IoT - Internet der Dinge (Internet of Things)

[thereds]

Da in letzter Zeit vermehrt, vor Allem im Mainstream-Bereich, über "Internet der Dinge" gesprochen wurde, wollte ich einen kleinen Sammelthread darüber erstellen wie man sich am Besten schützt, beziehungsweise ob es dafür überhaupt einen Schutz gibt den Otto-Normal Verbraucher anwenden kann?

Kann jemand auch erläuern wie genau so eine Infizierung zum Beispiel bei einem Smart TV, Kühlschrank funktioniert?
Gibt es hier allgemeine Vorgehensweisen oder ist es von Produkt zu Produkt unterschiedlich? Das die meisten Produkte seitens der Unternehmen zu wenig gesichert sind, ist ja unlängst bekannt.



DDos-Attacken über/mit IoT

 

[HoneyBadger]

Das wird wohl geräteabhängig sein. Wenn eine Lücke entdeckt wird, lässt diese sich natürlich bei allen Geräten, die betroffen sind, ausnutzen. Nutzen andere Geräte die gleiche Software oder betroffene Teile der Software, so sind diese natürlich auch betroffen. Wenn Du Dir das Beispiel Brian Krebs nimmst, waren ziemlich viele Router und Überwachungskameras involviert. Mein TV hat zum Beispiel Android als BS. Kennst Du eine Lücke bei Android, kennst Du sie wahrscheinlich auch bei dem TV.

 

[sia]

Ich schütze mich davor, indem ich so einen Nepp gar nicht erst kaufe und falls ich das getan hätte, auf Open Source Lösungen gesetzt gehabt hätte.

Viele Angriffe sind auch erst möglich, wenn man das Standardpasswort nicht ändert, bspw. bei Alarmanlagen.

Welche IoT-Geräte habt ihr denn? Kühlschrank, Backofen, Heizung, Licht und Co. sind selbst bei mir als professioneller ITler noch "dumb". Sehe den Mehrwert irgendwie nirgends…

 

[The_Emperor]

Kann jemand auch erläutern wie genau so eine Infizierung zum Beispiel bei einem Smart TV, Kühlschrank funktioniert?

Üblicherweise per UPNP. Die Dinger bohren dir einfach mal deine Firewall auf. Alternativ über gehackte Herstellerserver bzw. MitM-Angriffe da solche Geräte nur in Ausnahmefällen über gesicherte Verbindungen kommunizieren.

Mir selbst kommt so ein IoT-Müll bis auf den Fernseher (dessen MAC in der Firewall gesperrt ist) nicht in's Haus. Nach 3D und 4K-Fernsehen in meinen Augen der nächste verzweifelte Versuch einen vor sich hin dümpelnden Markt mangels richtiger Innovation irgendwie weiterzumelken. Für was sollte ich eine Heizungssteuerung am Handy brauchen? Wenn ich nicht zu Hause bin brauch ich es zu Hause nicht warm. Wenn mir daheim kalt ist hol ich mir 'nen Sweater und dreh die Heizung zwei Stufen höher. Weiß nicht wie es andere handhaben, aber ich weiß immer was bei mir im Kühlschrank ist und in Folge auch was ich noch für's Abendessen nach der Arbeit kaufen muss. Da muss mir mein Kühlschrank keine SMS schreiben dass da noch was fehlt. Mein WC postet mir auch nicht auf Twitter wenn ich zu lange nicht scheißen war.

 

[HoneyBadger]

@phre4k: Ich habe zum Beispiel ein gut vernetztes Wohnkino. Da sind alle möglichen Geräte angeklemmt, die vernetzt sind und auch online gehen können. Das fängt an bei der Playstation, geht über den Mediaplayer, dann der AVR, über den Smart-TV bis hin zu den Lampen. Habe das Hue-System. Das ist wiederum mit dem TV vernetzt. Alles online und/oder zumindest per W-LAN verbunden. Das da alles vernetzt ist, ist im Summe (das Zusammenspiel) schon ein ziemlicher Mehrwert.

Mein Auto geht auch online. Brauche das (Vielfahrer) zwecks der Google-Staudaten im Navi.

 

[thereds]

@The_Emperor:

Gibt es auch eine Möglichkeit den Smart-TV zu schützen ohne ihn vom Netz zu nehmen (Mac Adresse sperren = kein Internetzugang?)?
Bin auf eine allgemeine Antwort aus, oder ist das Herstellerabhängig?

 

[sia]

Du kannst im Router für einzelne Geräte sehr fein einstellen, wohin diese verbinden dürfen und wohin nicht. Wenn du mit dem Smart TV nur YouTube und Netflix schaust, kannst du ja deren IP Ranges freigeben und alles andere sperren...

Was erwartest du denn für eine Antwort? Welche Geräte willst du konkret absichern?

Gut, dass ich kein Konsolenspieler bin, dann muss ich mir keine Blackbox ins Zimmer stellen. Lichtsteuerung würde ich wohl mit Zigbee lösen, würde mich das auch nur im Ansatz jucken.

Mein Mediaplayer ist ein OpenELEC System. Das macht auch nichts, was ich nicht will.

