Momentan wird ja allerorten das Internet of Things (IoT) propagiert und wer sich solchen Geräten verweigert, ist irgendwie "old school". Doof nur, dass man sich mit den IoT-Teilen Sicherheitslöcher wie Scheunentore in seine eigenen Netze holt. Hier noch ein kleiner Sammelbeitrag zum Thema.
Anzeige
Am Wochenende bin ich durch Zufall auf den ZDNet.com-Artikel Re-thinking security fundamentals: How to move beyond the FUD gestoßen, der mich ziemlich ratlos zurückließ. Gut, der Artikel ist Werbung für eine am 27. September in San Franzisko stattfindende Structure Security 2016-Sicherheitskonferenz. Wenn ich es richtig interpretiere, entstand bereits vor 10 Jahren die Philosophie, Sicherheit by Design in Produkte einzubauen und die Fähigkeiten der Nutzer in das Design einzubeziehen. Nach dieser Lesart müssten wir ja eigentlich hochsicherere Systeme im IoT-Bereich haben …
Desaster: Kommunikation von Millionen IoT-Geräte problemlos mitlesbar
Einfach ein kleiner Szenenwechsel. Bei The Register lese ich ein paar Tage vorher den Artikel Internet of Sins: Million more devices sharing known private keys for HTTPS, SSH admin und den zutreffenden Untertitel "IoT == Immensely Obvious Threat" (ziemlich offensichtliche Bedrohung). Eine Untersuchung von SEC Consult zeigt, dass in Millionen IoT-Geräten, vom Router bis zur Webcam, bekannte Schlüssel für SSH und HTTPS verwendet werden. Der Umfang ist von 3,2 Millionen Geräten im November 2015 auf 4,5 Millionen Geräte im Sommer 2016 angestiegen. Grund: Die Hersteller verwenden hardcodierte Schlüssel in den Geräten, anstatt jedem Gerät einen eigenen Schlüssel für SSH- und HTTPS-Übertragungen zuzuweisen. Wer den Schlüssel kennt, kann also die Kommunikation mitlesen – auch wenn diese verschlüsselt ist.
Passt natürlich wunderbar zu meinem Beitrag Google Chrome zeigt http-Seiten 'demnächst' als unsicher an vom Wochenende. Der Benutzer bekommt die Konfigurationsseite des IoT-Geräts als sicher, weil per https erreichbar angezeigt, aber die Kommunikation ist offen wie ein Scheunentor.
IoT-Botnet entdeckt
Und die weitere Nachricht vom Wochenende findet sich bei heise.de im Artikel Sicherheitsexperten finden IoT-Botnet. Eine Malware greift IoT-Geräte auf Linux-Basis über Telnet-Zugänge an. Das Botnet läuft auf IoT-Geräten, die mit veralteter Firmware ausgestattet sind. Nach der Infektion verwischt die Malware ihre Spuren und wird nur im Speicher des Geräts ausgeführt. Ein Neustart löscht dann zwar die Malware – da IoT-Geräte aber i.d.R. rund um die Uhr laufen, dürfte die Infektion lange aktiv bleiben. Weitere Details hier und hier.
2015
Na und, dann bin ich halt "old school" wenn mir jemand mal eines der "Internet of Things (IoT)" Dinge vorstellt die Tatsächlich einen Nützlichen wert mit bringt, ohne das ich da Gefühl dabei habe irgendwie Ausspioniert zu werden oder das Daten ohne meine ausdrückliche Zustimmung an dritte weiter gegeben werden, würde ich es mir vielleicht überlegen.
Aber wenn ich mir die Täglichen Horror Wasserstandmeldungen jeden Tag so durchlese wer von wem gerade gehackt oder wie viele Daten wieder öffentlich zugänglich ins Netz gestellt worden sind, dann habe ich da Ehrlich gesagt keinen Bock drauf!
Im Blogbeitrag werden Router und Webcams genannt. Die kann man ziemlich nützlich finden, aber das sind natürlich auch 1a-Spionage-Tools. Darf man dann eben nicht benutzen.
Es bleibt zum Glück noch das gute alte Modem, um ins Netz zu kommen, und Videokonferenzen via Webcam braucht eh kein Mensch.