Viren, Spyware, Datenschutz 11.021 Themen, 91.073 Beiträge

News: Riskante Home-Entertainment-Systeme

Sicherheitsevangelist hat eigenes Wohnzimmer gehackt

Michael Nickles / 5 Antworten / Baumansicht Nickles

Der Sicherheitsevangelist David Jacoby von Kaspersky hat mit seiner eigenen Unterhaltungselektronik-Ausstattung im Wohnzimmer einen Selbsttest durchgeführt und ist zu einem erschreckenden Ergebnis gekommen.

Vor allem bei Home-Entertainment-Systeme mit Internetverbindung scheint es zahlreiche Sicherheitsrisiken zu geben. Schuld daran seien Schwachstellen in der Software, fehlende Sicherheitsvorkehrungen, unsichere Passwörter und unverschlüsselte Kommunikation.

Hat eigenes Wohnzimmer gehackt: Sicherheitsevangelist David Jacoby. (Foto: Kaspersky)

Jacoby hat bei seinem Selbstversuch zwei NAS-Speicher-Systeme unterschiedlicher Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker rangenommen.

Allein die Speicher-Systeme zeigten 14 Sicherheitslücken, das Smart-TV-Gerät hatte eine und beim Router gab es zahlreiche versteckte Remote-Control-Möglichkeiten.

Hier die entdeckten Risiken im Einzelnen:

NAS-Speicher gibt Passwörter preis: Die Sicherheitslücken bei den NAS-Speichern wurden am fatalsten eingestuft. Angreifer können sie aus der Ferne kompromittieren und eigenen Code mit Administratorenrechten ausführen. Weiter waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert.

Bei einem Gerät bestand das voreingestellte Administratorpasswort aus lediglich einer einzigen Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen. Durch Ausnutzung einer Software-Schwachstelle konnte Jacoby eigene Dateien in einen Speicherbereich laden, der normalerweise für die Anwender nicht zugänglich ist. So ist eine Infizierung des NAS-Speichers denkbar, die ihn gar für DDoS-Attacken eines Botnetzes tauglich macht.

Man-in-the-middle im Smart-TV: Der untersuchte Smart-TV kommunizierte unverschlüsselt über das Internet mit den Servern des Geräteherstellers. Das öffnet die Tür für potenzielle Man-in-the-middle-Attacken, bei denen sich ein Angreifer zwischen Smart-TV und Hersteller schaltet. Bei Nutzung des Geräts für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Erschwert wird das Sicherheitsproblem des Fernsehers noch dadurch, dass er auch Java-Code ausführen kann. In Kombination mit dem Abfangen des Datenverkehrs zwischen Fernseher und Internet können so Exploit-basierte Attacken durchgeführt werden.

Router mit Spionage-Qualitäten: Im überprüften DSL-Router fanden sich zahlreiche  versteckte Features. Einige davon geben dem Internet Service Provider (ISP) Zugriff auf jedes Gerät im Heimnetzwerk. Jacoby fand in der Internetschnittstelle seines Router Funktionen wie „Web Cameras“, „Telephony Expert Configure“, „Access Control“, „WAN-Sensing“ und „Update“. Diese "Spionagefunktionen" wurden von den Netzanbietern eingebaut um beispielsweise technische Probleme per Fernwartung lösen zu können. In der Praxis stellen sie natürlich Sicherheitsrisiken dar.

David Jacoby erhebt schwere Vorwürfe an die Gerätehersteller, unter anderem wegen der Lebensdauer der Geräte. Aus Gesprächen mit Herstellern wisse er, dass einige keine Sicherheits-Updates mehr zur Verfügung stellen, sobald eine neue Gerätegeneration auf den Markt kommt. Bei NAS sei das zum Beispiel alle ein oder zwei Jahre der Fall, die Speicher werden jedoch viel länger genutzt.