Die Gefahr geht hier wie gesagt hauptsächlich von unsicheren Voreinstellungen aus. Sobald man sich so ein Gerät holt, sollte man sich genau bewusst sein, was es tut.

 

[The_Emperor]

@The_Emperor: Gibt es auch eine Möglichkeit den Smart-TV zu schützen ohne ihn vom Netz zu nehmen (Mac Adresse sperren = kein Internetzugang?)?

Habe ich selbst noch nicht benötigt da mein Fernseher im Grunde nur wegen DLNA am Netzwerk hängt und sonst kein Internet braucht. Im Grunde sollte ein banaler Webproxy mit Urlfilter, bzw. striktem Whitelistening reichen. Ich hab mir etwas ähnliches vor langer Zeit mit dem "Jana Server" gebastelt um rauszufinden wo mein Fernseher überall hin will. Mit dem Programm kannst du jeden Windows Rechner in einen stabilen Proxy-Server verwandeln. Das Programm ist inzwischen ziemlich veraltet und ich weiß auch nicht ob es whitelistening unterstützt. Außer einer virtuellen Hardwarefirewall wie zB. IP-Fire die nur den Fernseher und andere IoT-Geräte mit Netzwerk versorgt fällt mir kein empfehlenswertes Programm hierfür ein.

 

[Metal_Warrior]

Wenn du so weit bist, dass du dir IoT-Geräte ans Netz stöpselst, und dann hinterher ihnen nicht mehr vertraust, solltest du dir grundsätzlich überlegen, warum du sie dann angestöpselt hast.

Alternativ kannst du natürlich sehr fein graduiert einstellen, wohin sich dein ach so smarter TV verbinden darf, dazu braucht es halt ne ordentliche Firewall. Persönlich setze ich dafür das Linux-eigene iptables auf einem Server mit mehreren Netzwerkkarten ein. Jedes Ding muss da durch, wenn der Server "Nein" sagt, dann bleibt das auch ein Nein, da könnten sie so viel UPnPen, wie sie wollen. Ist halt nicht ganz ohne, so ein System ordentlich aufzusetzen. Aber der Grundsatz, SmartXY nicht allzu sehr zu vertrauen, der ist definitiv ein solches System wert, wenn es schon unbedingt am Netz hängen muss.

 

[virtus]

Kann jemand auch erläuern wie genau so eine Infizierung zum Beispiel bei einem Smart TV, Kühlschrank funktioniert?
Gibt es hier allgemeine Vorgehensweisen oder ist es von Produkt zu Produkt unterschiedlich? Das die meisten Produkte seitens der Unternehmen zu wenig gesichert sind, ist ja unlängst bekannt.

Prinzipiell hängen die Angriffe natürlich vom jeweiligen Gerät ab.
Häufig genutzte Lücken:
- Telnet-Server, die zu Wartungszwecken eingerichtet werden
- SSH-Server, die zu Wartungszwecken eingerichtet werden
- Standardpasswörter, die nicht vom Nutzer geändert werden
- Schnittstellen/ APIs, die zur Interoperabilität genutzt werden können, aber nicht/ schlecht abgesichert sind

Die Vorgehensweise, um solche Sicherheitslücken zu finden, ist in der Regel gleich:
Erst mal in die schauen, ob Standardpasswörter vergeben werden.
Dann besorgt man sich ggf. mal so ein Gerät, um es näher zu untersuchen, Portscan ggf. APIs überprüfen etc.



Von wegen Absicherung:
Optimal wäre es, das Gerät selbst überhaupt nicht ans öffentliche Netz zu lassen. Beispielsweise könntest du das Gerät nur im Heimnetzwerk agieren lassen und dich selbst, falls du mal von außerhalb auf deine Heimautomatisierung zugreifen möchtest, via VPN in dein Heimnetz einklinkst.
Alternativ kannst du bei stateful Firewalls zumindest ein wenig einschränken, was möglich sein soll und was nicht.

 

[JohnDoe]

Was ich mich in Bezug auf das Internet der Dinge (ich nenn's ja liebevoll IoS, "Internet of Shit") immer wieder frage ist: Wozu? Warum? Weshalb? Es gibt Dinge, die ich mir noch irgendwo einreden lasse (beispielsweise Heizungssteuerung ueber einen Raspberry Pi), aber die appgesteuerte Kaffeemaschine? Ueber das Internet erreichbare Tuerschloesser? WTF?

Häufig genutzte Lücken:
- Telnet-Server, die zu Wartungszwecken eingerichtet werden
- SSH-Server, die zu Wartungszwecken eingerichtet werden
- Standardpasswörter, die nicht vom Nutzer geändert werden
- Schnittstellen/ APIs, die zur Interoperabilität genutzt werden können, aber nicht/ schlecht abgesichert sind

Der Liste moechte ich definitiv noch (sogenannte) "Wartungszugaenge" hinzufuegen. Versteckte Accounts mit administrativen Rechten und unveraenderbarem Passwort. Ich wuerd's ja "Backdoor" nennen, aber sowas wuerden die vertrauenswuerdigen Hersteller doch allesamt niiiie machen.

 

[theSplit]

Ja, die Technik, wenn sie dann einmal ausfällt oder es Softwarefehler nach Updates gibt oder wir unsere Nutzungsdaten offenlegen nur um noch bequemer zu sein - wird uns noch einmal in den Arsch beißen...

Ich frage mal in die Runde - ist "smart" bei derartigen Geräten wirklich immer "smarter" ?
Und habt ihr nicht eine gewisse Angst das diese "smartness" die ihr nicht direkt hinterfragen bzw. beeinflussen könnt - irgendwann mal gegen euch verwendet werden kann bzw. man alle seine Daten fleißig an den Mutterkonzern sendet um tolle Fernsehempfehlungen zu haben? Keine Angst um eure Daten? Eure Privatsphäre generell?

 

[BurnerR]

Die ICANN oder sonstwer sollte ein internationales Gütesiegel einführen, das internetfähige Produkte erhalten, die gewisse Mindeststandards einhalten. Da hätten alle einen Vorteil von.

 

[KaPiTN]

Das hast Du doch auch bereits vor dem Smartphone bei einem einfachen Handy. Oder bei Kartenzahlung und noch mehr bei Bonuskarten.

Krasser als bei Privatnutzern, die ihre Daten offenlegen, finde ich, wenn Wasserwerke oder Große Gebäudekomplexe ihre Systeme über das Internet steuerbar machen und dann nicht für Sicherheit sorgen so das die Kontrolle auch von unbefugten übernommen werden kann.

 

[JohnDoe]

Die ICANN oder sonstwer sollte ein internationales Gütesiegel einführen, das internetfähige Produkte erhalten, die gewisse Mindeststandards einhalten. Da hätten alle einen Vorteil von.

Als ob Gütesiegel, vor allem im Computerbereich, jemals irgendwas aussagen, über die tatsächliche Sicherheit eines Produktes. Vor allem, weil die Definition von 'Mindeststandard' massiv variiert, je nachdem, in welchem Land man sich befindet.

 

[BurnerR]

Ach naja, ein Siegel belegt halt, dass der Ausstelller das Produkt auf die Einhaltung von bestimmten Kriterien geprüft hat. Das diese Kriterien meist ein unsexy Kompromiss sind, weil ja auch irgendwer Bock haben muss diese zu erfüllen und man möglichst einfach (=billig) testen können will - klar.
Wäre halt kein Ansatz, der eine optimale Lösung bietet - gibt es vllt auch gar nicht - aber es wäre eine Hilfe, würde Tendenzen schaffen zu sichereren IoT Krams. Und der wird definitiv kommen, immerhin leben wir in einer Welt wo jeder mit einem Smart'phone' rumläuft, aber fast nie telefoniert, das aber zwei Kameras hat, damit man sich selber besser fotografieren kann.

 

[Jan_de_Marten]

Krasser als bei Privatnutzern, die ihre Daten offenlegen, finde ich, wenn Wasserwerke oder Große Gebäudekomplexe ihre Systeme über das Internet steuerbar machen und dann nicht für Sicherheit sorgen so das die Kontrolle auch von unbefugten übernommen werden kann.

Naja ganz so einfach ist es nicht. Und das mit jetzt vom Netz steuernden Industrieanlagen gibt es schon weit vor dem Jahr 2005. Begreifen nur die Leute das eben nicht ....... Stichwort Stuxnet. Bei uns in der Firma ist kein Gerät aus dem Internet erreichbar und dabei bleibt es!

 

[KaPiTN]

Naja ganz so einfach ist es nicht.

Aber leicht genug?

 

[JohnDoe]

Naja ganz so einfach ist es nicht. Und das mit jetzt vom Netz steuernden Industrieanlagen gibt es schon weit vor dem Jahr 2005. Begreifen nur die Leute das eben nicht ....... Stichwort Stuxnet. Bei uns in der Firma ist kein Gerät aus dem Internet erreichbar und dabei bleibt es!

Stuxnet ist ein absoluter Sonderfall. Die Steueranlagen von Siemens waren nicht über*das Internet erreichbar, man geht heute weitestgehend davon aus, dass die Infektion über normale Bürorechner erfolgt ist, von denen aus sich die Malware dann auf spezielle Wartungsnotebooks ausgebreitet hat, die dann eben mit den Steuerungsanlagen in Kontakt gekommen sind. Die Systeme waren also air-gapped und wurden trotzdem infiziert - wenn du einen Angreifer hast, der mit entsprechender Motivation und finanziellen Mitteln ausgestattet ist, hast du verloren, egal, was du tust.

Aber bei den Geräten, über die wir hier diskutieren, geht es nicht um irgendwelche Urananreicherungszentrifugen. Sondern um 'meinen' Kühlschrank, und wenn der mit einem simplen TCP-Paket kompromittiert werden kann, dann läuft hier was ganz gewaltig falsch.

 

[Jan_de_Marten]

Stuxnet war ein Sonderfall für eine S7 ja, aber auf wie vielen Rechner war der Wurm? Das sollte uns zudenken geben. Kehr das doch einfach um ........ wie viele "deiner" Kühlschränke gibt es und was kann diese "Armee" anrichten?