Sicherheit von Smart Home / IoT-Devices

[monstermania]

Moin,
in der neuesten c't 8/17 ist ein sehr interessanter Artikel zu Smart Home /IoT-Devices und deren Sicherheit: https://www.heise.de/newsticker/meldung/Smart-Home-c-t-findet-versteckte-Mikrofone-und-unsichere-Web-Frontends-3673101.html

Ein Grund mehr für den Einsatz von OPNsense zu Hause. Leider wird wieder mal nur die andere sense im Artikel genannt.
Ich befürchte aber eh, dass es wieder nur die falsche Leute lesen!

Gruß
Dirk

[Oxygen61]

Hey hey,

Das hatte mich auch stutzig gemacht, obwohl man es ja eigentlich schon irgendwie wusste und ahnte.
Nur das Ausmaß verwundert mich immer wieder. Hauptsache Plug 'n' Play.
Was mich aber ein bisschen traurig macht ist, wie essentiell es mittlerweile schon fast geworden ist ein gut durchdachtes Heimnetzwerk zu haben. Man kannte das ja nur von "Small Office"'s und "Enterprise" Netzwerken, die sich dort (hoffentlich) um Security gekümmert hatten.

Aber ich denke das wird sich noch alles ändern. Wie sonst auch muss erstmal 80% der Welt irgendne Art "Super Gau" erleben, damit dann umgedacht wird. Anders gehts wohl nicht mehr heutzutage. Einem passiert noch zu wenig im großen Stil. Wenn sich das ändert, ändert sich auch das Denken der Unternehmen... oder?

Schöne Grüße
Oxy

[fabian]

Reicht "Mirai" denn nicht als Beispiel dafür, wie schnell unsichere Geräte Teil eines Bot-Nets werden können?
Das Einzige was es braucht ist eine Haftung für kommerzielle Hersteller, die fahrlässig handeln.
Dazu gehört für mich die Verwendung von Software in der Firmware, die so alt ist, dass es sogar funktionierende Exploits dafür im Internet gibt, Zugang mit Standardpasswörtern über das Internet* oder das Verweigern von Aktualisierungen im Gewährleistungszeitraum für den Fall, dass es eine Sicherheitslücke auftritt.

* Meinetwegen limitiert auf RFC1918-Quelladressen, solange man das Passwort nicht ändert

[JeGr]

Wir werden IMHO noch viel mehr "böses" lesen, bevor es besser wird. Durch solche gehypte Buzzwords wie das von der Kanzlerin groß gelobte Industrie 4.0 werden wir eine Masse an IoT und sonstigen Gegenständen aus dem Alltag und Haushalt erleben, die eben "I4.0"-like einfach mal ne Netzwerkbuchse oder - noch schlimmer - WLAN spendiert bekommen. Leider wird das aber meist von Leuten designed, die bislang keinerlei Ahnung von Netzwerken, Infrastruktur und vor allem: Sicherheit, Authentifizierung und Autorisierung haben.  Bei vielen ist es damit getan, dass sie ihrem Gerät ne RJ45 Buchse und nen IP Stack spendieren. Dass solche Kisten dann aber plötzlich (planlos oder geplant) am Internet hängen ... nun davon haben wir ja schon den ersten Fallout gesehen. Standardpasswörter, in HW verdrahtete Logins, alte Cypher etc. die nicht nachgerüstet werden können, etc. etc. wird man nun leider noch viel häufiger antreffen, denn kein Hersteller will jetzt nicht mehr "smart" sein. Und daraus nun die Perlen zu ziehen, die sich wirklich ordentlich mit dem Thema beschäftigt haben wird schwer...

[Oxygen61]

Naja... man müsste meinen die Hersteller dieser Geräte wüssten nicht was sie tun, aber wenn ich dann lese wie raffiniert die Funksteckdose sich in das Passwort geschützte WLAN einklingt, indem sie die Paketlänge der übertragenen Daten als Morsecode interpretiert ohne große Nutzerkonfigurationen... einfach herrlich
Wer sich die Zeit nimmt so ein Gerät raus zu bringen wird es doch wohl auch schaffen, das ordentlich zu machen oder?

Grundlegend haben wir aber folgendes Problem:
Der normale Nutzer interessiert sich nicht ob die eigene IP Kamera gehackt wurde und Amok läuft, sie funktioniert ja noch, bzw. der Nutzer kriegt das ja nicht mit und denkt: "Mir passiert sowas schon nicht".
Andererseits haben die Hersteller mit dem Verlangen nach Komfort mit den Nutzern zu kämpfen.
Wie der Herr aus dem Video schon sagte, es wird Sicherheit zu Gunsten der Einfachheit weggelassen, damit keine Kundenbeschwerden eingehen.

Industrie 4.0 ist ja alles gut und schön. Mein Kühlschrank darf ruhig von sich aus merken, dass Eier und Brot fehlen und dann (Kommunikation startet im eigenen Netz) Dinge nachbestellen, wenn sowas denn dann mal entwickelt wird. (Vielleicht gibt es sowas schon? )

[...] denn kein Hersteller will jetzt nicht mehr "smart" sein. Und daraus nun die Perlen zu ziehen, die sich wirklich ordentlich mit dem Thema beschäftigt haben wird schwer...

Ich glaube auch, dass dort einfach der Druck bei den Firmen hängt nicht "abgehängt" zu werden von der Konkurrenz. Wenn man da nicht anfängt sein Zeuch hinter VLANs und Firewall einzuschließen kommt man auf keinen grünen Zweig. :/

Das Einzige was es braucht ist eine Haftung für kommerzielle Hersteller, die fahrlässig handeln.

Genau das braucht die Industrie 4.0
Aber wer setzt das durch? Ihr habt ja auch sicher den Beitrag über das Samsung Betriebssystem "Tizen" gelesen mit über 40 Zero Day Lücken, was zwar erst nur in Russland eingesetzt wird, aber wohl auch hier dann für Smart TV und Handys als Betriebssystem in Einsatz kommen soll.
Da wird mir einfach nur noch schlecht bei.

Quelle: https://www.heise.de/security/meldung/Betriebssystem-Tizen-fuer-Samsung-Geraete-von-Sicherheitsluecken-durchsiebt-3674713.html
Zitat: "Darüber hinaus will Samsung das Betriebssystem künftig in smarten Kühlschränken und Waschmaschinen einsetzen. "

Irgendwer bei Heise c't meinte mal: "Es würde mir schon ausreichen, wenn man einfach gängige Sicherheitsstandards die sich über die Jahre bewert haben tatsächlich wieder nutzen würde."

Mal schauen wo uns das alles noch hinführt....
"Achtung Achtung 10.000 Waschmaschinen greifen die sozialen Netzwerke an...." 

EDIT:
Ich musste mich fast totlachen als ich das hier grade gelesen hatte:
https://www.golem.de/news/brickerbot-hacker-zerstoeren-das-internet-of-insecure-things-1704-127198.html
Das ist zwar keine "gute" Lösung, ABER es ist eine Lösung 
Ganz nach dem Motto "Wer nicht hören will muss leiden".

[fabian]

Grundlegend haben wir aber folgendes Problem:
Der normale Nutzer interessiert sich nicht ob die eigene IP Kamera gehackt wurde und Amok läuft, sie funktioniert ja noch, bzw. der Nutzer kriegt das ja nicht mit und denkt: "Mir passiert sowas schon nicht".
Andererseits haben die Hersteller mit dem Verlangen nach Komfort mit den Nutzern zu kämpfen.
Wie der Herr aus dem Video schon sagte, es wird Sicherheit zu Gunsten der Einfachheit weggelassen, damit keine Kundenbeschwerden eingehen.

Beispiel: Mit der App wird ein QR-Code fotografiert, der das Passwort enthält. Das PW kann dabei problemlos auch 30 Stellen haben.

Ich glaube auch, dass dort einfach der Druck bei den Firmen hängt nicht "abgehängt" zu werden von der Konkurrenz. Wenn man da nicht anfängt sein Zeuch hinter VLANs und Firewall einzuschließen kommt man auf keinen grünen Zweig. :/

Wenn der Hersteller haftet, wird keine Security bald so teuer sein, dass diese Firmen vom Markt verwschwinden, weil sie die Strafzahlungen nicht stemmen könnten.

EDIT:
Ich musste mich fast totlachen als ich das hier grade gelesen hatte:
https://www.golem.de/news/brickerbot-hacker-zerstoeren-das-internet-of-insecure-things-1704-127198.html
Das ist zwar keine "gute" Lösung, ABER es ist eine Lösung 
Ganz nach dem Motto "Wer nicht hören will muss leiden".

Ja, das ist auch eine Lösungsmethode für das Problem, aber nicht legal. Der Vorteil ist hier, dass wenn das Problem recht schnell auftritt, die Gewährleistung ins Spiel kommt -> Produkt wird für schlechte Hersteller schnell teuer, weil die defekten Geräte ersetzt werden müssen. In dem Fall hat ja der Mangel (unsichere Software), der die Ursache des Problems ist, schon beim Kauf bestanden.

[Oxygen61]

Beispiel: Mit der App wird ein QR-Code fotografiert, der das Passwort enthält. Das PW kann dabei problemlos auch 30 Stellen haben.

Lösungsmöglichkeiten gibt es sicher genug, die auch einfach sind und funktionieren würden.
Die Frage liegt mehr im "wollen" als im "können". Man versucht halt die größtmögliche Zielgruppe an Kunden anzusprechen die es gibt. Dann muss man sich aber danach fragen, ob selbst die QR-Code Lösung nicht vielleicht schon wieder "zu schwer" wär für diese immens Große Zielgruppe an potentiellen Käufern.

Wenn der Hersteller haftet, wird keine Security bald so teuer sein, dass diese Firmen vom Markt verschwinden, weil sie die Strafzahlungen nicht stemmen könnten.

So sollte es sein, aber wer weiß schon in welcher Härte solch eine Strafzahlung dann wirklich am Ende umgesetzt wird.

Ja, das ist auch eine Lösungsmethode für das Problem, aber nicht legal. Der Vorteil ist hier, dass wenn das Problem recht schnell auftritt, die Gewährleistung ins Spiel kommt -> Produkt wird für schlechte Hersteller schnell teuer, weil die defekten Geräte ersetzt werden müssen. In dem Fall hat ja der Mangel (unsichere Software), der die Ursache des Problems ist, schon beim Kauf bestanden.

Schon richtig, aber diese Angriffe sind ja (zumindestens für mich) eher als "Trotzreaktionen" gegen die IoT Geräte zu verstehen und werden nicht dauerhaft anhalten und daher am Ende auch hier wieder nicht viel ausrichten (um tatsächlich das große Problem der unsicheren Geräte zu ändern)
Aber man kann ja träumen.
Gut wär natürlich, dass Firmen die fahrlässig unsichere Produkte auf den Markt werfen, dafür bestraft werden.

[monstermania]

Moin,
leider befürchte ich, dass sich überhaupt nichts ändern wird, so lange es nicht wirklich einen großen Vorfall gibt, der auch wirklich weh tut (Menschenleben kostet  ). Dann können wieder unsere Volksvertreter vor Kameras treten und tönen, dass jetzt aber endlich gehandelt wird. Als Fazit wird dann eine noch viel umfassender Überwachung des Internets gefordert werden, um uns 'Bürger' zukünftig besser vor den Gefahren des Internets zu schützen!

Ein generelle Herstellerhaftung ist nur ein schöner Traum! Kein (Marken)Hersteller würde könnte es mehr wagen seine Produkte auf den Markt zu bringen, wenn er für Sicherheistlücken voll haftbar gemacht würde bzw. werden könnte! Und die Chinaklitschen interessiert so etwas eh nicht. Da kann man sich höchtstens an den Importeur halten. Und das sind dann kleine GmbH's, wo es eh nichts zu holen gibt. Und wenn dadurch Arbeitsplätze gefährdet werden passiert eh nix weiter (siehe Diesel-Skandal)!

Leider findet die Diskussion hier am falschen Platz statt  .
Wir sind uns der Probleme ja durchaus bewusst und nutzen eine Firewall. Aber meine Frau hat sich bei mir mehrfach beschwert, weil einige Dinge im Netz gerade anfangs nicht richtig funktioniert haben (z.B. WhatsApp). Wenn ich Ihr dann erklärt habe, warum und weshalb eine Firewall sinnvoll ist kam nur Stirnrunzeln  . Schlussendlich habe ich Ihr Smartphone in das unregelmentierte Gast-WLAN gepackt, damit Sie endlich Ruhe gibt. Aber selbst jetzt, kommt bei jedem Problem dass Sie mit dem Phone sofort wieder die Frage nach der Firewall auf! 
Und genau so dürfte es bei der Mehrzahl der Leute aussehen. Hauptsache es funktioniert. Sicherheit ist egal, weil ich habe ja eh nichts zu verbergen. Wenn man denn versucht den Leuten zu erklären, dass es ja nicht nur um den eigenen Schutz geht, sondern auch darum die Anderen zu schützen (z.B. BOT-Netzwerke) -> völliges Unverständnis.

Gruß
Dirk

[fabian]

Ich verlinke mal da drauf: https://blog.fefe.de/?ts=a61464b3

[Oxygen61]

Hey hey,

Aber selbst jetzt, kommt bei jedem Problem dass Sie mit dem Phone sofort wieder die Frage nach der Firewall auf!

oh ja das kenne ich auch
Und dann heißt es immer "Früher hatte alles einfach so funktioniert".
Was mir aber dabei aufgefallen ist, ist das man alles langsam Schritt für Schritt angehen muss.
Man muss Verwandtschaften, Eltern, Freunde oder wen auch immer man "administriert" einfach nur genug Zeit geben sich damit vertraut zu machen. Menschen sind halt nun mal Gewohnheitstiere und schwerfällig

Sicherheit ist egal, weil ich habe ja eh nichts zu verbergen.

Oh ja das höre ich zu Genüge. Bei der Aussage möchte ich mich einfach nur noch überge....
Ich muss echt Anfangen das Zitat von Edward Snowden auswendig zu lernen.

"Some might say „I don’t care if they violate my privacy; I’ve got nothing to hide.“ Help them understand that they are misunderstanding the fundamental nature of human rights. [...]
But even if they could, help them think for a moment about what they’re saying. Arguing that you don’t care about the right to privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say.[...]"

Zugegebener Maßen richtet sich das an die Thematik der Privacy. Jedoch darf man Privacy und Security heutzutage nicht mehr von einander trennen. Meine Daten sind dann nicht länger mehr geschützt, wenn nicht genug für die Security getan wurde.
Am Ende bleibt das Problem bestehen:
Ich möchte nicht, dass jemand bei mir einbricht, ganz gleich ob Digital oder "Analog" in meine Haustür.

Ich verlinke mal da drauf: https://blog.fefe.de/?ts=a61464b3

Sehr sehr interessant. Aber vieles wusste man ja sowieso schon.

> Alexa schnorchelt nicht nur Bewohner der Wohnung ab,
> die möglicherweise zugestimmt haben können, sondern auch Gäste und Besucher.

Darüber hatte ich letztens auch diskutiert. Alexa kann in dem Sinne ja nicht ausgeschaltet werden, weil es ja jederzeit erkennen muss, wann jemand "Alexa" ruft. Demnach könnte man jetzt weiter spinnen, besonders im Hinblick auf die Apple Mikrofon Geschichte, die man zwar ausschalten konnte, jedoch intern noch weiter lief.
Wer sagt mir, dass Alexa nicht alles was aufgenommen wird nach "Schlüsselwörtern" filtert (wir wissen alle welche Key words gemeint sind) und im Falle von "Auffälligkeiten" die letzten Minuten des Gespräches an die zugehörigen Stellen verschickt?
Ich bin mir ziemlich sicher, dass das Teil in Zukunft in unser Leben integriert werden wird. Die Frage ist dann, wieviele der Menschen sich dieses Ding dann ins Netz stellen und den Zugriff zum Internet eben nicht vorher noch ausschalten per ACL?

> Überraschend (für mich jedenfalls) viele Leute machen sich Sorgen aus dem Medizin-Umfeld,
> denken über Dinge wie Insulinpumpen und Herzinfarkt-Warnwesten nach.
> Völlig zu Recht, versteht mich nicht falsch!

Deswegen nutze ich z.B. auch keine Insulinpumpen.
Die Teile sind zum Teil App gesteuert, per Bluetooth erreichbar und was weiß ich noch.
Da diskutier ich auch nicht mit irgendwelchen Ärzten.
Wie oft wollte man mir schon ein per Bluetooth gesteuertes Blutzucker Messgerät andrehen...
Oder das neuste vom Neusten bei den Insulinpumpen.

Aber das ist glaube ein anderes Thema...

Schöne Grüße
Oxy

[monstermania]

Als Fazit wird dann eine noch viel umfassender Überwachung des Internets gefordert werden, um uns 'Bürger' zukünftig besser vor den Gefahren des Internets zu schützen!

Boah,
dass es so schnell geht hätte ich denn dann doch nicht erwartet! 
https://m.heise.de/newsticker/meldung/IT-Sicherheit-Koalition-will-Deep-Packet-Inspection-und-Netzsperren-3685644.html

Aber, ist ja Alles nur zu unserem 'Schutz'. Nur, was wenn ich gar nicht 'geschützt' werden möchte!?
Ich könnte Kotzen!!!

Gruß
Dirk

[magicteddy]

Moin,

Was mir aber dabei aufgefallen ist, ist das man alles langsam Schritt für Schritt angehen muss.
Man muss Verwandtschaften, Eltern, Freunde oder wen auch immer man "administriert" einfach nur genug Zeit geben sich damit vertraut zu machen. Menschen sind halt nun mal Gewohnheitstiere und schwerfällig

Oder einfach Schützenhilfe aus einer Richtung bekommen die man nicht erwartet hat
Kumpel hatte eine recht offene WLan Policy, jeder Bekannte bekam Zugang. Somit hatten sich natürlich einige Leute mit Zugangsdaten angesammelt, natürlich auch Exfreunde der Töchter. Ich kann nur vermuten das einer die Trennung schwer verkraftet hat, Beweise gibt es nicht, war ja alles offen, jedenfalls waren etliche Daten seines Servers plötzlich gelöscht und natürlich gab es keine Backup. Jedenfalls ist sein Server seither dicht und er hat ein abgeschottetes Gäste-Wlan ohne Zugriff auf sein LAN. Ob es inzwischen ein Backup gibt?? Keine Ahnung.