© best_vector/Shutterstock.com
Sicherheit oder Geräte des Internet of Things?

IoT und die Sicherheit


Sie haben die Wahl: Sicherheit oder Geräte des Internet of Things. Beides zusammen geht leider oftmals nicht. Denn aus Sicherheitssicht ist das nicht das Internet of Things, sondern das Internet of Targets.

In einer früheren Ausgabe habe ich die Sicherheit des IoT schon einmal beleuchtet, zu diesem Zeitpunkt sah es in diesem Feld noch nicht besonders gut aus [1]. Kurz zusammengefasst konnte man sagen: „Man kann fast jedes Ding mit einem Microcontroller versehen und ans Internet anschließen, und jedes dieser Dinge lässt sich über eine oder meist gleich mehrere Schwachstellen angreifen".

Seitdem ist etwas mehr als ein Jahr vergangen, und es wurde Zeit für ein Update. Sieht es immer noch so schlimm aus, oder gibt es wenigstens einige Lichtblicke? Eigentlich wollte ich für diesen Artikel die Vorträge aus dem Jahr 2015 auswerten. Wie fast immer mit Fokus auf die Black-Hat-Konferenzen in den USA, Europa und Asien, da diese nun einmal die besten Archive bieten. Dazu sollten noch die DEF CON und Hack in the Box (Amsterdam und Malaysia) kommen; das reicht im Allgemeinen für einen guten Überblick. Und da gab es einiges zum Thema.

Vom 29. März bis 1. April 2016 fand die Black Hat Asia 2016 statt, und alleine diese eine Konferenz lieferte mehr als genug Material für diesen Artikel. Und dabei ist die Black Hat Asia die kleinste der drei Black Hats.

Das Fazit steht also eigentlich jetzt schon fest: Das IoT ist nach wie vor ziemlich unsicher. Wo und wie genau, werden wir gleich feststellen.

Webserversicherheit ist absolutes Neuland

Sehr wahrscheinlich für Angela Merkel, auf jeden Fall aber für zahlreiche Entwickler für das IoT. Denn ein großes Problem vieler Embedded-Devices ist ihr Webserver. Inzwischen weiß fast jeder Webentwickler, wie er seine Anwendungen absichern muss, und jeder Webadministrator kennt sich mit der sicheren Konfiguration der Server aus. Die Entwickler der Embedded-Systeme haben aber anscheinend beschlossen, dieses Wissen nicht zu übernehmen, sondern die alten Fehler erneut zu machen. Denn warum sonst gibt es in den Webservern der IoT-Geräte immer wieder Uraltschwachstellen?

Über die 2015 in Routern der „Small Office, Home Office“-Kategorie gefundenen Schwachstellen kann man ein Buch schreiben [2]. Wenn man bedenkt, dass Router schon einige Zeit auf dem Markt sind und deren Entwickler mehr als genug Zeit hatten, ihre Erfahrungen mit Schwachstellen in der Firmware zu sammeln, lässt das Schlimmes für die neu entwickelten Geräte des IoT befürchten. Andrei Costin hat sich auf der Black Hat Asia 2016 mit diesem Problem beschäftigt [3].

Die Analyse von Firmware wird durch ihre riesige Menge erschwert: 2014 wurden hunderttausende Firmware-Packages gezählt. Auch wenn sich viele davon nur gering unterscheiden, führt das nicht wirklich zu einer Reduzierung des Problems. Denn eine minimale Änderung der Versionsnummer kann im Austausch einer sicheren Komponente durch eine unsichere oder das Hinzufügen einer Komponente mit neuen Schwachstellen begründet sein. Selbst wenn also eine bestimmte Version einer bestimmten Firmware keine Schwachstellen enthält, muss das für alle anderen Versionen nicht automatisch auch gelten. Für die sich aus diesen Tatsachen ergebenden Probleme hat Andrei Costin zusammen mit Apostolis Zarras und Aurélien Francillon Lösungen gefunden.

Da es so viele Geräte gibt, führen sie die Analyse ohne die Geräte durch. Der großen Anzahl an Firmware-Dateien begegnen sie mit einer skalierbaren Architektur. Da die Systeme sehr heterogen sind, setzen sie auf generische Techniken. Da die Geräte zunehmend sowohl smart sind als auch miteinander verbunden werden, konzentrieren sie sich bei den Untersuchungen auf die Weboberfläche und die APIs. Den sehr unstrukturierten Firmware-Daten rücken sie mit Datensatzklassifizierungen zu Leibe. Und verwundbare Geräte werden anhand technologieunabhängiger Fingerprints identifiziert.

Die drei Forscher entwickelten ein Framework zur Analyse der Webinterfaces. Wie das aussieht, wird im Whitepaper zum Vortrag beschrieben. Damit testeten sie den Teil von insgesamt 1925 Linux-basierten Firmwares, die eindeutig identifizierbare Webinterfaces enthielten (1580). Allerdings konnten nur 488 davon in die für die Tests verwendete Chroot-Umgebung überführt werden, und bei nur 246 davon war der Start des Webinterface möglich. In 185 davon wurden insgesamt 225 „High impact“-Schwachstellen wie Möglichkeiten zur Ausführung von Befehlen, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) entdeckt. Die verwundbare Firmware stammte von dreizehn verschiedenen Herstellern.

Die Ergebnisse zeigen vor allem eins: Bei der Analyse gibt es noch viel zu verbessern, sodass mehr Firmware mit möglichst wenig Aufwand untersucht werden kann. Dass das nötig ist, steht wohl außer Frage, schließlich werden immer wieder Schwachstellen entdeckt. Meist aber nur, nachdem jemand eine bestimmte Firmware genauer unter die Lupe genommen hat. Was meist nur passiert, wenn entweder der Verdacht auf eine Schwachstelle besteht oder ein an Sicherheit interessierter Entwickler bei der Suche nach einem Fehler auf eine Schwachstelle stößt.

Wie schützt man IoT-Geräte am besten?

Cyberangriffe gehen von Menschen aus, und auch wenn sie aus den verschiedensten Gründen geschehen, lassen sie sich auf Wirtschaftlichkeitsbetrachtungen zurückführen. Cyberkriminelle, die mit ihren Angriffen Geld verdienen wollen, werden für den Angriff nur so viel investieren, dass sie am Ende noch Gewinn machen. Staatlich „gesponserte“ Angreifer haben zwar vielleicht mehr Geld zur Verfügung, müssen aber trotzdem wirtschaftlich denken. Sonst drehen ihnen ihre Geldgeber den Geldhahn zu. Selbst die NSA kann nicht unbegrenzt Geld ausgeben; irgendwann ist das Budget aufgebraucht und mehr Mittel gibt es nur mit einer guten Begründung. Auch Aktivisten müssen wirtschaftlich denken, sie haben ja nicht unbegrenzt Zeit für ihre Aktionen zur Verfügung und müssen darauf achten, wie sie mit der verfügbaren Zeit die besten Ergebnisse erzielen. Und sogar „Scriptkiddies“, die nur aus Spaß „hacken“, lassen sich so erfassen: Ist der Angriff zu schwierig oder dauert er zu lange, so lassen sie die Finger davon.

Der traditionelle Ansatz für die Abwehr von Angriffen besteht darin, sie für den Angr...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang