

Das Ziel

Was will ich eigentlich mit dieser Untersuchung beweisen? Ich möchte kurz erklären, warum ich sie für so wichtig halte. Als ich mit der Arbeit an diesem Projekt begann, stellte ich bald fest, dass ich es von vielen verschiedenen Seiten angehen könnte, doch das Hauptziel bestand für mich darin, herauszufinden, wie angreifbar unsere Heime wirklich sind und zudem reale, praktisch anwendbare und relevante Angriffsvektoren zu identifizieren.

Ganz allgemein sind wir recht gut darin, unsere Endgeräte mit Hilfe von Sicherheitssoftware zu schützen. Aus der Presse und aus Blogs erfahren wir zudem, wie wir unser Sicherheitsniveau verbessern können. Die meisten Leute wissen heute, was ein Computervirus ist, dass sie starke Passwörter benutzen sollten und dass es wichtig ist, die neusten Sicherheitspatches zu installieren. Doch berücksichtigen wir diese ganzen Aspekte auch tatsächlich? Es ist recht normal für einen Sicherheitsexperten, über eine verschlossene Tür in einem Glashaus zu sprechen, und ich wollte bei dieser Untersuchung einem ähnlichen Ansatz folgen. Ich wollte zeigen, dass wir uns – selbst mit IT-Sicherheitsmentalität – auf den Schutz der Endpoints konzentrieren und dabei geneigt sind zu vergessen, dass auch noch andere Geräte an unsere Netzwerke angeschlossen sind. Wir wollen Übeltäter davon abhalten, unsere Computer zu hacken oder zu infizieren, weil wir nicht möchten, dass unsere Daten gestohlen werden, aber dann gehen wir nach Hause und machen ein vollständiges Backup unserer Daten auf einem Gerät, das noch viel verwundbarer ist als unser Computer.

Die Zielgruppe dieses Artikels besteht nicht ausschließlich aus Anwendern, sondern auch Unternehmen sind angesprochen. Wir müssen verstehen, dass ALLES, was wir mit unserem Netzwerk verbinden, ein Sprungbrett für einen Angreifer sein kann, oder sogar zur unsichtbaren „Basis“ eines Angreifers werden kann, die er oder sie dann möglicherweise benutzen, um erneut Zugriff auf unser Netzwerk zu erhalten, nachdem es kompromittiert wurde. Wenn Sie feststellen sollten, dass Sie kompromittiert wurden, würden Sie doch alles tun, um den Normalzustand wiederherzustellen: Ihre Daten sichern, die Geräte neu installieren und sicherstellen, dass die neue Installation vor Schadcode geschützt ist und alle Updates installiert sind. Doch sechs Monate später werden Sie erneut gehackt und alle Ihre Daten werden noch einmal gestohlen… Wie kann das möglich sein?

Es könnte sein, dass ein Angreifer Ihr Netzwerkspeichergerät geknackt hat und es in eine Backdoor verwandelt. Die Schadsoftware wird nicht detektiert, weil es keinen Schutz vor Schadcode gibt, der auf dem Gerät läuft und die Malware kann nicht gelöscht werden, weil Sie keine Befugnis haben, auf das Dateisystem auf dem Gerät zuzugreifen und noch nicht einmal das Zurücksetzen auf Werkseinstellungen würde das Problem lösen. Oder es könnte sein, dass ein Angreifer Ihr Smart-TV-Gerät benutzt, um erneut auf Ihr Unternehmensnetzwerk zuzugreifen, da der Fernseher mit demselben Netz verbunden ist wie Ihre Mitarbeiter, und für das smarte TV-Gerät keine Beschränkungen existieren.

Das Ziel meiner Untersuchungen war es also, in die Rolle des Schurken zu schlüpfen, meine Heimunterhaltungselektronik zu bösartigen Zwecken zu benutzen, sie tatsächlich zu kompromittieren und sie dann entweder als Trittbrett für die Durchführung weiterer Attacken oder als Backdoor in mein eigenes Netzwerk zu benutzen.

Was ich in diesem Bericht nicht tun werden: Anbieter an den Pranger stellen oder kritisieren. Die Geräte, die im Rahmen dieser Untersuchung auf dem Prüfstand standen, waren meine eigenen persönlichen Geräte, und aus genau diesem Grund wurden sie für das Projekt ausgewählt. Alle Sicherheitslücken wurden den jeweiligen Anbietern übermittelt, und sie arbeiten nun an den entsprechenden Lösungen für diese Produkte. Ich werde nicht alle Sicherheitslücken offenbaren, die bei diesem Forschungsprojekt identifiziert wurden, ebenso wenig wie ich technische Details zu den Schwachstellen preisgeben werde, denn das würde nur den bösen Jungs in die Hände spielen. Wenn Sie an weiteren technischen Details zu diesem Forschungsprojekt interessiert sind, scheuen Sie sich nicht, uns zu kontaktieren.

Die Auswirkung

Nun hatte ich also alle diese unterschiedlichen Geräte, die an meinem Netzwerk hingen, aber womit sollte ich anfangen? Ich beschloss, zunächst einmal die unterschiedlichen Angriffsszenarien zu definieren, die in meiner Untersuchung vorkommen sollten, anstatt diese Geräte einfach ohne jegliche Kriterien anzugreifen. Damit der Test als erfolgreich eingestuft werden konnte, mussten eins oder alle der folgenden Kriterien erfüllt werden:

Ich musste…

  • … Zugriff auf das Gerät erhalten, beispielsweise Zugriff auf die Dateien auf einem Netzwerkspeichergerät;
  • … administrativen Zugriff auf das Gerät erhalten, nicht nur auf das administrative Interface, sondern auf Betriebssystemniveau;
  • … in der Lage sein, das Gerät zu meinen persönlichen Zwecken umzugestalten / zu modifizieren (Backdoor, Sprungbrett etc.).

Vermutlich gibt es massenhaft andere Szenarien, die man sinnvollerweise testen könnte, doch meine Zeit war begrenzt und ich wollte einfach nur eine Sache beweisen. Ich begann damit, dass ich mit den Web-Interfaces für die verschiedenen Geräte herumspielte, und zu meiner Überraschung dauerte es nicht lange, bis ich eine entfernt ausnutzbare Command-Execution-Sicherheitslücke mit vollen Administrationsrechten auf Betriebssystemlevel in beiden Netzwerkspeichergeräten fand.

An dieser Stelle fragte ich mich selbst „Ist es tatsächlich so einfach?“. Dann betrachtete ich die zwei neu entdeckten Sicherheitslücken genauer und stellte fest, dass beide nach der Authentifizierung als administrativer Nutzer im administrativen Interface vorhanden waren. Ich wollte aber unter denselben Vorbedingungen wie ein potentieller Angreifer agieren, daher versuchte ich eine Sicherheitslücke zu finden, ohne irgendwelche meiner Anmeldedaten zu verwenden. Nun war es ein bisschen schwieriger, aber nach einigem Herumprobieren fand ich die Hauptkonfigurationsdatei – sie war entfernt für jeden Nutzer im Netzwerk verfügbar. In der Konfigurationsdatei waren alle Passwort-Hashes gespeichert, wodurch es überaus einfach wurde, wieder an das Administrationsinterface zu gelangen und die Sicherheitslücken auszunutzen, die ich zuvor gefunden hatte, um mit deren Hilfe Systembefehle auf dem Gerät auszuführen.

Hacked_home_1

Nachdem ich noch ein bisschen herumprobiert hatte, fand ich weitere Schwachstellen, die ebenfalls ohne Authentifizierung ausgenutzt werden konnten, um auf dem Gerät Systembefehle mit Rootrechten (höchste Privilegien) auszuführen. An diesem Punkt war für beide Netzwerkspeichergeräte mehr oder weniger „game over“. Ich hatte nun nicht nur Zugriff auf das gesamte Dateisystem der Geräte, es war außerdem äußerst einfach für mich, die Geräte mit irgendeinem Trojaner oder einer Backdoor zu infizieren, wodurch sie zu Zombies innerhalb eines Botnetzes werden würden. Oder eine Backdoor zu installieren, um beispielsweise weitere Angriffe auf dem Gerät durchzuführen.

