Dipl.-Inform. Carsten Eilers

.... von Forschern...

In SOHO-Router werden immer mal wieder Schachstellen gefunden, aktuell betrifft es 22 Geräte mit mehr als 60 Schwachstellen. Das wäre ja weiter kein Problem, so lange sich niemand für diese Geräte interessiert und sie angreift. Leider ist das schon seit einiger Zeit nicht mehr der Fall, die SOHO-Router geraten zunehmend ins Visier der Cyberkriminellen.

... und Cyberkriminellen

Aktuell werden die Router irgendwo in der Lieferkette manipuliert (von Cyberkriminellen, von der NSA war diesmal nicht die Rede) und von präparierten Webseiten sowie einem sich über Brute-Force-Angriffe auf die Authentifizierung verbreitenden Wurm angegriffen. Meist werden die DNS-Einträge manipuliert, so dass die Cyberkriminellen ihre Opfer zu beliebigen Servern umleiten können. Mitunter werden die Router auch als Plattform für weitere Angriffe, zum Beispiel auf Social Networks, genutzt.

Schutz ist nötig - und möglich!

Wie können Sie sich vor den Angriffen schützen? Eigentlich ist das ganz einfach:

1. Ersetzen Sie gleich bei der Einrichtung oder spätestens jetzt sämtliche Default-Passwörter durch sichere individuelle Passwörter (meist gibt es ja nur eins, für die Administration).
2. Schalten Sie die Fernwartung / Administration aus dem Internet aus, wenn Sie sie nicht zwingend benötigen.
3. Halten Sie die Firmware auf den aktuellen Stand. Ich weiß, dass das nicht ganz einfach ist, aber wenn Sie sich die Mühe nicht machen, machen Sie es den Cyberkriminellen extrem einfach, Ihren Router zu übernehmen. Die haben übrigens Ihnen gegenüber einen großen Vorteil wenn es darum geht, die Verwundbarkeit der Firmware zu prüfen: Sie probieren einfache ihre Exploits aus, und im Erfolgsfall sind sie "drin". Sie dagegen müssen regelmäßig auf der Website der Hersteller nachsehen, ob es eine neue Firmware gibt.

Immerhin gibt es auch immer mal wieder Metasploit-Module zum Testen potentiell gefährdeter Geräte, so dass Sie zumindest die Chance haben, ein installiertes Firmware-Update auf seine Wirksamkeit zu testen.

Beim IoT sieht es auch nicht besser aus...

Aktuell gibt es etliche Schwachstellen in Speicherlösungen: In NAS und Netzwerk-Videorekordern von D-Link gibt es insgesamt 53 Schwachstellen in etlichen Modellen (ausführlicher Bericht als PDF) und bei Synology enthält das Web-Fotoalben, dass die Bilder von den DiskStation NAS-Systemen im Internet veröffentlicht, eine Command-Injection-Schwachstelle. Aktualisierte Firmware-Versionen stehen zur Verfügung.

Unerwünschte Beobachter via Netzwerkkamera hatte ich ja schon öfter im Blog erwähnt, aktuell sind alle Benutzer von GoPro-Kameras potentielle Opfer einer Spähaktion. Jedenfalls wenn es nach der BBC und Pen Test Partners geht. Denn die BBC warnt mit Verweis auf eine Demonstration der Pen Test Partners davor, dass Cyberkriminelle schwache Passwörter ausnutzen könnten, um nach einem Brute-Force-Angriff die Kamera zum Ausspähen ihrer Benutzer zu verwenden.

Wow - wer hätte das gedacht? Ach ja, ich glaube, in China gab es eine Lageänderung bei einem Reissack. Außerdem kann ein Cyberkrimineller sich den Videostream der Kamera ansehen, nachdem er das WiFi-Passwort geknackt hat. Nun ja, auch das sollte man mal als allgemein bekannt voraus setzen. Für die von Ihnen, die es noch nicht wussten: 1 plus 1 ergibt 2, jedenfalls im Dezimalsystem. Oh, jetzt ist doch in China schon wieder ein Reissack umgekippt!

Vermutlich brauchten die Pen Test Partners etwas Publicity für ihre Demos auf der Infosecurity Europe, wo sie einen Angriff auf den "Smarter Wi-Fi Kettle", einen Wasserkocher mit WLAN-Zugang, demonstriert haben, um das WLAN-Passwort zu ermitteln.

Auch das ist nichts wirklich weltbewegend Neues, der Angriff ist "old school", nur das Ziel ist neu. Ich frage mich deshalb auch viel mehr: Wofür braucht man eigentlich einen Netzwerkzugang am Wasserkocher? In meinen fülle ich Wasser, drücke den Startknopf, und kurz darauf kippe ich das kochende Wasser in meinen Teebecher, meine Teekanne oder einen Topf. Warum sollte ich in der kurzen Zeit so weit vom Gerät weg gehen, dass mich das nur über WLAN erreichen kann? Na, egal.

Es gibt übrigens auch Körperwagen mit WLAN-Zugang, und auch die verraten einem Angreifer das WLAN-Passwort. Wenn der an die Wage ran kommt. Aber Körperwagen mit WLAN? Also ich stelle mich da einfach drauf, gucke einmal nach unten und lese das Gewicht ab. Wenn ich das mal nicht mehr lesen kann, habe ich wahrscheinlich ein Problem mit meinem Körperumfang oder meinen Augen (sofern nicht einfach die Batterie leer ist). Und in all diesen Fällen hilft mir WLAN auch nicht wirklich weiter. Aber OK, ich höre ja schon auf zu lästern.

Wie man an den Beispielen der Pen Test Partners aber sieht, nehmen es die Entwickler des IoT mit der Sicherheit nicht gerade sehr ernst. Aber das ich ja nichts Neues.

Einen gewissen Schutz vor den Angriffen bieten die gleichen Maßnahmen wie oben bei den Routern: Sichere Passwörter und eine aktuelle Firmware. Falls aber mal eine 0-Day-Schwachstelle ausgenutzt wird, sieht es schlecht aus mit dem Schutz.

Damit das möglichst nicht passiert, müssen Schwachstellen von den "Guten" gefunden und von den Entwicklern behoben werden, bevor die Cyberkriminellen sie selbst finden und ausnutzen. Auf der Defcon 2015 sind die Sicherheitsforscher dazu aufgefordert, Geräte von Apple, Fitbit und Samsung zu hacken. Und Tesla hat ein Bug-Bounty-Programm gestartet. Das galt anfangs leider nicht für die Autos, sondern nur für die Websites. Dabei hätten die Autos es ebenfalls nötig. Inzwischen gilt das Programm auch für "A hardware product that you own or are authorized to test against (Vehicle, PowerWall, etc.)" und damit auch für die Autos.

Nicht zum IoT gehört das letzte Beispiel für unsichere Systeme: Vor allem in den USA weit verbreitete Garagentoröffner lassen sich mit Hilfe eines modifizierten Spielzeugs namens IM-ME von Mattel öffnen, ohne den Code zu kennen. Die Geräte probieren einfach alle möglichen Codes aus. Entwickelt wurde der Angriff von Samy Kamkar, der zuerst durch den MySpace-Wurm Samy bekannt wurde und danach unter anderen durch die Entwicklung des sehr persistenten Evercookie von sich reden machte. Der Angriff ist möglich, weil die Garagentoröffner zu kurze, feste Code verwenden. In diesem Fall gibt es kein Firmware-Update zur Lösung das Problems, es ist ein neuer Garagentoröffner fällig.

Ach so: Beklagen Sie sich jetzt aber bitte nicht darüber, dass sie in Zukunft nicht nur auf Ihren Rechnern, Smartphones, Tabletts und Routern für aktuelle Software sorgen müssen, sondern auch auf allem, was sie sich sonst noch mit Internet-Anschluss zulegen. Haben Sie etwa ernsthaft etwas anderes erwartet? Es kommt übrigens noch schlimmer: Es dürfte nicht all zu lange dauern, bis die ersten Geräte des IoT entsorgt werden müssen, weil sie kritische Schwachstellen enthalten, für die es keinen Patch gibt, und der einzige Workaround in "Nicht mehr benutzen" besteht.

Carsten Eilers