Es ist eine oft ausgesprochene Plattitüde, dass die Sicherheitsbranche bei ihrer Mission, Computer, Netzwerke und die fast unendlichen Daten des Internet zu schützen, versagt.
Es ist unbestreitbar, dass der zuverlässige Schutz traditioneller Computer und allgemein aller Geräte eine riesige Herausforderung darstellt. Den Großteil der letzten zehn Jahre über brachten mobile Geräte der Branche laufend neue Herausforderungen. Man muss sich nicht weit aus dem Fenster lehnen, um zu sagen, dass der Kampf um den Schutz traditioneller und mobiler Computer stark zu Gunsten der Angreifer kippt – sei es ethischer oder krimineller Angreifer.
Der Gang durch die Ausstellung der RSA Conference in San Fransiscos Moscone Center präsentiert eine absurde und ironische Realität. Millionen von Dollar werden in die Stände investiert, deren Zweck es ist, den Horden von Sicherheitsspezialisten eine riesige Vielfalt von Sicherheitsprodukten und -diensten anzupreisen. In der Zwischenzeit zeigen – unabhängig von den riesigen Investments, die in die Entwicklung dieser Produkte gehen – Menschen wie Billy Rios, der für seine Flughafen-Hacking-Präsentation des letzten Jahres berühmt ist, und der Kaspersky-Experte David Jacoby Hacking-Demos, in denen sie Heimautomatisierungen, Netzwerke und Haushaltsgeräte komplett übernehmen.
Internet der (miesen) Dinge: Unsicherheiten live auf der #RSAC
Tweet
Fairerweise muss man sagen, dass das Geschäft hier auf der RSA Conference ein Business-to-Business-Geschäft ist. Es geht hier nicht um Endanwendersicherheit. Dennoch zeigen aktuelle Schlagzeilen und die unbarmherzige Flut globaler Sicherheitskonferenzen, dass Computer unsicher sind, egal ob sie zu Hause oder im Büro stehen. Dennoch arbeitet die Technologiebranche aggressiv an der Vernetzung von immer mehr und immer ungewöhnlicheren Dingen mit dem Internet – und das mit exponentieller Geschwindigkeit. Dieses so genannte „Internet der Dinge“ ist aber ebenfalls nicht sicher.
Deshalb wundert es nicht, dass Billy Rios, Gründer der Sichehreitsfirma Laconicly eine zwei Jahre alte Sicherheitslücke in einem Vera-Smart-Home-Automation-Gerät ausnutzen konnte, die ihm vollen Zugriff auf das Netzerk und alle damit verbundenen Computer gab.
So @XSSniper is going to demo a home automation hack at @RSAConference, using Pac-Man to illustrate it: http://t.co/LJW27SsAWJ
— Kelly Jackson Higgins (@kjhiggins) April 16, 2015
Rios missbrauchte eine Cross-Site-Request-Sicherheitslücke in dem Automationssystem und zwang es, ein modifiziertes Firmware-Update anzunehmen. Genauer gesagt, nutzte Rios eine Phishing-Masche mit der er sein (hypothetisches) Opfer dazu brachte, eine schädliche Webseite mit schädlicher Werbung aufzurufen.
Der Firmware-Update-Mechanismus des Vera-Geräts wurde dann abgeschaltet und Rios eigene Firmware wurde eingespielt, die eine spielbare Kopie von Pac-Man war. Seine „Schadprogramm“-Firmware war also ein Spaß, doch kann man über die Sicherheitslücke hochladen, was man will – und das auf ein Gerät, das Hunderte anderer Geräte im Internet der Dinge kontrollieren kann, etwa smarte Türschlösser, Thermostate, Lichter, Alarmsysteme und Garagentüren.
Kelly Jackson Higgins von Dark Reading berichtet, dass Vera den Fehler mit einem noch zu veröffentlichenden Firmware-Update beseitigen will.
Nice wrap up of #IoT-related talks at #TheSAS2015: "Internet of Crappy Things: https://t.co/ORygHSJs9W
— Eugene Kaspersky (@e_kaspersky) February 20, 2015
Einen Tag später brachte David Jacoby, Senior Security Researcher bei Kaspersky Lab, eine Mischung aus schädlichem Code, Exploits und Phishing-Methoden zur Anwendung, um ein Netzwerkspeichergerät in seinem Haus in Schweden zu kompromittieren. Diese Präsentation ist Teil eines größeren Hacking-Projekts, über das auch wir schon berichtet haben.
Researcher @JacobyDavid on home hacking at #RSAC: pic.twitter.com/InHS8GcBhj
— Securelist (@Securelist) April 22, 2015
Jacoby formulierte es wohl am besten, als er sagte, dass sich die meisten Hersteller solcher Produkte einfach nicht darum kümmern, wenn ihnen solche Sicherheitslücken gemeldet werden. Netzwerkaufteilung ist laut Jacoby die wahrscheinlich beste Lösung für das Problem. Doch leider ist das für durchschnittliche Anwender recht kompliziert.
Etwa 20 Minuten nach Jacobys Vorführung, zeigte Yier Jin, ein Hardware-Hacker und Assistant Professor an der University of Central Florida, eine Backdoor für die sehr beliebten Thermostatgeräte von Nest.
A few demos generated by a customized toolchain on the Nest Thermostat is released. https://t.co/KCg3Wdy8gV
— Yier Jin (@jinyier) August 12, 2014
Die Backdoor erlaubte ihm, schädliche Firmware auf den Geräten zu installieren. Zudem fand er eine Möglichkeit, die Datenmassen abzuhören, die Nest-Geräte an die Cloud-Server der Firma senden. Wie Jin erklärte, sind das oft vertrauliche Daten. Wenn sie richtig abgehört werden, kann ein Angreifer recht genau herausfinden, wann ein Nest-Anwender zu Hause ist und wann nicht. Die Anwender können diese Datensammlung aber nicht ablehnen. Und als ob das noch nicht reichen würde, kann der Root-Access, den Jin mit seiner Backdoor erlangt hatte, ihm auch erlauben, auf andere Geräte im gleichen Netzwerk zuzugreifen, das Nest-Gerät kaputt zu machen, Netzwerk-Login-Daten im Klartext zu sehen und noch viel mehr.
Trotz der Milliarden, die in die Sicherheit gesteckt werden, bleiben traditionelle Computer, ganz zu schweigen vom so genannten Internet der (miesen) Dinge,weiterhin hoffnungslos angreifbar.