Hacked_home_2

Hacked_home_3

Auf beiden kompromittierten Geräten liefen Linux 2.6.x Kernel und viele interpretierte Programmiersprachen, wie etwa Perl und Python. Auf einem war zudem der GNU C Compiler installiert, was potentiellen Angreifern das Leben erleichtern würde. Da eins meiner erklärten Angriffsziele darin bestand, das kompromittierte Gerät in eine Backdoor zu verwandeln, verwendete ich einfach einen der öffentlichen IRC-Bots als Musterfall. Innerhalb von Sekunden hatte ich mein Netzwerkspeichergerät in einen Botnetz-Zombie verwandelt.

Das war extrem einfach, da das kompromittierte NAS es gewohnt ist, Dateien zu speichern, und ich meine bösartige Datei einfach hochladen und außerhalb der gemeinsamen Ordner – irgendwo anders in dem Dateisystem – speichern konnte. Das hat zur Folge, dass der Besitzer des Gerätes nicht mehr in der Lage ist, die Datei zu löschen, ohne dieselbe Sicherheitslücke auszunutzen, die der Angreifer missbraucht hat, um den IRC-Trojaner hochzuladen und auszuführen.

Hacked_home_4

Nach Abschluss der Untersuchung der Netzwerkspeichergeräte hatte ich mehr als 14 Sicherheitslücken gefunden, die es einem Angreifer ermöglichen könnten, entfernt Systembefehle mit den höchsten administrativen Privilegien auszuführen. Die zwei Geräte hatten nicht nur ein angreifbares Webinterface, sondern auch die lokale Sicherheit auf den Geräten war überaus schwach. Die Geräte hatten sehr schwache Passwörter, viele Konfigurationsdateien hatten inkorrekte Berechtigungen und sie enthielten zudem Passwörter in Klartext.

Um ein weiteres Beispiel dafür zu geben, wie schlecht die lokale Sicherheit war, sei an dieser Stelle noch erwähnt, dass auf einem der Speichergeräte das administrative Root-Passwort ‘1’ lautete. Ich sehe ein, dass die Sicherheit dieser Geräte nicht auf Fort Knox-Niveau sein muss, aber ein Passwort, das aus nur einem Zeichen besteht, verstößt gegen alle Regeln der Vernunft.

Aufgrund der schwachen Sicherheitseinstellungen und aufgrund der Tatsache, dass ich Zugriff auf das Dateisystem hatte, war es sehr einfach, verschiedene Skripte zu identifizieren, die Funktionen in dem Gerät aktivieren, die nirgendwo dokumentiert sind. Funktionen, die einem externen Nutzer ermöglichen, Services und andere interessante Dinge auf den Geräten zu aktivieren, wie z.B. entfernte Admin-Interfaces (telnetd, sshd). Möglicherweise gehe ich in einem separaten Blogpost näher auf diese „verborgenen“ Features ein, denn zunächst muss ich tiefer gehende Analysen mit diesen Dateien durchführen.

Im Rahmen dieses Forschungsprojekts stieß ich auf einige andere Geräte mit „verborgenen“ Features. Eins dieser Geräte war mein DSL-Router, der von meinem ISP bereitgestellt wird. Nach dem Login mit den Admin-Anmeldedaten, die ich von dem ISP erhalten hatte, konnte ich im Webinterface herumnavigieren. Das Interface war recht einfach zu benutzen und ich fand schnell heraus, wie sich die URL ändert, wenn ich durch das Menü navigiere. Jeder Funktion in dem Menü war eine Nummer zugewiesen, die erste Funktion in dem Menü hatte die Ziffer 0, dann wurde mit jeder weiteren Option hochgezählt. Das Interessante daran war, dass eine Funktion manchmal einige Zahlen übersprang, aber wenn dann die fehlenden Zahlen in der URL-Adresszeile eingegeben wurden, so landete man bei einer Menü-Option, die in der Menüliste nicht erschien, doch der Name der „verborgenen“ Funktion wurde im Webinterface angezeigt.

Ich machte mich daran, diese Zahlen mit der Brute-Force-Methode zu knacken und fand heraus, dass es Unmengen von Funktionen gab, auf die ich keinen Zugriff hatte. Ich nehme allerdings an, dass mein ISP oder der Hersteller die VOLLSTÄNDIGE KONTROLLE über das Gerät hat und alles damit tun kann, was er will, und dass er alle die Funktionen nutzen kann, auf die ich keinen Zugriff habe. Allein ein Blick auf die Namen der „verborgenen“ Funktionen lässt erahnen, dass der ISP vermutlich beispielsweise Tunnel erstellen kann, um sich so mit jedem Gerät in dem Netzwerk zu verbinden. Man stelle sich einmal vor, was passiert, wenn diese Funktionen den falschen Leuten in die Hände fallen. Ich sehe ein, dass sie höchstwahrscheinlich dazu dienen sollen, dem ISP zu helfen, Support-Funktionen auszuführen. Aber wenn man sich mit dem Admin-Account einloggt, hat man eben nicht die vollständige Kontrolle über das, was man für sein eigenes Gerät hält, und da wird es doch recht gruselig. Insbesondere wenn einige der Funktionen so gruselige Namen haben wie ‘Web Cameras’, ‘Telephony Expert Configure’, ‘Access Control’, ‘WAN-Sensing’ und ‘Update’.

Es folgen einige Screenshots dieser verborgenen Funktionen.

Hacked_home_5

Hacked_home_6

Hacked_home_7

Aktuell bin ich noch dabei, diese Dinge zu untersuchen, um herauszufinden, was diese Funktionen tatsächlich machen. Wenn ich irgendetwas Interessantes finde, wird sicherlich ein weiterer Blogpost folgen.

Zwischenzeitlich habe ich mit der Untersuchung der anderen Geräte begonnen, die mit meinem Netzwerk verbunden sind, z.B. meine Dreambox: Es waren noch immer der Standard-Username und das Standard-Passwort eingestellt, mit denen man sich ebenfalls in dem administrativen Root-Account auf dem Gerät einloggen konnte! Auf dem Gerät läuft Linux, was ein leichtes Ziel für einen Angreifer darstellt. Die meisten anderen Geräte waren recht sicher, aber ein Gesamtaudit aller Geräte dieser Art wäre schwierig, weil man alternative Wege finden müsste, um zu bestimmen, ob eine Attacke erfolgreich war oder nicht, da man auf die meisten Geräte keinen vollen Zugriff hat.

Nachdem ich ein paar Tage herumgesucht hatte, hatte ich noch immer nichts gefunden, was alle drei Kriterien abdeckte – nichts wirklich Erwähnenswertes. Die Untersuchungen wurden zudem dadurch erschwert, dass ich meine eigenen persönlichen Geräte unter die Lupe nahm, und ich nichts kaputt machen wollte. Ich hatte selbstverständlich alle Geräte aus eigener Tasche bezahlt!

Ich musste also einen anderen Ansatz finden, und an dieser Stelle war es an mir, kreativ zu werden. Ich musste den Gedanken weiterspinnen, dass ich der Angreifer bin und bereits die zwei Netzwerkspeichergeräte kompromittiert hatte. Was könnte ich also als nächstes tun? Meine erste Idee war herauszufinden, ob ich nicht vielleicht irgendetwas mit den Medien-Playern (Smart-TV und DVD-Player) anstellen könnte, da sie vermutlich Informationen von den Speichergeräten lesen (die ich bereits gehackt hatte). An diesem Punkt erforschte ich potentielle Code-Execution-Sicherheitslücken im Smart-TV-Gerät und dem DVD-Player, aber aufgrund des hohen Preises, den ich für die Geräte bezahlt hatte, konnte ich nicht tiefer in die Materie eindringen. Es war nicht nur eine Frage des vergeudeten Geldes, wenn ich meinen nagelneuen LED Smart-Fernseher kaputt machen sollte, vielmehr hatte ich keine Ahnung, wie ich den Kindern erklären sollte, warum ich die Glotze geschrottet habe – wo sollten sie dann bloß Scooby Doo gucken?

Ich beschloss, die Untersuchung der Unterhaltungselektronik einzustellen und meine Zeit darauf zu verwenden, verschiedene Anbieter zu kontaktieren, um zu sehen, ob die Sicherheitslücken tatsächlich ausgenutzt werden können, und mit ihnen zusammenzuarbeiten, um diese potentiellen Sicherheitsprobleme nachzuweisen. Für sie ist das sehr viel einfacher, da sie Zugriff auf den Quellcode haben und viel schneller bestätigen können, ob eine Schwachstelle noch Gültigkeit hat oder nicht (und ich nehme an, es ist ihnen auch recht egal, ob sie dabei irgendwelche Geräte zerschießen).

Zunächst hatte ich einige Probleme damit, diese Anbieter zu kontaktieren, denn auf ihren Websites gibt es nur wenige nützliche Kontakt-Informationen von Ingenieuren oder C-Level-Mitarbeitern, die in der Lage sein könnten, mich zu den entsprechenden Personen durchzustellen. Nachdem ich mich aber durchgefragt und Leute aus meinem eigenen beruflichen Netzwerk angesprochen habe, konnte ich schließlich einen Kontakt zu den Mitarbeitern herstellen, die ich brauchte, und sie waren sehr dankbar für die Informationen, die ich ihnen in Bezug auf die Sicherheitslücken und Forschungsansätze geben konnte.

Wir probieren nun aus, ob wir in der Lage sind, den Smart-TV und den DVD/Blu-Ray-Player in denselben Typ von Trittbrett oder Backdoor zu verwandeln wie die Speichergeräte. Weitere Informationen zu diesem Thema werden später veröffentlicht, da das Forschungsprojekt noch andauert.

Ich konnte ein interessantes Sicherheitsproblem bei dem Smart-TV identifizieren. Wenn der Nutzer in das Haupteinstellungsmenü des Fernsehers geht, werden alle Thumbnails und Widgets vom Server des Anbieters heruntergeladen, wenn das Gerät Netzwerkzugriff hat. Der Fernseher verwendete keine Authentifizierung oder Verschlüsselung während er den Content herunterlud, was bedeutet, dass ein Angreifer eine Man-in-the-Middle-Attacke auf das TV-Gerät durchführen könnte und die Bilder im administrativen Interface modifizieren könnte. Der Angreifer könnte den Fernseher zudem dazu bringen, jegliche JavaScript-Datei zu laden, was auch nicht besonders gut ist. Ein potentieller Angriffsvektor besteht darin, JavaScript zu benutzen, um die lokalen Dateien von dem Gerät zu lesen und den Inhalt der Dateien zu nutzen, um noch mehr Sicherheitslücken aufzuspüren. Doch diesbezüglich arbeite ich mit dem Hersteller zusammen, um zu sehen, ob das beschriebene Schema umsetzbar ist oder nicht. Als ein Proof of Concept für meine Attacke änderte ich den Thumbnail eines Widgets und ersetzte ihn durch ein Bild von dem allseits beliebten Borat. Yakshemash!

