Zur IFA (05. bis 10. September 2014 in Berlin) werden wieder unzählige neue mit dem Internet verbundene Geräte präsentiert. Vor allem mit dem Web verbundene Home-Entertainment-Systeme offenbaren zahlreiche Sicherheitsrisiken. Das ist das Ergebnis eines Selbstversuchs, den der Sicherheitsexperte David Jacoby von Kaspersky Lab mit Hilfe der Ausstattung in seinem eigenen Wohnzimmer durchführte [1]. Neben Schwachstellen in der Software und fehlenden Sicherheitsvorkehrungen bereiteten unsichere Passwörter und unverschlüsselte Kommunikation Probleme.
David Jacoby, Security Evangelistbei Kaspersky Lab, begutachtete für seinen Selbstversuch zwei NAS-Speicher-Systeme (Network Attached Storage) verschiedener Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker. Allein die Speicher zeigten dabei 14 Sicherheitslücken, eine weitere entfiel auf das Smart-TV-Gerät. Außerdem stieß Jacoby auf zahlreiche versteckte Remote-Control-Möglichkeiten im Router [2].
NAS-Speicher verrät Passwörter
Die gefährlichsten Sicherheitslücken fand der Sicherheitsexperte bei den NAS-Speichern. Potenzielle Angreifer können demnach aus der Ferne das System kompromittieren und eigenen Code mit Administratorenrechten ausführen. Zudem waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert. Das voreingestellte Administratorpasswort eines Geräts enthielt nur eine einzige Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen.
Jacoby gelang es durch Ausnutzung einer anderen Software-Schwachstelle, eigene Dateien in einen Speicherbereich zu laden, der normalerweise für die Anwender nicht zugänglich ist. Handelt es sich um entsprechende Schadsoftware, könnte ein derart manipuliertes Gerät auch alle weiteren infizieren, die sich mit dem NAS verbinden – zum Beispiel einen Heimanwender-PC. Ein infizierter NAS-Speicher wäre sogar für DDoS-Attacken eines Botnetzes nutzbar. Da die Malware in einem normalerweise nicht zugänglichen Speicherbereich liegen würde, könnte sie nur über dieselbe Schwachstelle wieder entfernt werden – was den durchschnittlichen Heimanwender überfordern dürfte.
Man-in-the-middle im Smart-TV
Bei der Analyse seines Smart-TV konnte der Kaspersky-Experte feststellen, dass dieser unverschlüsselt über das Internet mit den Servern des Geräte-Herstellers kommuniziert. Das öffnet die Tür für potenzielle Man-in-the-middle-Attacken. Dabei schaltet sich ein Angreifer zwischen Smart-TV und Hersteller. Nutzen Anwender ihr Gerät für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Als Beweisführung konnte Jacoby ein Icon des Herstellers auf der graphischen Oberfläche seines Smart-TV durch ein eigenes Bild ersetzen. Weiterhin stellte der Sicherheitsexperte fest, dass sein Smart-TV auch Java-Code ausführen kann. In Kombination mit dem Abfangen des Datenverkehrs zwischen Fernseher und Internet können so Exploit-basierte Attacken durchgeführt werden.
Router haben Spionage-Fähigkeiten
Der DSL-Router von Jacoby für den drahtlosen Zugang zum Internet hatte zahlreiche, für den Nutzer versteckte Features. Einige davon geben dem Internet Service Provider (ISP) Zugriff auf jedes Gerät im Heimnetzwerk. Jacoby fand in der Internetschnittstelle seines Router Funktionen wie „Web Cameras“, „Telephony Expert Configure“, „Access Control“, „WAN-Sensing“ und „Update“. Ursprünglich wurden solche Features von den ISPs eingebaut, um möglichst einfach technische Probleme auf Anwenderseite lösen zu können. Tatsächlich sind sie aber enorme Sicherheitsrisiken. Die Internetschnittstelle besteht nur aus Webseiten mit alphanumerischen Adressen. Mit Hilfe einer universellen Schwachstelle könnten Angreifer über eine einfache Manipulation der Nummern am Ende der Adresse zwischen den Funktionen hin und her wechseln.