Die komplette Studie von David Jacoby findet sich hier: Internet of Things: How I Hacked My Home

Security-Tipps für internetfähige Geräte: Die Sicherheitsexperten empfehlen folgende Maßnahmen um internetfähige Geräte besser vor Angriffen zu schützen:

-  alle Geräte immer mit den neuesten Sicherheits- und Firmware-Updates versehen

-  voreingestellte Benutzernamen und Passwörter durch sichere Kennwörter ersetzen

-  alle Möglichkeiten nutzen, den Netzwerk-Zugriff auf die Geräte einzuschränken. So benötigt etwa ein Drucker keinen Zugriff auf ein TV-Gerät. Möglich ist das über unterschiedliche Netzwerksegmente (DMZ) oder VLAN, mit dessen Hilfe das physikalische Netz logisch separiert werden kann.

Michael Nickles meint:

Ein bisschen getrickst hat Kaspersky bei dieser Mitteilung schon. Sie wurde halt anlässlich der kommenden IFA in Berlin (5. bis 10. September) rausgelassen, bei der auch viele neue Internet-taugliche Unterhaltungselektronikgeräte vorgestellt werden.

Der Großteil der im Selbstversuch entdeckten Risiken stammt nicht von typischer Wohnzimmerelektronik sondern aus dem Computerbereich. Andererseits werden diese Computerteile aber halt immer mehr auch vom Wohnzimmer aus genutzt. Wie kürzlich schon kommentiert: das mit dem "Internet der Dinge" wird noch sehr lustig.

Es ist übrigens sehr interessant, die Studie von David Jacoby im englischen Originaltext zu lesen. Dort wird detailliert und bebildert erklärt, wie die Hacks durchgeführt wurden.

bei Antwort benachrichtigen
mike_2006 Michael Nickles

„Sicherheitsevangelist hat eigenes Wohnzimmer gehackt“

Optionen

Zugestimmt! Bin zwar kein Experte was die Sicherheit in Netzwerken angeht, probiere aber auch gerne mal die ein oder anderen Sachen mit meinen Geräten aus. Dabei bekommt man leider den Eindruck, dass viele Sicherheitsmechanismen lediglich darauf ausgelegt sind, Sicherheit zu suggerieren. Bin damals fast vom Hocker gefallen, als ich gesehen habe, dass meine IPCam ihr Bild gänzlich ohne Passwortabfrage streamt - sofern man sich den Link hierzu notiert. Hat sich dabei nicht um einen Einzelfall gehandelt.

Grottige Firmwares und fehlende Updates bei verschiedensten Geräte- sowie Preisklassen - wer mehr weiß kann sich zumeist nur mehr aufregen. Denn eine Sache bekommen die meisten Hersteller recht effizient hin: Ihre Geräte gegen das Aufspielen von Fremdfirmware abzusichern bzw. den technisch versiert(er)en Nutzern den vollen Zugriff auf ihre Geräte via ssh oder telnet zu verwehren.

Habe mir zuletzt einen mobilen 3G-Hotspot geholt, welcher sich auf dem Papier nicht von anderen Geräten unterschieden hat - aber er sah halt schicker aus. Interessanterweise hat der Hersteller dabei den LAN-Seitigen Telnetport des Geräts offen gelassen - vielleicht war dies einfach nur ein versehen. Angemeldet und festgestellt, dass es sich in der Tat um den vollen Zugriff auf das Gerät handelt. Eine der Funktionen, welche auf keiner Produktbeschreibung und in keinem Forum zu finden war. Wer sich auskennt kann hier leicht die Architektur herausbekommen und das Gerät frisieren - beispielsweise um es sicherer zu machen.

Unter'm Strich bleibt für mich nur eine Frage - Wäre es sinnvoll, auf regulatorischer Seite einzugreifen und Gerätehersteller rechtlich dazu zu verpflichten, ihre Geräte auf einem gewissen Zeithorizont mit Sicherheitsupdates zu versorgen und/oder nach Ablauf der Supportfrist eine, wie oben beschrieben, "offene" Firmwareversion zu veröffentlichen?

bei Antwort benachrichtigen
Michael Nickles mike_2006

„Zugestimmt! Bin zwar kein Experte was die Sicherheit in ...“

Optionen
Wäre es sinnvoll, auf regulatorischer Seite einzugreifen und Gerätehersteller rechtlich dazu zu verpflichten

Es wäre durchaus sinnvoll, das bei bestimmten Geräteklassen für eine gewisse Zeit verpflichtend zu machen. Auf jeden Fall sollten die Hersteller "heikler Geräte" dazu gezwungen werden, eine Art "Mindesthaltbarkeitsdatum" anzugeben.

Man stelle sich mal jemanden vor, der ein neues  NAS kauft und gar nicht weiß, dass das Ding bereits ein älteres Modell ist, das demnächst durch eine neue Baureihe ersetzt wird. Klar gibt es auch für "ältere Modelle" ab Kaufdatum die typischen 2 Jahre Gewährleistung - die umfasst aber bekanntlich nur die Hardware und keine Firmware-Aktualsierungen im Fall von Sicherheitslücken.

Eine Verpflichtung zu "offener Firmware-Version" halte ich für kaum durchsetzbar.

Grüße.
Mike

bei Antwort benachrichtigen
BastetFurry Michael Nickles

„Es wäre durchaus sinnvoll, das bei bestimmten ...“

Optionen
Eine Verpflichtung zu "offener Firmware-Version" halte ich für kaum durchsetzbar.

Doch, das würde gehen. Der normale Abschreibungszeitraum eines Gerätes beträgt 5 Jahre. Wenn man jetzt die Hersteller verpflichtet 5 Jahre lang für ihre Firmware Sicherheitsaktualisierungen zu veröffentlichen und sie aus dieser Verpflichtung nur raus kommen wenn sie den Quellcode veröffentlichen und nicht extra das Gerät gegen Homebrew absichern, wie es ja gerne mal gemacht wird, dann kann das was werden.

Dann überlegt sich das so ein Hersteller ob er jetzt 5 Jahre seiner Hardware hinterher rennt, sich damit arrangiert und sogar ausnutzt in dem er eine Community drum herum wachsen lässt oder einfach der Community sagt "Macht euren Scheiß doch alleine..." und ihr zumindest den Code vor die Füße wirft.

bei Antwort benachrichtigen
Maybe Michael Nickles

„Sicherheitsevangelist hat eigenes Wohnzimmer gehackt“

Optionen

Moin,

die Studie sehe ich skeptisch, denn um vom Internet aus auf die Geräte zugreifen zu können, muss dieser Zugang zunächst einmal eingerichtet sein.

Bei Geräten wie Smart-TVs oder DVB-S-Receivern, bei denen man softwareseitig nicht viele Einstellungen machen kann, kann ich mir das durchaus denken.

Auch bei Fritzboxen mögen Provider wie 1und1 oder auch AVM per Fernwartung zugreifen können und das kann natürlich auch missbraucht evtl. werden.

Bei meiner IP-Cam war seltsamerweise sogar ein chinesischer DDNS-Dienst eingetragen und aktiviert.

Was aber NAS angeht, so muss der Nutzer in der Regel zunächst einmal die Verbindung zum Internet aktivieren, z.B. per FTP/SFTP und DDNS. Und auch dann gibt es immer noch Zugriffsberechtigungen, sofern korrekt eingerichtet.

Bei einigen Geräten mag es somit durchaus die Voreinstellung sein, die unsicher ist. An erster Stelle ist es aber immer noch die Naivität der Nutzer.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Beeper Maybe

„Moin, die Studie sehe ich skeptisch, denn um vom Internet ...“

Optionen

Stimmt,

Ich verwende bei meinem NAS das sogenannte Geo-IP Security Feature und erlaube nur noch den Zugriff auf die NAS Box aus dem eigenen Land. Klar kann ein Angreifer nun Attacken über einen Proxy Server im eigenen Land ausführen, aber dies ist schon wieder einen Schritt aufwendiger. Seit ich Geo-IP nutze habe ich jedenfalls keine Hack Versuche mehr aus allen möglichen Ländern, besonders China, Afrika und Russland. (Bei mir werden IP Adressen welche mehr als 3 falsche Login Versuche machen automatisch geblockt und geloggt)

Ausserdem sollte man die Firmware updates immer auf dem neusten Stand halten. Bei Synology NAS gibt es z.b. monatlich Sicherheitsupdates welche die Box sogar via E-mail meldet und das über einen Zeitraum von 5 Jahren. Was will man mehr!

Gruss

Beeper

bei Antwort benachrichtigen