Hacked_home_8

Fazit

Den größten Teil meines Lebens war ich ein absoluter Sicherheitsfanatiker, der alles nur Erdenkliche gemacht hat – vom Penetrationstester bis hin zum Pressesprecher und Berater von Strafverfolgungsbehörden. IT-Sicherheit gehört wirklich zu den größten Leidenschaften meines Lebens, doch in den letzten Jahren habe ich einen Punkt erreicht, an dem ich es müde wurde, Jahr für Jahr dieselben Sicherheitsbulletins zu lesen. Es ist an der Zeit, etwas gegen die Probleme zu unternehmen, und eine Sache die wir tun können, besteht darin, über Sicherheitsbedrohungen zu reden, die in unserem Leben auch wirklich relevant sind, und zwar in einer Sprache, die auch jeder versteht. Wir als Sicherheitsexperten müssen mehr Verantwortung übernehmen und über Bedrohungen sprechen, die heutzutage von Bedeutung sind – Bedrohungen, die Sie und mich betreffen. Wir müssen außerdem gescheite und einfache Vorschläge, Schlussfolgerungen und Lösungen anbieten, wie wir mit diesen Bedrohungen umgehen können, indem wir Software und Technologien verwenden, die bereits existieren.

Ich war schon immer von neuen Sicherheitslücken und Ausnutzungstechniken fasziniert, aber seien wir doch mal ehrlich: Was nützt es, nur Informationen über Sicherheitslücken zu veröffentlichen, wenn wir nicht dafür sorgen, dass die Leute das große Ganze verstehen? Wir denken, bei der IT-Sicherheit geht es nur um Sicherheitslücken, und ich bin mir auch bewusst, dass ich über die Hälfte dieses Artikels nur von Sicherheitslücken gesprochen habe, aber das Ziel dieser Untersuchung ist es nicht, mit all den vorher unbekannten Sicherheitslücken zu prahlen, die ich entdeckt habe, und das Ziel ist es auch nicht aufzuzeigen, dass es große Sicherheitsprobleme mit unserer Unterhaltungselektronik gibt. Es wird immer Schwachstellen geben, und wir müssen uns dieser Tatsache auch bewusst sein. Allerdings meine ich mit bewusst sein nicht akzeptieren. Ich will damit lediglich sagen, dass wir auch tatsächlich etwas dagegen unternehmen müssen. Wir müssen verstehen, welche Auswirkungen sie haben können und wir müssen davon ausgehen, dass unsere Geräte kompromittiert werden können oder bereits kompromittiert sind. Wir müssen davon ausgehen, dass Produkte angreifbar sind und Angreifer Zugriff auf sie erlangen können und auch erlangen werden.

Ich möchte diese Untersuchung mit dem Aufruf abschließen, dass wir uns als Individuen und auch als Unternehmen, der Risiken bewusst werden sollten, die Netzwerkgeräte mit sich bringen. Wir müssen auch einsehen, dass unsere Informationen nicht sicher sind, nur weil wir starke Passwörter verwenden oder irgendeine Software zum Schutz vor Schadcode auf unseren Rechnern läuft. Wir müssen uns außerdem darüber im Klaren sein, dass es so viele Dinge gibt, über die wir keine Kontrolle haben und dass unser Schicksal diesbezüglich zu einem großen Teil in den Händen der Software- und Hardware-Hersteller liegt. Es hat mich weniger als 20 Minuten gekostet, extrem kritische Sicherheitslücken zu finden und zu bestätigen, in einem Gerät, das als sicher galt – ein Gerät, dem wir vertrauen und auf dem wir alle Informationen speichern, die nicht gestohlen werden sollen.

Als ich meinem Chef den Vorschlag zu dieser Untersuchung unterbreitete, fragte er mich, was meiner Meinung nach dabei rauskommen würde. Ich wollte keine neuen Sicherheitslösungen für Unterhaltungselektronik entwickelt, sondern lediglich Sicherheitsprobleme aufspüren. Daher war die einzige Antwort, die ich ihm geben konnte, dass ich diese Untersuchung durchführen wollte, um den Menschen vor Augen zu führen, dass es hier ein Problem gibt, und dass wir als Individuen unsere persönliche Sicherheit auf eine andere Art und Weise überprüfen und verbessern sollten als es in der Vergangenheit der Fall war! Wir müssen unsere Denkweise und das ganze Spiel komplett umkrempeln!