„Sowohl Nutzer als auch Hersteller sollten die Sicherheitsrisiken kennen, wenn Geräte mit dem Internet verbunden sind“, sagt David Jacoby, Security Analyst bei Kaspersky Lab. „Außerdem sollte Anwendern klar sein, dass nur starke Passwörter wirklich sicher sind und es immer versteckte unkontrollierbare Features geben kann. Bei einem Gerät, das als sicher gilt und dies auch noch in seinem Namen ausdrückt, konnte ich innerhalb von nur 20 Minuten sehr ernste Sicherheitslücken entdecken. Welche Risiken würde da wohl erst eine groß angelegte Untersuchung zu Tage bringen? Das ist nur eine von vielen Fragen, die Gerätehersteller zusammen mit Sicherheitsexperten und Anwendern rasch diskutieren sollten. Eine andere Frage betrifft die Lebensdauer der Geräte. Aus Gesprächen mit Herstellern weiß ich, dass einige keine Sicherheitsupdates mehr zur Verfügung stellen, sobald eine neue Gerätegeneration auf den Markt kommt. Bei NAS ist das zum Beispiel alle ein oder zwei Jahre der Fall, die Speicher werden jedoch viel länger genutzt.“
Security-Tipps für internetfähige Geräte
Um internetfähige Geräte möglichst keinen Angriffen auszusetzen, sollten Anwender daher die folgenden Tipps beachten:
- alle Geräte immer mit den neuesten Sicherheits- und Firmware-Updates versehen,
- voreingestellte Benutzernamen und Passwörter durch sichere Kennwörter [3] ersetzen,
- sowie alle Möglichkeiten nutzen, den Netzwerk-Zugriff auf die Geräte einzuschränken. So benötigt etwa ein Drucker keinen Zugriff auf ein TV-Gerät. Möglich ist das über unterschiedliche Netzwerksegmente (DMZ) oder VLAN, mit dessen Hilfe das physikalische Netz logisch separiert werden kann.
Die komplette Studie von David Jacoby ist unter dem Titel „Internet of Things: How I Hacked My Home“ auf http://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/ verfügbar.
1. http://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/ & http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/Pictures_etc._NOT_for_Media_section/Kaspersky_infographic_how_i_hacked_my_home.jpg
2. Gemäß der Firmenpolitik verzichtet Kaspersky Lab solange auf die Nennung der Hersteller der untersuchten Geräte, bis deren Sicherheitslücken eliminiert sind. Die Hersteller wurden über die gefundenen Schwachstellen informiert und arbeiten derzeit an einer Lösung.
3. Die Passwörter sollten einzigartig sein und mindestens 16 Stellen, Groß- und Kleinschreibung, Sonderzeichen sowie Zahlen beinhalten. Was zunächst unmöglich klingt, kann mit systematischem Vorgehen gelöst werden. Es gibt aber ein recht einfaches System für das persönliche Passwortmanagement. Statt eines festen Passwortes, das man variiert, merkt man sich eine bestimmte Formel zum Erstellen der Kennwörter. Das kann beispielsweise wie folgt aussehen: Zunächst nimmt man den Namen des jeweiligen Dienstes, für den man ein Kennwort erstellen möchte, etwa „meinebank“. Als nächstes schreibt man etwa den vierten Buchstaben immer groß und verschiebt den vorletzten Buchstaben an den Anfang des Wortes. So wird aus dem Kennwort „nmeiNebak“. Nun fügt man noch weitere Zahlen und Sonderzeichen an festen Positionen ein, etwa nach dem dritten Zeichen und an vorletzter Stelle. Dann wird aus einem einfachen Kennwort ein sicheres „nme2973iNeba?_!$k“. Eine weitere einfache Alternative: Wer beispielswiese die ersten Zeichen des Satzes „Ich habe einen Online-Zugriff auf mein Konto bei meiner Bank“ nimmt, der erhält ein „IheOZamKbmB“. Nun kann man noch Zahlen und Sonderzeichen einfügen und hat so ein sicheres und dennoch leicht zu merkendes Kennwort. Nutzern, denen das zu kompliziert ist, sollten Passwort-Manager einsetzen