© hanss/Shutterstock.com
Entwickler Magazin
Täglich neue Angriffsziele im IoT

Exoten im Internet of Targets

Die Hersteller von IoT-Geräten haben eigentlich alle schon bewiesen, dass sie es mit der Sicherheit ihrer Geräte im Allgemeinen nicht so genau nehmen. Oft gilt wohl die Devise: „Hauptsache es funktioniert so weit, dass man es verkaufen kann.“ Was außerdem noch möglich ist, finden dann die Sicherheitsforscher heraus.

Carsten Eilers


Das IoT ist nicht sicher: Häufig entdecken nicht die Hersteller Sicherheitslücken in smarten Geräten, sondern Sicherheitsforscher. Und damit haben die Besitzer der verwundbaren IoT-Geräte noch Glück gehabt, denn die Forscher melden die Schwachstellen meist an die Hersteller (die sie dann ihrerseits oft erst mal ignorieren) und veröffentlichen sie auf Konferenzen (was bei manchen Herstellern dann zu einem Umdenken führt). Wenn sich dann die Cyberkriminellen um das IoT kümmern, wird es unangenehm. Da fällt mir gerade ein: Das wurde es ja schon – siehe Mirai [1].

Wie es um die Sicherheit der Auto-IT steht, hatte ich zuletzt im Entwickler Magazin 2.17 zusammengefasst [2]: Nicht gut, gar nicht gut. Bei den elektronischen Schlössern sieht es auch nicht besser aus, siehe Entwickler Magazin 4.17 [3]. Auch bei der Heimautomation liegt einiges im Argen, siehe Entwickler Magazin 6.17 [4]. Und bei den „Exoten“ im IoT? Da sah es zumindest im Entwickler Magazin 4.16 auch nicht gerade rosig aus [5]. Eigentlich sollte man doch annehmen, dass die Hersteller so langsam anfingen, ihre Geräte sicher zu machen. Leider haben die den sprichwörtlichen Schuss immer noch nicht gehört. Dabei könnte der sogar ganz real von einem IoT-Gerät losgehen!

Das IoT eröffnet das Feuer, oder auch nicht

In [5] habe ich u. a. über ein „intelligentes“ Scharfschützengewehr berichtet, dessen im Zielfernrohr integrierter Computer über WiFi von einem Angreifer übernommen werden kann. Der kann dann u. a. das Ziel auswählen. Selber schießen kann der Angreifer zwar nicht, dafür muss der Benutzer immer noch selbst den Abzug durchdrücken. Aber der Computer kann den Schuss so lange zurückhalten, bis das ausgewählte Ziel genau im Visier ist. Das ist schon mal gar nicht gut. Aber Sie wissen ja: Schlimmer geht immer!

Auf der DEF CON 25 im Juli 2017 hat Plore einen Vortrag über die Sicherheit der einzigen in den USA verkauften „Smart Gun“ gehalten [6]. Im Deutschen heißen diese Waffen Signaturwaffen. Das „Smarte“ besteht lediglich darin, dass sie nur von einer autorisierten Person abgefeuert werden können. Die von Plore untersuchte Pistole Armatix iP1 kommuniziert über NFC mit einer zugehörigen Smartwatch und feuert nur, wenn diese nah genug ist. Eigentlich soll also nur der rechtmäßige Benutzer, der durch die Uhr erkannt wird, die Waffe abfeuern können. Die Reichweite der Funkverbindung beträgt ca. 25 cm. Verliert der Benutzer die Waffe oder wird sie ihm von einem Angreifer abgenommen, können Finder bzw. Angrei...

Entwickler Magazin
Täglich neue Angriffsziele im IoT

Exoten im Internet of Targets

Die Hersteller von IoT-Geräten haben eigentlich alle schon bewiesen, dass sie es mit der Sicherheit ihrer Geräte im Allgemeinen nicht so genau nehmen. Oft gilt wohl die Devise: „Hauptsache es funktioniert so weit, dass man es verkaufen kann.“ Was außerdem noch möglich ist, finden dann die Sicherheitsforscher heraus.

Carsten Eilers


Das IoT ist nicht sicher: Häufig entdecken nicht die Hersteller Sicherheitslücken in smarten Geräten, sondern Sicherheitsforscher. Und damit haben die Besitzer der verwundbaren IoT-Geräte noch Glück gehabt, denn die Forscher melden die Schwachstellen meist an die Hersteller (die sie dann ihrerseits oft erst mal ignorieren) und veröffentlichen sie auf Konferenzen (was bei manchen Herstellern dann zu einem Umdenken führt). Wenn sich dann die Cyberkriminellen um das IoT kümmern, wird es unangenehm. Da fällt mir gerade ein: Das wurde es ja schon – siehe Mirai [1].

Wie es um die Sicherheit der Auto-IT steht, hatte ich zuletzt im Entwickler Magazin 2.17 zusammengefasst [2]: Nicht gut, gar nicht gut. Bei den elektronischen Schlössern sieht es auch nicht besser aus, siehe Entwickler Magazin 4.17 [3]. Auch bei der Heimautomation liegt einiges im Argen, siehe Entwickler Magazin 6.17 [4]. Und bei den „Exoten“ im IoT? Da sah es zumindest im Entwickler Magazin 4.16 auch nicht gerade rosig aus [5]. Eigentlich sollte man doch annehmen, dass die Hersteller so langsam anfingen, ihre Geräte sicher zu machen. Leider haben die den sprichwörtlichen Schuss immer noch nicht gehört. Dabei könnte der sogar ganz real von einem IoT-Gerät losgehen!

Das IoT eröffnet das Feuer, oder auch nicht

In [5] habe ich u. a. über ein „intelligentes“ Scharfschützengewehr berichtet, dessen im Zielfernrohr integrierter Computer über WiFi von einem Angreifer übernommen werden kann. Der kann dann u. a. das Ziel auswählen. Selber schießen kann der Angreifer zwar nicht, dafür muss der Benutzer immer noch selbst den Abzug durchdrücken. Aber der Computer kann den Schuss so lange zurückhalten, bis das ausgewählte Ziel genau im Visier ist. Das ist schon mal gar nicht gut. Aber Sie wissen ja: Schlimmer geht immer!

Auf der DEF CON 25 im Juli 2017 hat Plore einen Vortrag über die Sicherheit der einzigen in den USA verkauften „Smart Gun“ gehalten [6]. Im Deutschen heißen diese Waffen Signaturwaffen. Das „Smarte“ besteht lediglich darin, dass sie nur von einer autorisierten Person abgefeuert werden können. Die von Plore untersuchte Pistole Armatix iP1 kommuniziert über NFC mit einer zugehörigen Smartwatch und feuert nur, wenn diese nah genug ist. Eigentlich soll also nur der rechtmäßige Benutzer, der durch die Uhr erkannt wird, die Waffe abfeuern können. Die Reichweite der Funkverbindung beträgt ca. 25 cm. Verliert der Benutzer die Waffe oder wird sie ihm von einem Angreifer abgenommen, können Finder bzw. Angrei...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang