06 Apr

IoT-Geräte sind nicht nur cool: Das Internet der Dinge braucht Sicherheit

IP-Kameras, Babyfons, Bewegungsmelder, verschiedene Sensoren oder Aktoren für das Eigenheim werden immer beliebter. Das Internet of Things boomt. Und die Produkte werden immer billiger. Verlockend, oder?

Da in den letzten Jahren auch die Installation immer einfacher geworden ist, werden diese Produkte nun immer häufiger eingesetzt.

SICHERHEITSBEDENKEN? FEHLANZEIGE.

Es hat aber schon Fälle gegeben, in denen diese „Things“ im Internet für ganz massive Verletzungen der Privatsphäre missbraucht wurden … und das ist wohl immer über Schwachstellen in der Softwareimplementierung und/oder durch fehlende Sicherheitsmechanismen gelaufen.

Besonders schockierend war ein Missbrauch, der sich folgendermaßen zugetragen hat: Ein Angreifer hatte sich Zugang zu einem Babyfon mit Kamera verschafft. Als der Vater – akustisch durch wüste Beschimpfungen alarmiert – ins Kinderzimmer kam, konnte er gerade noch „live“ registrieren, wie sich die Kamera des Babyfons bewegte und eine männliche Stimme über den Lautsprecher Obszönitäten verbreitete. Wirklich schlimm. Eine Horrorvision für alle Eltern.

Solche oder ähnliche Fälle ereignen sich tagtäglich, wobei ja nur ein ganz kleiner Prozentsatz den Weg in die Öffentlichkeit findet, da diese Angriffe entweder unentdeckt bleiben oder oft einfach verschwiegen werden.

Die Informationsübertragung: der erste kritische Punkt

Da ja die meisten dieser Produkte – egal ob Sicherheitskamera, Babyfon, Kühlschrank oder ein anderes Gerät – über ein Wireless-Signal (häufig auch über das hauseigene WLAN) verbunden werden, ist diese Informationsübertragung der erste abzusichernde Punkt.

Gerade wenn Geräte in das private WLAN eingebunden werden, sollte dieses ja die bestmögliche aller Sicherheiten aufweisen: momentan gängig ist die WPA2 mit AES/CCMP Verschlüsselung. Leider sind ältere Geräte auf die Benutzung dieses Verfahrens oft nicht eingerichtet. Und wenn dann (aus Verlegenheit, Bequemlichkeit oder falsch verstandener Sparsamkeit) auf das obsolete Verfahren WEP zurückgegriffen wird, ist so gut wie keine Absicherung gegeben.

Die alte WEP Verschlüsselung kann innerhalb von Minuten geknackt werden

Deshalb: WPA-unfähige Geräte unbedingt durch aktuellere Versionen bzw. Alternativprodukte ersetzen. Fortschritt muss (gerade bei der Sicherheitstechnik) oberstes Gebot sein!

Be ahead… der wichtigste Grundsatz für das proaktive Verhindern von Missbrauch

Im Idealfall wird ein zweites WLAN aufgebaut, in dem sich nur Geräte mit erhöhtem Risiko befinden, um im Fall eines erfolgreichen Angriffs das private WLAN nicht zu kompromittieren. Die meisten neueren WLAN-Router verfügen über dementsprechende Optionen.

Es ist außerdem unerlässlich, die Standardpasswörter (nicht die des WLAN, sondern ganz allgemein) zu ändern, da diese ganz leicht im Internet zu finden sind.

Da ja oft Sicherheitsprodukte wie Kameras oder Alarmanlagen (z.B. zur Überprüfung des Perimeters) von außen und somit vom Internet aus zugänglich sein sollen, müssen für diese Services besonders hohe Sicherheitsmaßnahmen mit besonderer Sorgfalt eingebunden werden.

Am besten und einfachsten ist eine VPN-Verbindung, die Zugriff zum privaten Netzwerk herstellen kann und die auch über eine starke Verschlüsselung verfügt. Dann können die Geräte wie von Zuhause aus verwendet werden.

Wenn diese Option nicht möglich ist, sollten jedoch zumindest die Services, auf die vom Internet aus zugegriffen werden soll, einerseits über eine verschlüsselte Verbindungverfügbar gemacht werden, anderseits das Service selbst mittels Authentifizierungund gegebenenfalls Autorisierung abgesichert werden.

Wenn diese Option nicht möglich ist, sollten jedoch zumindest die Services, auf die vom Internet aus zugegriffen werden soll, einerseits über eine verschlüsselte Verbindungverfügbar gemacht werden, anderseits das Service selbst mittels Authentifizierung und gegebenenfalls Autorisierung abgesichert werden.

Zuletzt ist der Einsatz einer Firewall mit integriertem IDS/IPS (Intrusion Detection/Prevention System) zu empfehlen, das Angriffe bzw. Schwachstellen erkennt. Diese Option erfordert jedoch schon etwas technisches Know-how und sollte, um eine reibungslose Funktion zu gewährleisten, unbedingt von Fachpersonal installiert und gewartet werden.

Die wichtigsten Punkte als Stichwortliste:

  • Firewall mit IDS/IPS
  • WLAN mit WPA2 und AES/CCMP
  • Zweites getrenntes (WLAN) Netzwerk
  • Standardpasswörter ändern
  • Starke Passwörter verwenden
  • Internet-Services absichern
14 Jan

Achtung UPC Kunden – Standard WLAN Passwörter leicht zu hacken

hackedDer niederländische Sicherheitsforscher Peter Geissler hat ein Tool veröffentlicht mit dem sich die Standard Passwörter von einigen UPC Modems leicht berechnen lassen.

UPC Kunden sollten ihre WLAN Kennwörter so schnell wie möglich ändern.

Fehler:
Das WPA2 Kennwort bei UPC Modems wird aus der geheimen Seriennummer des Modems generiert und genau hier hat UPC ordentlich gepatzt. Die Seriennummer korrespondiert unerfreulicherweise leider mit der ESSID welche öffentlich einsehbar ist.
Dadurch lässt sich das Kennwort mit wenig aufwand berechnen.

UPC hat begonnen seine Kunden per Mail zu informieren.

Hier finden sie die Anleitung zum ändern des WLAN Kennworts der verschiednen Modems von UPC:
Link