Ich würde auch gern all den Herstellern da draußen ein Feedback geben: Ihr müsst Eure Produkte auf eine bessere Art supporten und sichern. Es ist nicht wirklich akzeptabel, dass ein Produkt nach nur 12 Monaten abgekündigt wird. Es ist überhaupt nicht in Ordnung, Passwörter mit nur einem Zeichen zu verwenden. Und es ist auch nicht richtig, diese Geräte schlicht als „Unterhaltungselektronik“ zu betrachten. Es ist nicht ok, eine lesbare Konfigurationsdatei zu haben, die alle Nutzer-Anmeldedaten enthält – insbesondere auf einem Netzwerkspeichergerät.

Wir müssen alternative Lösungen anbieten, die Heimanwendern und Unternehmen helfen können, ihre Sicherheit zu verbessern. Das ist kein Problem, das man beheben kann, indem man einfach ein Produkt oder Sicherheitspatch installiert, daher möchte ich diesen Bericht mit den Worten abschließen, dass die Unterhaltungselektronik-Industrie möglicherweise nicht den Fokus auf die Sicherheit legt, wir bei Kaspersky Lab aber sehr wohl. Zudem möchte ich ein paar einfache Tipps geben, die meiner Meinung nach dazu beitragen können, das Sicherheitsniveau etwas anzuheben. Hoffentlich lesen einige Hersteller diesen Bericht und verbessern ihre Software-Sicherheit, doch bis dahin einige einfache Empfehlungen meinerseits:

  • Stellen Sie sicher, dass alle Ihre Geräte auf dem neusten Stand und die neusten Sicherheits- und Firmware-Updates installiert sind. Bei vielen Homeoffice- und Unterhaltungselektronikgeräten ist das ein Problem, aber es ist noch immer das Beste, was man tun kann, um zu vermeiden, bekannten Sicherheitslücken schutzlos ausgeliefert zu sein. So erfahren Sie zudem, ob für die Geräte überhaupt irgendwelche Updates zur Installation verfügbar sind oder ob das Produkt bereits als „tot“ gilt.
  • Überzeugen Sie sich davon, dass der Standard-Nutzername und das Standard-Passwort geändert wurden – das ist das Erste, was ein Angreifer ausprobiert, wenn er versucht, Ihr Gerät zu kompromittieren. Denken Sie immer daran, dass das administrative Interface auch auf ernsthafte Sicherheitslücken angreifbar sein kann, selbst wenn es sich um ein „dummes“ Gerät handelt, wie etwa einen Satellitenreceiver oder eine Netzwerkfestplatte.
  • Verwenden Sie Verschlüsselung, sogar bei den Dateien, die Sie in Ihrem Netzwerkspeichergerät aufbewahren. Wenn Sie keinen Zugriff auf ein Verschlüsselungstool haben, können Sie Ihre Dateien auch einfach in eine Passwort geschützte ZIP-Datei packen – das ist immerhin besser als gar nichts.
  • Die meisten Heim-Router und Switches bieten die Möglichkeit, mehrere verschiedene DMZ/VLAN einzustellen. Das bedeutet, dass man sein eigenes ‘privates’ Netzwerk für sein Netzwerkgerät einstellen kann, was den Netzwerkzugriff zu diesem und auf dieses Gerät einschränkt.
  • Lassen Sie Ihren gesunden Menschenverstand walten und seien Sie sich darüber im Klaren, dass alles gehackt werden kann, selbst Hardware-Geräte.
  • Wenn Sie wirklich paranoid sind, können Sie den von diesen Geräten ausgehenden Netzwerk-Traffic jederzeit überwachen, um zu sehen, ob irgendetwas Merkwürdiges vor sich geht, aber das setzt ein gewisses technisches Verständnis voraus. Gut beraten ist man auch, wenn man den Netzwerkgeräten verbietet, auf Sites zuzugreifen, auf die sie nicht zugreifen sollen, und ihnen nur erlaubt, Updates herunterzuladen und nichts anderes.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Sebastian Hörter

    Super Arbeit
    und in Zeiten internationalen Terrors wird dieses Thema definitiv, trotz seiner Wichtigkeit, grob unterschätz!
    Verpflichtende Gesetze diesbezüglich sehe ich aber leider nicht!

    Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.