Überleben in einer IoT-fähigen Welt

Wie man sich und seine smarten Geräte vor Hackern schützt

Inhalt

Gruselgeschichten über das Internet der Dinge (Internet of Things – IoT) beschwören Bilder von bösen Jungs in Kapuzenpullis herauf, die geboren wurden, um zu hacken und den Menschen das Leben schwer zu machen, indem sie Millionen von Wegen erkunden, über unsere Gadgets in unser aller Leben einzudringen. Aber ist diese Vorstellung geeignet, uns davon abzuhalten, smarte Geräte zu benutzen? Wir meinen nein; wir glauben vielmehr, dass Nutzer sich der potentiellen Risiken bewusst sein und wissen sollten, wie sie sie vermeiden, bevor sie sich in die IoT-fähige Welt stürzen.

Vor mehr als einem Jahr sah sich unser Kollege aus dem Kaspersky Global Research and Analysis Team, David Jacoby, in seinem Wohnzimmer um und beschloss herauszufinden, wie anfällig seine eigenen Geräte gegenüber Cyberattacken sind. Er fand heraus, dass sie fast alle angreifbar waren. Daher stellten wir uns die Frage, ob das ein Zufall war oder ob die aktuell auf dem Markt verfügbaren intelligenten ‚IoT‘-Produkte tatsächlich alle so gefährdet sind? Um darauf eine Antwort zu erhalten, stellten wir eine willkürliche Auswahl von mit dem Internet verbundenen Heimgeräten zusammen und schauten uns an, wie sie funktionieren.

Wir wählten die folgenden Geräte für unser Experiment aus:

  • einen USB-Dongle zum Streamen von Videos (Google Chromecast);
  • eine Smartphone-gesteuerte IP-Kamera;
  • eine Smartphone-gesteuerte Kaffeemaschine und
  • eine Haus-Alarmanlage, ebenfalls via Smartphone gesteuert.

Die Aufgabe, die wir uns stellten, war einfach: Wir wollten herausfinden, ob irgendeins dieser Geräte eine Bedrohung für seinen Besitzer darstellt. Die Untersuchungsergebnisse geben reichlich Stoff zum Nachdenken.

Google Chromecast. IoT-Hacking für Anfänger

Risiko: Der Inhalt auf dem Bildschirm des Opfers wird von einer Quelle gestreamt, die einem Angreifer gehört

Chromecast, das kürzlich mit einer fortschrittlicheren Version aktualisiert wurde, ist ein interessantes Gerät. Es handelt sich dabei um einen günstigen USB-Dongle, mit dem man Medien vom Smartphone oder Tablet auf einen Fernseher oder einen anderen Bildschirm streamen kann. Er funktioniert folgendermaßen: Der Nutzer verbindet den Dongle mit der HDMI-Schnittstelle eines Fernsehers, um ihn zu aktivieren. Daraufhin startet Chromecast sein eigenes WLAN für die Erstkonfiguration. Wurde eine Verbindung mit einem Smartphone oder einem Tablet hergestellt, schaltet das Gerät sein eigenes WLAN aus und verbindet sich mit dem Heim-WLAN des Nutzers. Es ist sehr komfortabel und benutzerfreundlich.

Überleben in einer IoT-fähigen Welt

Doch es könnte alles andere als komfortabel und eindeutig unfreundlich werden, wenn ein Hacker in der Nähe ist. Die bekannte „Rickrolling„-Schwachstelle, die von dem Sicherheitsforscher Dan Petro entdeckt wurde, beweist das. Sie ermöglicht es, Inhalte auf den Bildschirm des Opfers zu streamen, die aus der Quelle eines Angreifers stammen. Und das funktioniert so: Der Angreifer überflutet das Gerät mit speziellen ‚Trennungsaufforderungen‘ von einem bösartigen Raspberry Pi-basierten Gerät und wenn Chromecast als Antwort sein eigenes Wi-Fi-Modul einschaltet, wird Google Chromecast wieder mit dem Gerät des Angreifers verbunden, so dass der Dongle in der Folge das streamt, was der Angreifer will.

Man wird dieses Problem nur los, wenn man den Fernseher ausschaltet, den Dongle aus der Reichweite des Heim-WLANs entfernt und abwartet, dass der Angreifer gelangweilt seiner Wege geht.

Die Attacke wird lediglich dadurch eingeschränkt, dass der Angreifer sich innerhalb der Reichweite des WLANs befinden muss, mit dem das angegriffene Chromecast verbunden ist. Doch wir konnten im Rahmen unseres Experiments feststellen, dass es nicht zwangsläufig eine Einschränkung sein muss, wenn man eine günstige Wi-Fi-Richtantenne und irgendeine Kali Linux Software sein eigen nennt. Als wir uns damit ausgerüstet hatten, fanden wir heraus, dass Chromecast über eine weitaus größere Distanz „gerickrolled“ werden kann, als es der normale Signalbereich für Heim-WLAN erlaubt. Das bedeutet, dass der Angreifer nicht wie in dem ursprünglichen Hack von Dan Petro Gefahr läuft, von einem wütenden Chromecast-Besitzer aufgespürt zu werden, wenn er eine Richtantenne verwendet.

Wir sehen diese „Erkenntnis“ nicht als neue Entdeckung an; es ist lediglich die Erweiterung eines bereits bekannten und bisher noch ungepatchten Sicherheitsproblems. Es ist eine schöne Aufgabe für Anfänger im Bereich IoT-Hacking, auch wenn es wirklich äußerst unangenehme Auswirkungen haben kann – aber dazu kommen wir später. Zunächst einmal zu den anderen Erkenntnissen unserer kurzen Studie.

Vermeidung: Verwendung in abgelegenen Teilen des Hauses, so dass das Risiko von Angriffen mit Richtantennen minimiert wird

Status: Nicht gepatcht

IP-Kamera

Problem eins

Risiko: Angreifer können sich Zugriff auf alle E-Mail-Adressen von Kamerabenutzern verschaffen, die schon einmal technische Probleme hatten

Die von uns untersuchte IP-Kamera wird von dem Anbieter als Baby-Monitor positioniert. Man stellt die Kamera im Kinderzimmer auf, lädt eine App auf das Smartphone herunter, verbindet die Kamera mit der App und dem WLAN und ab geht’s durch die Mitte! Sie können Ihr Kind beobachten, wann immer und von wo aus auch immer Sie wollen.

Überleben in einer IoT-fähigen Welt

Warum sollte jemand eine Baby-Kamera hacken, mag man sich nun fragen!? Tatsächlich gibt es verschiedene Vorfälle, die den Missbrauch von Baby-Kameras belegen, die ersten bereits im Jahr 2013 (http://www.cbsnews.com/news/baby-monitor-hacked-spies-on-texas-child/), sowie ein ähnliches Problem, über das im Jahr 2015 berichtet wurde (http://www.kwch.com/news/local-news/whitewater-woman-says-her-baby-monitor-was-hacked/32427912). Die Antwort lautet also: Es gibt durchaus Leute, die – warum auch immer – Baby-Kameras hacken wollen.

Als wir unsere Kamera untersuchten (im Frühjahr 2015), standen den Kunden zwei verschiedene Apps zur Verfügung, die es ihnen ermöglichten, mit der Kamera zu kommunizieren. Beide enthielten Sicherheitsprobleme. Später erfuhren wir von dem Anbieter, dass eine der Apps veraltet war, doch sie wurde trotzdem noch immer von etlichen Kamerabesitzern benutzt. Wir fanden heraus, dass diese veraltete App im Code festgeschriebene Anmeldedaten für einen Gmail-Account enthielt.

public static final String EMAIL_FROM = „*****@gmail.com“;
    public static final String EMAIL_PASSWORD = „*******“;
    public static final String EMAIL_PORT = „465“;
    public static final String EMAIL_SMTP_HOST = „smtp.gmail.com“;
    public static final String EMAIL_TO;
    public static final String EMAIL_TO_MAXIM = „maximidc@gmail.com“;
    public static final String EMAIL_TO_PHILIPS = „*****@philips.com“;
    public static final String EMAIL_USERNAME = „*****@gmail.com“;

Der Anbieter teilte uns später mit, dass der Account verwendet wurde, um Berichte über technische Probleme der Kameranutzer zu sammeln.

Das Problem besteht nun darin, dass diese Berichte von den eigenen E-Mail-Accounts der Nutzer an diesen voreingestellten Account geschickt wurden. Ein Angreifer musste sich also noch nicht einmal eine Kamera kaufen, denn er brauchte sich lediglich eine der Apps herunterzuladen und sie nachzukonstruieren, um Zugriff auf den vorinstallierten Account zu erhalten und damit auch die E-Mail-Adressen aller Kameranutzer abzugreifen, die jemals technische Probleme gehabt haben. Ist es ein großes Ding, dass die eigene E-Mail aufgrund der Ausnutzung einer Sicherheitslücke für Dritte sichtbar wird? Es könnte eins sein. Aber ehrlich gesagt ist diese Sicherheitslücke kein verlockendes Ziel um massenhaft persönliche Informationen abzugreifen, hauptsächlich, weil die Zahl der potentiellen Opfer relativ begrenzt ist. Technische Probleme sind selten und die App war alt und zum Zeitpunkt unserer Untersuchung nicht wirklich populär. Baby-Kameras sind außerdem ein Nischenprodukt, daher sind nicht viele E-Mail-Adressen gespeichert.

Wenn man allerdings Besitzer eines Babyfons mit Kamera ist, dann ist man aller Wahrscheinlichkeit nach auch ein Elternteil und das macht einen (und die eigene E-Mail-Adresse) zu einem sehr viel interessanteren Ziel, wenn ein Angreifer eine spezifische, maßgeschneiderte Betrugskampagne plant.

Mit anderen Worten: Es ist keine kritische Sicherheitslücke, aber sie könnte trotzdem von Angreifern ausgenutzt werden. Aber das war nicht die einzige Schwachstelle, die wir bei der Untersuchung der Kamera und der App fanden.

Status: Problem beseitigt

Problem zwei

Risiko: vollständige Kontrolle über die Kamera durch einen Angreifer

Nachdem wir die veraltete App unter die Lupe genommen hatten, befassten wir uns mit der neueren Version und entdeckten umgehend ein weiteres interessantes Problem.

Die Anwendung kommuniziert über einen Cloud-Service mit der Kamera und diese Kommunikation ist https-verschlüsselt. Die App verwendet eine Session-ID zur Authentifizierung, die sich mit jeder neuen Sitzung, die ein Nutzer initiiert, automatisch ändert. Das mag sicher klingen, doch tatsächlich ist es möglich, die Session-ID abzufangen und die Kamera über die Cloud zu kontrollieren bzw. das Passwort für den lokalen Zugriff auf die Kamera wiederherzustellen.

Bevor die App anfängt, Daten von der Kamera zu streamen, schickt sie eine http-Anfrage an den Cloud-Service:

type=android&id=APA91bEjfHJc7p6vw3izKmMNFYt7wJQr995171iGq2kk_rD4XaMEHhTXqTmFaAALjWD15bnaVcyMuV2a7zvEFdtV13QXildHQn0PCvQbPikag2CPJwPwOWWsXtP7B0S-Jd3W-7n0JUo-nMFg3-Kv02yb1AldWBPfE3UghvwECCMANYU3tKZCb2A&sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

Diese Anfrage enthält die Session-ID, die abgefangen werden könnte, da die Anfrage unverschlüsselt ist. Die Session-ID wird dann benutzt, um das aktuelle Passwort zu rekonstruieren. Wir haben herausgefunden, dass das möglich ist, indem man einen speziellen Link mit der Session-ID am Ende erstellt.

https://*****/*****/*****sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

Als Antwort auf diesen Link sendet der Cloud-Service das Passwort für die Sitzung.

https:// *****/*****/*****sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

… „local_view“:{„password“:“N2VmYmVlOGY4NGVj“,“port“:9090} …

Mit Hilfe des Passworts kann man die vollständige Kontrolle über die Kamera erhalten, d.h. man kann unter anderem das gestreamte Video sehen, den Ton hören und Ton auf der Kamera abspielen.

Man muss allerdings wissen, dass das keine entfernte Attacke ist – der Angreifer muss sich im selben Netzwerk befinden wie der Nutzer der App, um die Erstanfrage abfangen zu können, was eine Ausnutzung weniger wahrscheinlich macht. Doch die Nutzer diese App sollten trotzdem vorsichtig sein, insbesondere wenn sie große Netze benutzen, auf die viele Leute Zugriff haben. Wenn sich beispielsweise ein User von einem öffentlichen Wi-Fi mit der Kamera verbindet, so könnte er sich selbst dem Risiko aussetzen, von einem Angreifer im selben Netz attackiert zu werden. Unter solchen Umständen ist es nicht schwer, sich ein reales Szenario vorzustellen, in dem Dritte die eigene App benutzen.

Status: Problem beseitigt

Problem drei

Risiko: Gottesmodus – ein Angreifer kann mit der Firmware der Kamera tun, was er will

Das dritte Problem, das wir während unserer Untersuchung der Smartphone-gesteuerten Kamera entdeckten, befand sich nicht in der App, sondern in der Kamera selbst. Und das Problem ist recht simpel: ein ab Werk voreingestelltes Root-Passwort für SSH in der Firmware. Es ist simpel, weil die Kamera unter Linux läuft und das Root-Passwort den Gottesmodus für jedermann aktiviert, der Zugriff auf das Gerät hat und das Passwort kennt. Nun kann man alles mit der Firmware der Kamera machen – modifizieren, löschen – einfach alles. Alles, was der Angreifer tun muss, um das Passwort herauszukriegen, ist die Firmware von der Website des Anbieters herunterzuladen, zu entpacken (obgleich der Angreifer sich im selben Netzwerk mit dem angegriffenen Gerät befinden muss, um die URL zu erhalten, von der die Firmware heruntergeladen werden muss) und diesem Pfad zu folgen: \\ubifs\\home/.config. Und da ist es: in Klartext.

CONFIG_*******_ROOT_PASSWORD=“sVGhNBRNyE57″
CONFIG_*******_ROOT_PASSWORD=“GFg7n0MfELfL“

Noch beunruhigender ist, dass man – wenn man kein ausgesprochener Linux-Experte ist – als unerfahrener Nutzer keine Chance hat, das Passwort eigenständig zu ändern oder zu entfernen.

Warum das SSH-Passwort da war, ist uns zwar unerklärlich, aber wir haben einige Vermutungen. Der Root-Zugriff könnte für Entwickler und den Technischen Support von Nutzen sein, wenn ein Kunde ein unerwartetes technisches Problem hat, das nicht über das Telefon gelöst werden kann. In diesem Fall könnte sich ein Experte entfernt mit der Kamera verbinden, das SSH-Passwort benutzen und das Problem beheben. Offensichtlich ist das eine gängige Praxis bei neuen Modellen solcher Geräte, die Bugs enthalten, welche noch nicht in vorherigen Versionen entdeckt und beseitigt wurden. Wir haben uns die Firmware einiger anderer Kameras von alternativen Anbietern angeguckt und dort ebenfalls SSH-Passwörter gefunden. Das ist das ganze Geheimnis: Die Entwickler hinterlassen das SSH-Passwort in der Firmware, um sich die Möglichkeit offen zu lassen, dort unerwartete Fehler zu korrigieren. Und wenn eine stabilere Version der Firmware herausgebracht wird, vergessen sie einfach das Passwort zu entfernen oder zu verschlüsseln.

Unsere zweite Vermutung ist, dass sie einfach vergessen haben, dass es da ist. Wie wir bei unseren Untersuchungen herausgefunden haben, wird der Teil des Gerätes, in dem die SSH-Passwörter gefunden wurden, der Chipsatz nämlich, normalerweise von einem Drittanbieter geliefert. Und der Drittanbieter hinterlässt das SSH-Passwort standardmäßig in der Kamera, aus Gründen der Zweckmäßigkeit, damit sichergestellt ist, dass der Anbieter des Endprodukts (des Babyfons mit Kamera) die Möglichkeit hat, den Chipsatz anzupassen und ihn mit anderer Hard-oder Software zu verbinden. Der Anbieter tut das dann auch und vergisst daraufhin einfach, das Passwort zu entfernen. Es ist genau so einfach, wie es klingt.

Status: Problem beseitigt

Kommunikation mit dem Anbieter

Es war nicht schwierig, diese Sicherheitslücken aufzudecken und wir müssen zugeben, dass es auch kein Problem war, sie dem Anbieter zu melden und ihm dabei zu helfen, diese Probleme zu beseitigen. Die Kamera, die wir untersucht haben, wird unter der Marke Philips vertrieben, tatsächlich aber von Gibson Innovations produziert und betreut. Die Vertreter dieses Unternehmens haben extrem schnell auf unseren Bericht reagiert. Das hatte zur Folge, dass alle Probleme, über die wir berichteten mittlerweile gepatcht wurden, sowohl in der Kamera als auch in den Apps (Android und iOS).

In diesem Herbst veröffentlichte Rapid7 einen sehr interessanten Bericht über Sicherheitslücken in Baby-Kameras und ein Philips-Produkt (eine Version, die sich leicht von der Kamera unterscheidet, die wir untersucht haben) befand sich auch auf der Liste der angreifbaren Geräte, wobei einige der dort erwähnten Sicherheitslücken den bei unserer Studie entdeckten ähnelten. Doch nach der Zeit zu urteilen, die zwischen der Entdeckung und der Behebung der Sicherheitslücken verging, ist Gibson Innovations einer von nur wenigen IoT-Anbietern, die Sicherheitsprobleme in ihren Produkten ernst nehmen, und das nicht nur manchmal. Kompliment für dieses verantwortungsvolle Verhalten.

Nun aber zurück zu unserer Studie.

Es ist richtig, dass die von uns entdeckten Sicherheitslücken in der IP-Kamera nur dann ausgenutzt werden können, wenn der Angreifer sich im selben Netz befindet wie der Nutzer der Kamera oder die Kamera selbst. Andererseits ist das für einen Eindringling nicht zwangsläufig ein großes Hindernis, insbesondere, wenn der Nutzer ein anderes vernetztes Gerät in diesem Netzwerk unterhält.

Eine Smartphone-gesteuerte Kaffeemaschine

Was könnte möglicherweise falsch laufen?

Risiko: Offenlegung des Passworts für das Heim-WLAN

Die Kaffeemaschine, die wir willkürlich ausgewählt haben, kann auf entfernten Befehl zu genau der Uhrzeit, die Sie wünschen, eine Tasse Kaffee zubereiten. Sie müssen nur die Zeit einstellen, und wenn der Kaffee fertig ist, schickt die App Ihnen eine entsprechende Mitteilung, die sofort auf Ihrem Smartphone angezeigt wird. Sie haben auch die Möglichkeit, den Status der Kaffeemaschine über eine App zu überwachen. So kann man beispielsweise herausfinden, ob sie gerade Kaffee macht oder nicht, ob sie betriebsbereit ist oder ob Wasser in den Behälter nachgefüllt werden muss. Mit anderen Worten, ein feines Gerät, das aber leider einem Angreifer die Möglichkeit gibt, das Passwort für Ihr lokales WLAN abzufangen.

Überleben in einer IoT-fähigen Welt

Bevor Sie die Maschine in Gebrauch nehmen können, müssen Sie sie konfigurieren. Das funktioniert folgendermaßen: Wenn das Gerät an die Stromversorgung angeschlossen wird, erstellt es einen unverschlüsselten Hotspot und hört den UPNP-Traffic ab. Das Smartphone, auf dem die App für die Kommunikation mit der Kaffeemaschine läuft, verbindet sich mit diesem Hotspot und schickt eine UDP-Broadcast-Anfrage und fragt, ob es irgendwelche UPNP-Geräte in dem Netzwerk gibt. Da unsere Kaffeemaschine ein solches Gerät ist, antwortet es auf diese Anfrage. Danach wird eine kurze Kommunikation, die unter anderem die SSID und das Passwort für das Heim-WLAN enthält, vom Smartphone an das Gerät gesendet.

surviving_iot_de_4

Und dort haben wir das Problem entdeckt. Obwohl das Passwort in verschlüsselter Form gesendet wird, werden die Komponenten des Chiffrierungsschlüssels über einen offenen, nicht geschützten Kanal verschickt. Diese Komponenten sind die Ethernet-Adresse der Kaffeemaschine und einige andere individuelle Anmeldedaten. Unter Verwendung dieser Daten wird der Chiffrierungsschlüssel im Smartphone generiert. Das Passwort für das Heim-WLAN wird mit diesem Schlüssel mittels 128-Bit AES chiffriert und base64-codiert an die Kaffeemaschine geschickt. In der Kaffeemaschine wird der Schlüssel ebenfalls mit Hilfe dieser Komponenten generiert und das Passwort kann entschlüsselt werden. Dann verbindet sich die Kaffeemaschine mit dem Heim-WLAN und hört auf ein Hotspot zu sein, bis es resettet wird. Von diesem Augenblick an kann auf die Kaffeemaschine nur über das Heim-WLAN zugegriffen werden. Doch das ist egal, denn das Passwort wurde bereits kompromittiert.

Status: Die Sicherheitslücke ist noch immer vorhanden

Kommunikation mit dem Anbieter

Wir haben unsere Erkenntnisse dem Anbieter der Kaffeemaschine mitgeteilt und der Anbieter hat den Fehler eingeräumt und uns die folgende Erklärung zukommen lassen:

„Sowohl Nutzererlebnis als auch Sicherheit sind uns extrem wichtig, und wir sind fortwährend bemüht, das richtige Gleichgewicht zwischen beiden zu erhalten. Die tatsächlichen Risiken, die mit den von Ihnen erwähnten Sicherheitslücken während des Setups zusammenhängen, sind extrem gering. Um sich Zugriff zu verschaffen, muss sich ein Angreifer genau zum Zeitpunkt des Setups innerhalb der Reichweite des Heimnetzwerks befinden, ein Zeitfenster von nur wenigen Minuten. Mit anderen Worten: Ein Hacker muss gezielt den Nutzer eines intelligenten Kaffeeautomaten angreifen und exakt im Moment des Setups in der Nähe sein, was extrem unwahrscheinlich ist. Daher glauben wir nicht, dass die potentiellen Sicherheitslücken die eindeutig negativen Auswirkungen rechtfertigen, die die vorgeschlagenen Veränderungen auf die Nutzererfahrung haben würden. Aber es sind keine Pläne zur Änderung der Setup-Prozedur in Arbeit, wir bewerten unsere Technik ständig neu und würden nicht zögern, Veränderungen vorzunehmen, wenn die Risiken maßgeblicher werden. Sollte sich etwas in naher Zukunft ändern, so lassen wir es Sie wissen.“

Wir wollen dieser Erklärung nicht vollständig widersprechen und räumen ein, dass das Zeitfenster für Angriffe extrem kurz ist. Die Sicherheitslücke könnte auf verschiedene Arten gepatcht werden, doch den Schlussfolgerungen unserer eigenen Analyse zufolge würden alle diese Arten entweder Veränderungen an der Hardware (der Ethernet-Port an der Kaffeemaschine oder eine Tastatur für das Passwort sollten das Problem lösen) mit sich bringen oder die Bereitstellung eines einmaligen PIN-Codes für jede Kaffeemaschine, auch für die bereits verkauften, erforderlich machen, was aus logistischer Sicht nicht einfach ist. Solche Veränderungen würden das Nutzererlebnis erheblich beeinträchtigen und der Setup-Prozess würde weniger unkompliziert werden.

Die einzige Lösung des Problems auf Softwarebasis, die wir vorschlagen können, ist die Einführung asymmetrischer Verschlüsselung. In diesem Fall müsste der Kaffeeautomat den öffentlichen Chiffrierungsschlüssel an das Smartphone des Nutzers schicken und erst dann würde der Austausch sensitiver Informationen beginnen. Das würde allerdings noch immer jedem Nutzer in dem entsprechenden WLAN, auch einem Angreifer, die Möglichkeit geben, die Kontrolle über die Kaffeemaschine zu übernehmen. Der öffentliche Schlüssel wäre für jedermann verfügbar, und der erste Nutzer, der ihn erhält und die Verbindung mit dem Kaffeeautomaten aufbaut, kann diesen auch steuern. Doch dem legitimen Nutzer der Kaffeemaschine würde zumindest auffallen, dass irgendetwas nicht stimmt, denn infolge einer erfolgreichen Attacke wäre er nicht mehr in der Lage, mit dem Gerät zu kommunizieren. Bei der aktuell auf der Kaffeemaschine laufenden Software ist das nicht der Fall.

Bis zu einem gewissen Grad können wir die Argumentation des Anbieters also nachvollziehen: Die Risiken, die dieses Problem mit sich bringt, stehen nicht im Verhältnis zu der Komplexität der Maßnahmen, die zur Beseitigung des Fehlers ergriffen werden müssten. Außerdem kann man auch nicht behaupten, dass der Anbieter sich überhaupt keine Gedanken über die Sicherheit seiner Produkte macht: Wie schon oben erwähnt, wird das Passwort in geschützter Form übermittelt und man muss die Antenne auf eine bestimmte Weise ausrichten.

Die Sicherheitslücke ist allerdings noch vorhanden und für einen cleveren Verbrecher wäre es kein Problem, sie auszunutzen und sich so Ihr WLAN-Passwort anzueignen. Die Situation ist interessant: Wenn Sie ein Nutzer dieser Kaffeemaschine sind, so geben Sie jedes Mal, wenn Sie das Passwort für Ihr Heimnetzwerk ändern, um es sicherer zu machen, diese neue Passwort preis, denn jedes Mal, wenn Sie das Passwort ändern, müssen Sie den Kaffeeautomaten neu einstellen. Und Sie würden nie erfahren, ob jemand Ihr Passwort abgegriffen hat oder nicht. Manchen Leuten macht das sicherlich nichts aus, für andere ist es hingegen sehr wahrscheinlich ein Sicherheitsproblem.

Aus diesem Grund werden wir weder den Anbieter noch das Modell der Kaffeemaschine an dieser Stelle nennen, um keine ungewollte Aufmerksamkeit auf das angreifbare Produkt zu lenken. Doch wenn Sie eine Smartphone-gesteuerte Kaffeemaschine benutzen und sich Sorgen über dieses Problem machen, so zögern Sie nicht, den Anbieter zu kontaktieren und nachzufragen, ob unsere Erkenntnisse etwas mit Produkt zu tun haben, das sie besitzen oder zu erwerben planen.

Auf zum letzten Abschnitt unserer Reise in die unsichere Welt des Internets der Dinge.

Haussicherheitstechnik vs. Physik

Risiko: Umgehung der Sicherheitssensoren ohne Auslösen von Alarm

App-gesteuerte Haussicherheitstechnik ist heutzutage äußerst populär. Der Markt ist voll von verschiedenen Produkten, die unsere Häuser vor physischem Eindringen schützen sollen. Normalerweise haben solche Systeme einen Hub, einen Netzwerkknoten also, der mit dem Hausnetzwerk und dem Smartphone verbunden ist, sowie eine Reihe von akkubetriebenen Sensoren, die drahtlos mit dem Hub kommunizieren. Bei den Sensoren handelt es sich meist um Tür/Fenster-Kontaktsensoren, die den Besitzer des Hauses informieren, wenn ein von ihnen bewachtes Fenster oder eine Tür geöffnet wurde. Außerdem gehören Bewegungsmelder und Kameras zu einer solchen Ausrüstung.

Als wir das erste Mal ein intelligentes Haussicherheitssystem in die Finger bekamen, waren wir gespannt. Schon vorher gab es häufig Nachrichten von Forschern, die schwere Sicherheitslücken in solchen Produkten gefunden hatten, z.B. die Studie von HP oder eine andere großartige Untersuchung des ZigBee-Protokolls, das in solchen Produkten verwendet wird, die auf der diesjährigen Black Hat vorgestellt wurde. Wir rechneten damit, dass wir sehr schnell auf eine Vielzahl von Sicherheitsproblemen stoßen würden.

Überleben in einer IoT-fähigen Welt

Doch das war nicht der Fall. Je genauer wir uns das System anschauten, desto klarer wurde uns, dass es sich vom Standpunkt der Cybersicherheit um ein wirklich gut designtes Gerät handelt. Um das Gerät einzurichten, muss man den Hub direkt mit dem WLAN-Router verbinden, und damit die App mit dem Knoten kommuniziert, muss man einen Account auf der Website des Anbieters erstellen, die eigene Telefonnummer angeben und einen geheimen PIN-Code eingeben, der einem vorher per SMS gesendet wurde. Die gesamte Kommunikation zwischen der App und dem System läuft über den Cloud-Service des Anbieters und alles läuft über https.

Als wir untersuchten, wie der Hub neue Firmware-Versionen herunterlädt, bemerkten wir, dass die Firmware nicht signiert ist. Das ist ein kleines Problem, da es so potentiell möglich ist, jede Firmware auf das Gerät zu laden. Aber um das tun zu können, muss man gleichzeitig das Passwort und die Anmeldedaten für den Nutzer-Account kennen. Und wenn es im selben Netzwerk wie im Sicherheitssystem möglich ist, Befehle an den Hub zu senden, und zu wissen, welche Art von Befehlen gesendet werden können, dann muss man die Hub-Firmware nachkonstruieren, und das hat mit Sicherheitsforschung nicht mehr viel zu tun, sondern das ist schon aggressives Hacken. Und wir sind keine aggressiven Hacker.

Wenn man nicht vorhat, das Gerät um jeden Preis zu hacken, so ist das Heimsicherheitssystem, das wir untersucht haben, in Bezug auf die Software sicher.

Doch dann nahmen wir die Sensoren unter die Lupe.

Kontaktsensoren mit ihren eigenen Waffen schlagen

Die Kontaktsensoren, die in diesem Paket enthalten sind, bestehen aus drei Hauptteilen: dem Magneten (der Teil, den man an der Tür befestigt oder am beweglichen Teil eines Fensters), dem Funksender und dem Magnetfeldsensor. Das Ganze funktioniert folgendermaßen: Den Magneten umgibt ein Magnetfeld und der Magnetfeldsensor erkennt dieses Feld. Wenn die Tür oder das Fenster geöffnet wird, erkennt der Sensor das Magnetfeld nicht mehr und sendet eine Mitteilung an den Hub, die besagt, dass die Tür/das Fenster geöffnet ist. Doch wenn das Magnetfeld vorhanden ist, sendet er keinen Alarm. Alles, was man also braucht, um den Sensor auszutricksen, ist ein Magnet, der leistungsstark genug ist, um das Magnetfeld zu ersetzen. In unserem Lab haben wir einen Magneten in der Nähe des Sensors platziert und dann das Fenster geöffnet, sind hineingestiegen, haben das Fenster geschlossen und den Magneten entfernt. Kein Alarm, keine Überraschungen.

Man könnte jetzt einwenden, dass das nur mit Fenstern funktioniert, bei denen man das Glück hatte, problemlos die exakte Stelle auszumachen, an der der Sensor platziert ist. Aber Magnetfelder sind heimtückisch und können durch Wände gehen, und die einfachste App zum Aufspüren von Magnetfeldern kann einen Sensor genau lokalisieren, selbst wenn man keinen visuellen Kontakt hat. Daher sind Türen (wenn sie nicht aus Metall sind) diesbezüglich auch betroffen. Eins zu null für die Physik!

Bewegungsmelder

Ermutigt durch unseren leichten Sieg über den Kontaktsensor gingen wir über zu dem Bewegungsmelder und bauten ihn auseinander, um festzustellen, dass es sich um einen recht einfachen Infrarot-Sensor handelt, der die Bewegung warmer Objekte registriert. Das bedeutet, dass der Sensor nicht reagiert, wenn ein Objekt nicht warm ist. Wie wir im Rahmen unseres Experiments herausfanden, muss man sich lediglich einen Mantel, eine Brille, einen Hut und/oder eine Maske überziehen, um für den Sensor unsichtbar zu werden. Zwei zu null für die Physik!

Schutzstrategien

Die schlechte Nachricht ist, dass Geräte, die auf Magnetfeldsensoren und minderwertigen Infrarot-Bewegungsmeldern basieren, nicht nur in dem Heimsicherheitssystem verwendet werden, das wir untersucht haben. Es sind vielmehr Standardsensoren, die in vielen ähnlichen Produkten zu finden sind. Man muss sich nur in den entsprechenden Online-Shops umsehen, um sich davon zu überzeugen. Und es gibt noch mehr schlechte Nachrichten: Es ist nicht möglich, dieses Problem mit einem Firmware-Update zu lösen. Das Problem liegt in der Technologie selbst.

Die gute Nachricht ist, dass man sich auch vor den Einbrechern schützen kann, die Physik in der Schule nicht geschwänzt haben. Hier die grundlegenden Regeln, die man beachten sollte:

  1. Verlassen Sie sich beim Schutz Ihres Hauses nicht allein auf Kontaktsensoren, wenn Sie ein System wie oben beschrieben verwenden. Die Anbieter von intelligenten Alarmanlagen bieten normalerweise zusätzliche Geräte an, wie z.B. Bewegungskameras und Kameras mit Audio-Erkennungsfunktion, die nicht durch einen Magneten ausgetrickst werden können. Daher wäre es klug, die Kontaktsensoren durch einige intelligente Kameras zu ergänzen, selbst wenn das mehr kosten sollte. Verwendet man ausschließlich Kontaktsensoren, so haben Sie kein Haussicherheitssystem, sondern eine Hightech-Alarmanlage in Spielzeugqualität.
  2. Wenn Sie Infrarot-Bewegungsmelder verwenden, so versuchen Sie sie vor einem Heizkörper in Räumen zu platzieren, die ein Einbrecher durchqueren muss, sollte er es geschafft haben, in Ihr Haus einzudringen. In diesem Fall wird der Eindringling, egal was er trägt, den Heizkörper überschatten, der Sensor wird die Veränderung bemerken und sie an das Smartphone weitergeben.

Fazit

Die Ergebnisse unserer kleinen Studie zeigen, dass die Anbieter ihr Bestes tun, um die Cybersicherheit der Geräte, die sie produzieren, nicht aus den Augen zu verlieren, und das ist gut. Trotzdem hat jedes vernetzte, App-gesteuerte Gerät, das normalerweise als IoT-Gerät bezeichnet wird, ziemlich sicher mindestens ein Sicherheitsproblem. Allerdings ist die Wahrscheinlichkeit, dass es sich dabei um kritische Probleme handelt, nicht besonders hoch.

Zugleich ist die geringe Schwere solcher Sicherheitsprobleme keine Garantie dafür, dass sie nicht in Attacken ausgenutzt werden. Am Anfang dieses Artikels haben wir versprochen zu beschreiben, wie die sichere und lustige „Rickrolling“-Sicherheitslücke in einer gefährlichen Attacke ausgenutzt werden kann. Hier ist sie.

Stellen Sie sich einmal vor, dass ein Fernseher mit einem angeschlossenen Chromecast-Gerät, die beide einem unerfahrenen Nutzer gehören, eines Tages beginnt, Fehlermeldungen anzuzeigen, in denen es heißt, dass der Nutzer, um das Problem zu beseitigen, seinen WLAN-Router auf Werkseinstellungen zurücksetzen muss. Das bedeutet, der Nutzer muss alle seine Geräte neu verbinden, die Wi-Fi-fähige Kaffeemaschine eingeschlossen. Der Nutzer setzt den Router zurück und verbindet alle seine Geräte erneut. Danach funktioniert der Chromecast wieder ganz normal, wie auch alle anderen Geräte im Netzwerk. Der Nutzer hat allerdings nicht bemerkt, dass sich jemand Neues mit dem Router verbunden hat und dann auf die Babykamera übergesprungen ist oder auf andere verbundene Geräte, die zwar keine kritische Sicherheitslücke haben, dafür aber mehrere nicht kritische.

Überleben in einer IoT-fähigen Welt

Aus ökonomischer Sicht ist es noch immer nicht klar, warum Cyberkriminelle vernetzte Heimgeräte angreifen sollten. Doch da der IoT-Markt durchstartet und die entsprechenden Technologien popularisiert und standardisiert werden, ist es nur eine Frage der Zeit, bis Black Hats einen Weg finden, Angriffe auf das Internet der Dinge irgendwie in bare Münze umzuwandeln. Ransomware, d.h. also im Endeffekt Erpressung, ist hier ganz bestimmt ein möglicher Ansatz, aber sicherlich nicht der einzige.

Zudem sind Cyberkriminelle nicht die Einzigen, die ein Interesse an IoT haben könnten. Im vergangenen Sommer hat das russische Innenministerium beispielsweise eine Studie in Auftrag gegeben, die mögliche Wege aufzeigen sollte, forensische Daten von Geräten zu sammeln, die auf intelligenten Technologien basieren. Und das kanadische Militär hat kürzlich eine Ausschreibungsbekanntmachung für einen Auftragnehmer veröffentlicht, der „Schwachstellen und Sicherheitsmaßnahmen“ für Autos finden und „Exploits entwickeln und vorführen“ kann.

Das bedeutet nicht, dass man es vermeiden sollte, das Internet der Dinge zu nutzen. Doch man sollte dabei eine weise Wahl treffen: Überlegen Sie genau, welches IoT-Gerät oder-System Sie möchten, wofür Sie es benutzen wollen und wo.

Hier einige Vorschläge von Kaspersky Lab:

  1. Suchen Sie im Internet nach Informationen über irgendwelche Sicherheitslücken, bevor Sie ein IoT-Gerät kaufen. Das Internet der Dinge ist derzeit ein brandaktuelles Thema und viele Forscher leisten tolle Arbeit und spüren Sicherheitsprobleme in Produkten dieser Art auf, von Babyfons bis hin zu App-gesteuerten Gewehren. Es könnte sein, dass das Gerät, das Sie erwerben möchten, bereits von Sicherheitsforschern untersucht wurde und Sie herausfinden können, ob die darin gefundenen Probleme schon beseitigt wurden.
  2. Es ist nicht immer eine gute Idee, die neusten Produkte auf dem Markt zu kaufen. Neben den Standard-Bugs, die man in neuen Produkten mitgeliefert bekommt, könnten gerade erst veröffentlichte Geräte auch Sicherheitsprobleme enthalten, die noch nicht von Sicherheitsforschern entdeckt wurden. Die beste Wahl ist es also, Produkte zu kaufen, die schon einige Software-Updates hinter sich haben.
  3. Wenn Sie sich überlegen, welchen Teil Ihres Lebens sie ein bisschen smarter machen wollen, dann sollten Sie dabei auch die Sicherheitsrisiken berücksichtigen. Wenn Sie zu Hause viele Dinge von materiellem Wert aufbewahren, so sollten Sie sich vielleicht für eine professionelle Alarmanlage entscheiden, die Ihr bestehendes App-gesteuertes Haussicherheitssystem ersetzt oder ergänzt; oder Sie sollten das bestehende System so konfigurieren, dass alle bestehenden Sicherheitslücken keinen Einfluss auf dessen Betrieb haben. Wenn Sie jedoch ein Gerät brauchen, das Informationen über Ihr Privatleben und das Ihrer Familienmitglieder sammelt, wie z.B. ein Babyfon, dann wäre es klug, das simpelste ferngesteuerte Gerät zu wählen, das nur Audio-Signale senden kann, ohne Internet-Verbindung. Wenn das keine Option für Sie ist, dann folgen Sie unserem ersten Rat – wählen Sie weise!

Für die Anbieter von IoT-Geräten haben wir nur eine, dafür aber sehr wichtige Anregung, und zwar sollten sie bei der Entwicklung neuer und der Verbesserung alter Produkte mit der Sicherheitscommunity zusammenarbeiten. Es gibt Initiativen wie Builditsecure.ly oder OWASP Internet of Things project, die tatsächlich dabei helfen können, großartige vernetzte Geräte ohne ernsthafte Sicherheitsprobleme zu entwickeln. Auch wir bei Kaspersky Lab werden unsere Forschungsarbeit fortsetzen, um mehr Informationen über vernetzte Geräte zu sammeln und herauszufinden, wie wir die Menschen vor den Bedrohungen schützen können, die diese Geräte mit sich bringen.

Ähnliche Beiträge

Es gibt 2 Kommentare
  1. Dorothea Menges

    What’s new?
    Selbstverständlich ist das alles möglich.
    Nur:
    Sensoren sind passive Gesellen, die irgendwelche Ereignisse melden, damit im Motoren irgendwelche Aktionen in Gang gesetzt werden.
    Während Sensoren für irgendeine Form von Alarm sorge bzw. machen die angesprochenen motorischen Rezeptoren – in der Regel- anschließend exakt nur das, wofür sie programmiert worden sind. Die Kaffeemaschine kocht Kaffee,
    Die Spülmaschine meldet, „bin fertig und schaltet ab“. Die Kühltruhe taut ab oder fährt die Temperatur runter. Die Heizung fährt die Temperatur hoch. Da sind ganz banale, nur in einem erweiterten Rahmen verschaltete Regelkreise.
    Auf eine reibungslose, perfekt getaktete sensomotorische Kommunikation programmiert.
    Nochmals, what’s new?

    Sorry, aber was sind das für Deppen, die sich die Mühe machen, derartigen totalitären Nonsense zu entwickeln.
    Neben Bastlern und CCHackern, die Spass an derartigen Spielereien haben und im Zweifel anderen nur Streiche spielen wollen, erscheinen die Verbrecher wie auch die Sicherheitsfanatiker der Militärs zwar schlau, aber letzten Endes dennoch reichlich naiv. Wer hat schon dauerhaft Lust, sich im Endeffekt die Filme von anderer Leute Alltagsverrichtungen anzuschauen und diese zu überwachen. Wer hat schon was davon, anderer Leute Ideen zu kopieren, Bankkonten zu plündern -und das vielleicht noch im Bitcoin -Schneeballsystem. Auch mathematisch konsequent zu Ende gedacht, sieht das dann so aus:
    Wenn die letzte Pizzabäckerei und Espressomaschine gehackt ist, und auch die Tiefkühltruhe leer ist bzw. nicht mehr funktioniert, müssen die dämlichen Herrschaften sich ihre Pizza eben selber backen.
    Viel Spaß dabei, wenn sie das Backen nicht gelernt haben und dann zu allem Unglück auch noch sämtliche Zutaten fehlen.
    Dann dürfen sie ihre Tablets und Smartphones verkonsumieren.

    Nochmals: Sensomotorisch Regelkreise sind und bleiben sensomotorische Regelkreise, in denen Sensoren und Rezeptoren miteinander kommunizieren. Aber dazwischen liegen Universen an Möglichkeiten, was sie untereinander in Rüückkopplung kommunizieren.
    Es liegt in der Natur der Sache, dass man diese Kommunikation auch gewaltig stören kann.
    Es liegt auch in der Natur der Sache, dass man in diese Kommunikation auch Umleitungen mit Täuschungsmanövern einschleußen kann.
    Nochmals:
    What’s new? Bei diesem Räuber und Gendarmen – Spiel oder wie immer man es nennen mag?

    Selbstverständlich könnte man die ganze Welt jetzt auf den MMPORGs-Modus umstellen und Gesellschaftsspiele weltweit inszenieren. Nur, wenn alle besiegt sind, bleibt am Ende dann doch nur ein leeres Schachbrett übrig.
    Macht das Sinn?
    Verzockt Euch in Beliebigkeit, wie es Euch gefällt?
    Wenn alle Schlachten geschlagen sind, sämtliche Spielfelder mitsamt allen Figuren zerstört sind und nur noch ein Sieger übrig bleibt, was dann

    Summa summarum: „Dieses Spiel geht nur zu zweit“
    Vielleicht kapieren angesichts dieser Experimente jetzt auch die allerletzten Hinterwäldler, dass Fernsteuerung alleine nicht der Weisheit letzter Schluss sein kann. Software steuert Hardware. Richtig.
    Aber wenn die Software sich nicht mehr einig werden kann und sich in der Binärcodierung in Endlosschleifen aufhängt, was dann? Im Zweifel entscheidet die Hardware und stürzt ab.

    Auch beim Sekunden-Herztod entscheidet im Zweifel die Mechanik.
    Da kann der schlauste Theoretiker umfallen mit seinen nobelpreisgekürten Ideen.
    Wenn er Glück hat, steht zufällig irgendjemand daneben und versucht ihn zu reanimieren.
    Aber ob die Reanimation auch klappt oder ob Nulllinie das definitive Ergebnis bleibt.
    Das steht auf einem ganz anderen Blatt.

    Die Gesetze der (Bio)-Physik hat auf diesem Planeten noch kein Mensch jemals außer Kraft gesetzt.
    Vita brevis, ars longa.
    „In der Tat beginnt die gesamte Disziplin der Kunst dort, wo der denkende Theoretiker aufhört“ (George Spencer Brown)

  2. Gerald Schulze-Karau

    Es gibt viel zu wenig Aufmerksamkeit (Interesse) für diese Themen. Heute ist mit der technischen Ausstattung praktisch jedwede Überwachung des Nutzers möglich. Wie sich aufgeklärte, soll heißen der Bildung näherstehende Menschen heutzutage gedanken (Sorgen) machen um eine notwendige „Entschleunigung“ der Tagesabläufe ihres Lebens, was hineinreicht bis in die Familie (Kinder und die Gefahren aus dem so genannten social media bzw. social network!), so sollten auch Risiken aus der Über-Technisierung (Digitalisierung des Lebens, der Privatsphäre) zumindest kritisch registriert und bedacht werden. Welchen Grad der UNfreiheit, soll heißen persönlichen Fremd-Überwachung und Fremdsteuerung sich ein/e jede/r dann zumutet, ist reine Privatsache. Man muß schließlich auch Sado-Maso akzeptieren…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.