© best_vector/Shutterstock.com
Windows Developer
Sicherheit oder Geräte des Internet of Things?

IoT und die Sicherheit

Sie haben die Wahl: Sicherheit oder Geräte des Internet of Things. Beides zusammen geht leider oftmals nicht. Denn aus Sicherheitssicht ist das nicht das Internet of Things, sondern das Internet of Targets.

Carsten Eilers


In einer früheren Ausgabe habe ich die Sicherheit des IoT schon einmal beleuchtet, zu diesem Zeitpunkt sah es in diesem Feld noch nicht besonders gut aus [1]. Kurz zusammengefasst konnte man sagen: „Man kann fast jedes Ding mit einem Microcontroller versehen und ans Internet anschließen, und jedes dieser Dinge lässt sich über eine oder meist gleich mehrere Schwachstellen angreifen".

Seitdem ist etwas mehr als ein Jahr vergangen, und es wurde Zeit für ein Update. Sieht es immer noch so schlimm aus, oder gibt es wenigstens einige Lichtblicke? Eigentlich wollte ich für diesen Artikel die Vorträge aus dem Jahr 2015 auswerten. Wie fast immer mit Fokus auf die Black-Hat-Konferenzen in den USA, Europa und Asien, da diese nun einmal die besten Archive bieten. Dazu sollten noch die DEF CON und Hack in the Box (Amsterdam und Malaysia) kommen; das reicht im Allgemeinen für einen guten Überblick. Und da gab es einiges zum Thema.

Vom 29. März bis 1. April 2016 fand die Black Hat Asia 2016 statt, und alleine diese eine Konferenz lieferte mehr als genug Material für diesen Artikel. Und dabei ist die Black Hat Asia die kleinste der drei Black Hats.

Das Fazit steht also eigentlich jetzt schon fest: Das IoT ist nach wie vor ziemlich unsicher. Wo und wie genau, werden wir gleich feststellen.

Webserversicherheit ist absolutes Neuland

Sehr wahrscheinlich für Angela Merkel, auf jeden Fall aber für zahlreiche Entwickler für das IoT. Denn ein großes Problem vieler Embedded-Devices ist ihr Webserver. Inzwischen weiß fast jeder Webentwickler, wie er seine Anwendungen absichern muss, und jeder Webadministrator kennt sich mit der sicheren Konfiguration der Server aus. Die Entwickler der Embedded-Systeme haben aber anscheinend beschlossen, dieses Wissen nicht zu übernehmen, sondern die alten Fehler erneut zu machen. Denn warum sonst gibt es in den Webservern der IoT-Geräte immer wieder Uraltschwachstellen?

Über die 2015 in Routern der „Small Office, Home Office“-Kategorie gefundenen Schwachstellen kann man ein Buch schreiben [2]. Wenn man bedenkt, dass Router schon einige Zeit auf dem Markt sind und deren Entwickler mehr als genug Zeit hatten, ihre Erfahrungen mit Schwachstellen in der Firmware zu sammeln, lässt das Schlimmes für die neu entwickelten Geräte des IoT befürchten. Andrei Costin hat sich auf der Black Hat Asia 2016 mit diesem Problem beschäftigt [3].

Die Analyse von Firmware wird durch ihre riesige Menge erschwert: 2014 wurden hunderttausende Firmware-Packages gezählt. Auch ...

Windows Developer
Sicherheit oder Geräte des Internet of Things?

IoT und die Sicherheit

Sie haben die Wahl: Sicherheit oder Geräte des Internet of Things. Beides zusammen geht leider oftmals nicht. Denn aus Sicherheitssicht ist das nicht das Internet of Things, sondern das Internet of Targets.

Carsten Eilers


In einer früheren Ausgabe habe ich die Sicherheit des IoT schon einmal beleuchtet, zu diesem Zeitpunkt sah es in diesem Feld noch nicht besonders gut aus [1]. Kurz zusammengefasst konnte man sagen: „Man kann fast jedes Ding mit einem Microcontroller versehen und ans Internet anschließen, und jedes dieser Dinge lässt sich über eine oder meist gleich mehrere Schwachstellen angreifen".

Seitdem ist etwas mehr als ein Jahr vergangen, und es wurde Zeit für ein Update. Sieht es immer noch so schlimm aus, oder gibt es wenigstens einige Lichtblicke? Eigentlich wollte ich für diesen Artikel die Vorträge aus dem Jahr 2015 auswerten. Wie fast immer mit Fokus auf die Black-Hat-Konferenzen in den USA, Europa und Asien, da diese nun einmal die besten Archive bieten. Dazu sollten noch die DEF CON und Hack in the Box (Amsterdam und Malaysia) kommen; das reicht im Allgemeinen für einen guten Überblick. Und da gab es einiges zum Thema.

Vom 29. März bis 1. April 2016 fand die Black Hat Asia 2016 statt, und alleine diese eine Konferenz lieferte mehr als genug Material für diesen Artikel. Und dabei ist die Black Hat Asia die kleinste der drei Black Hats.

Das Fazit steht also eigentlich jetzt schon fest: Das IoT ist nach wie vor ziemlich unsicher. Wo und wie genau, werden wir gleich feststellen.

Webserversicherheit ist absolutes Neuland

Sehr wahrscheinlich für Angela Merkel, auf jeden Fall aber für zahlreiche Entwickler für das IoT. Denn ein großes Problem vieler Embedded-Devices ist ihr Webserver. Inzwischen weiß fast jeder Webentwickler, wie er seine Anwendungen absichern muss, und jeder Webadministrator kennt sich mit der sicheren Konfiguration der Server aus. Die Entwickler der Embedded-Systeme haben aber anscheinend beschlossen, dieses Wissen nicht zu übernehmen, sondern die alten Fehler erneut zu machen. Denn warum sonst gibt es in den Webservern der IoT-Geräte immer wieder Uraltschwachstellen?

Über die 2015 in Routern der „Small Office, Home Office“-Kategorie gefundenen Schwachstellen kann man ein Buch schreiben [2]. Wenn man bedenkt, dass Router schon einige Zeit auf dem Markt sind und deren Entwickler mehr als genug Zeit hatten, ihre Erfahrungen mit Schwachstellen in der Firmware zu sammeln, lässt das Schlimmes für die neu entwickelten Geräte des IoT befürchten. Andrei Costin hat sich auf der Black Hat Asia 2016 mit diesem Problem beschäftigt [3].

Die Analyse von Firmware wird durch ihre riesige Menge erschwert: 2014 wurden hunderttausende Firmware-Packages gezählt. Auch ...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang