zurück zur Übersicht

IOT – Das Internet der [bösen?] Dinge

iot_01_landscapeVom Smart Home bis zum selbstfahrenden Auto – Das Internet der Dinge breitet sich aus

Das Internet der Dinge ist eine Generation neuer Geräte mit Netzzugang. Der Fernseher streamt YouTube, Rollläden und Heizungen lassen sich über Smartphones steuern, Küchenmaschinen laden Rezepte aus dem Internet herunter, und natürlich kann man den Ladezustand des Hybridautos mit einem Mausclick vom heimischen PC aus überprüfen. Zum Internet of Things (IoT) gehören potenziell Fahrzeuge, Gebäude (Kontrollsysteme), Kühlschränke, Kameras, Thermostate und eigentlich jegliche Dinge, die über einen eingebetteten Prozessor und Netzwerkfunktionalität verfügen, die sie aus der Ferne steuerbar machen. Ein wichtiger Punkt, den man sich klarmachen sollte: all diese Geräte sind eigentlich vollwertige Computer. Sie alle haben entsprechend die Möglichkeit, Daten zu sammeln und auszutauschen, und können auch Programme ausführen. Dabei wird bereits bestehende Infrastruktur genutzt (Heim- oder Firmennetzwerk, Internet). Jegliche Komponente die unter das Schlagwort „Smart Home“ [1] und/oder „Smart-Grid“ fällt [2] gehört dieser Kategorie an.

Die Verbreitung Internetfähiger Geräte (z.B. „Smarte“ Klimatechnik, „Smarte“ Kühlschränke, „Smart“ TVs) nimmt immer weiter zu.

Internet der Dinge auf dem Vormarsch[3]

 

Dabei bleibt das Thema Sicherheit bei den Herstellern und Verkäufern meist auf der Strecke. Besondere Schwachstelle: Patching. Es fehlt vielen Herstellern schlicht die Infrastruktur, um den Endkunden entweder:

  • zeitnah Sicherheitsupdates zur Verfügung zu stellen
  • Geräte überhaupt zu patchen

Aber auch die Endkunden selbst scheuen vor komplizierten Konfigurationen und Patching-Routinen im Bereich IoT oft zurück, um die Benutzbarkeit der Geräte nicht zu beinträchtigen. Viele wissen ohnehin nicht, dass Ihre Geräte, oft schon bei der Auslieferung, überhaupt nicht mehr auf dem neuesten Stand sind und dadurch über gravierende Schwachstellen verfügen könnten.

Beispiel Webcam: Wer schaut alles mit?

Eine schnelle Suche über „Shodan“ ( https://www.shodan.io/ ) offenbart bereits einfache unsichere Zugriffe auf Web-Kameras.

Diese Kameras sind so konfiguriert, dass sie RTSP (Real-time Streaming Protokoll) auf Port 554 nutzen um ihren Video-Stream zu teilen, aber es existiert keine Form der Authentifizierung, um auf den Stream zuzugreifen ( port:554 has_screenshot:true ).

Überwachung aus dem Internet der Dinge: Wer hat alles Zugriff auf die Webcam?

Web-Kameras sind allgemein beliebte Angriffsziele. So ist in der Vergangenheit auch der chinesische Hersteller „Foscam“ aufgefallen. Eines seiner Produkte (FI9286P, Sicherheitskamera) kommunizierte unerlaubt zu unbekannten Servern über das P2P-Feature (peer-to-peer); selbst eine Deaktivierung der P2P-Funktion an der Kamera bringt keine Lösung. Die P2P-Funktion öffnet die Kamera selbst nicht nur für Attacken, sondern ermöglicht potentiell auch ein Eindringen in das angebundene Netzwerk. [4]

Praktisch jedes Netzwerkfähige Gerät im Internet der Dinge ist in ähnlicher Weise betroffen. Selbst ein (internetfähiges) Thermostat besitzt Schwachstellen. So existierten bei dem Gerät „Trane ComfortLink II“ bis vor kurzem drei Schwachstellen. Ungepatcht existieren diese auch weiterhin. Das Gerät kann nicht nur die Temperatur anzeigen/regulieren, sondern auch z.B. die private Bildersammlung (aus dem Netzwerk) auf seinem LCD-Schirm anzeigen. Einem Angreifer war es dank einer fest eingebauten Kombination aus Nutzername und Passwort möglich, sich von außerhalb des Netzwerks direkt per SSH an dem Thermostat anzumelden. Bei den anderen zwei Schwachstellen war es Angreifern möglich, Schadsoftware auszuführen und so Zugang zu dem Netzwerk zu erhalten (Buffer Overflow/Remote Code Execution)[5] [6]

Und dies sind nur einige wenige Beispiele für die Schwachstellen im “Internet der Dinge”.

Geheimdienste wollen Internet der Dinge zur Überwachung nutzen

However, James Clapper, the US director of national intelligence, was more direct in testimony submitted to the Senate on Tuesday as part of an assessment of threats facing the United States.

In the future, intelligence services might use the [internet of things] for identification, surveillance, monitoring, location tracking, and targeting for recruitment, or to gain access to networks or user credentials,Clapper said.

[7]

Diese Idee ist lediglich die Konsequenz der unadressierten Sicherheitslücken, die viele Geräte im Internet der Dinge auf absehbare Zeit haben werden. In vielen Haushalten stehen so die Türen für Ausspähversuche weit offen. Die Gefahr geht aber noch viel weiter: Auch der Missbrauch von IoT-Geräten, etwa als BotNetz oder für DDOS-Attacken ist möglich. Doch was tun, damit der vernetzte Kühlschrank nicht zum heimlichen Spion oder Datenterroristen wird? Oder gar die Überwachungskameras der Firma?

Gegenmaßnahmen: Spionageabwehr für den Hausgebrauch

Es ist entscheidend, verdächtige Geräte möglichst schnell zu identifizieren und deren Netzzugang gegebenenfalls einzuschränken oder ganz zu unterbinden. Folgende Mechanismen und Tools können Sie dabei unterstützen ihr (Heim-)Netzwerk unter Kontrolle zu bringen (nutzen Sie dies nur für Netzwerke und/oder Geräte, die sie selbst besitzen oder betreuen, niemals für Fremdnetze!) [8]

  1. Inventarisierung:
    • Machen Sie sich eine Liste all ihrer Geräte (wie z.B. Smart-TVs, Tablets, Telefone etc.), die mit ihrem Netzwerk verbunden sind. So können sie später einfach überprüfen, ob die Realität mit ihren Erwartungen übereinstimmt.
  2. Netzwerk Scan:
    • Einloggen in Router und Überprüfung der verbundenen Geräte. Das sollte Ihnen schon einmal eine Liste von IPs, MAC Adressen und Gerätenamen liefern (aber Achtung: 100% Abdeckung ist hier nicht garantiert!)
    • Nmap-Scan über die IP-Adressbereiche des (Heim-)Netzwerks.
      • Vergleich des Nmap-Resultats mit der Liste aus dem Router.
      • Analyse der Nmap-Resultate
      • Auffälligkeiten (benutzte Protokolle, Ports der einzelnen Geräte)
  3. Netzwerk-Traffic Analyse:
    • Falls sich die Listen aus dem Scan decken und keine Anomalien zu sehen sind, hat man gute Chancen, dass alles in Ordnung ist; ansonsten
      • Wireshark: Mitschneiden des Netzwerk-Traffics im „promiscuous“ Mode
      • Analyse der Pakete der verdächtigen Geräte
  4. Logging:
    • Netzwerk Scan und Traffic Analyse sind aktive Tätigkeiten und können unter Umständen verdächtiges Verhalten nicht entdecken (z.B. nächtliche Aktivität, außerhalb der Bürozeiten)
      • 3rd-Party –Monitoring-Lösungen
      • Gerätelogging aktivieren und optionales zentralisiertes Einsammeln der Daten / Analyse der Logdaten
      • Unter Umständen langes Mitschneiden des Netzwerk-Traffics durch Wireshark / Analyse
  5. Sichern des Netzwerks:
    • Isolieren und analysieren sie zunächst neue Geräte in ihrem Netzwerk
    • Default Passwörter ändern!
    • Regelmäßige Patches und Firmware Updates durchführen

All diese Vorschläge lassen sich nicht nur auf ein kleines Heimnetzwerk, sondern auch auf größere Netzwerke (wie z.B. ein Firmennetzwerk) übertragen, beziehungsweise direkt anwenden. So lässt sich das Internet der Dinge relativ sicher nutzen. Auch in diesem Fall gilt natürlich: ein absoluter Schutz ist illusorisch. Doch die meisten Angreifer nutzen einfach verfügbare, bekannte Schwachstellen. Diese zu schließen minimiert das Risiko bereits beträchtlich.

IT-CUBE SYSTEMS kann Sie beim Scannen und Analysieren Ihrer Infrastruktur (z.B. Vulnerability Scanning) unterstützen. Um einen Schritt weiter zu gehen können Sie mit uns ein zentrales Logmanagement und/oder SIEM (Security Information and Event Management) System einbauen, um kritische Vorgänge in Ihrem Netzwerk sichtbar zu machen und zeitnah auf verdächtiges Verhalten reagieren zu können. Kontaktieren Sie uns und informieren Sie sich unverbindlich über unsere Angebote. Eine wirtschaftliche Alternative für Firmen kann auch sein, die Überwachung des Netzwerks an Sicherheitsexperten als Managed Security Service auszulagern.


 

Quellen:

[1] https://de.wikipedia.org/wiki/Smart_Home

[2] https://de.wikipedia.org/wiki/Intelligentes_Stromnetz

[3] http://dx.doi.org/10.1787/888933225312 , OECD Digital Economy Outlook 2015 – © OECD 2015 Chapter 6. Emerging issues: the internet of things, Figure 6.6 Devices online per 100 inhabitants, top OECD countries

[4] https://krebsonsecurity.com/2016/02/this-is-why-people-fear-the-internet-of-things/

[5] http://krebsonsecurity.com/2016/02/iot-reality-smart-devices-dumb-defaults/

[6] http://blog.talosintel.com/2016/02/trane-iot.html

[7] http://www.theguardian.com/technology/2016/feb/09/internet-of-things-smart-home-devices-government-surveillance-james-clapper

[8] http://lifehacker.com/how-to-tap-your-network-and-see-everything-that-happens-1649292940

 

 

 

 

Schreibe einen Kommentar