IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand

Vorstellung auf der „it-sa 2019“ in Nürnberg

[datensicherheit.de, 04.10.2019] Die Sicherheit der Firmware für Komponenten im Internet der Dinge und Dienste (IoT-Firmware) wird offensichtlich nach wie vor stark vernachlässigt, obwohl nach Expertenschätzungen bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Die Analyseplattform „IoT Inspector“ soll nun Herstellern und Anwendern ein hilfreiches Werkzeug zur Verfügung stellen, um die Firmware von IoT-Geräten automatisiert auf potenzielle Schwachstellen und Sicherheitslücken zu untersuchen. „IoT Inspector“ soll auf der „it-sa“ vom 8. bis 10. Oktober 2019 am Partnerstand Nr. 316 bei Exclusive Networks in Halle 9 vorgestellt werden.

Automatisierte Erkennung von Schwachstellen in IoT-Geräten

Erst vor wenigen Wochen hat das Forscher-Team rund um den „IoT Inspector“ nach eigenen Angaben die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen können: Auf mehreren WLAN-Access-Points habe der automatisierte Scan einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort identifizieren können.
Diese Anmeldedaten könnten von Unbefugten dazu verwendet werden, sich in den FTP-Server des „Access Points“ einzuloggen und die gesamte WLAN-Konfiguration, d.h. alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.

Großteil gängiger Sicherheitslücken in IoT-Geräten vermeidbar

„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, sagt Rainer M. Richter, „Director Channel“ für den „IoT Inspector“. Dafür sei letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem „IoT Inspector“ nötig.
„Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise Zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwändiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout.“ Diese Rechnung sollten sich die Hersteller stets vor Augen halten, meint Richter.

Weitere Informationen zum Thema:

SEC Consult
HARDCODED FTP CREDENTIALS IN ZYXEL NWA/NAP/WAC WIRELESS ACCESS POINT SERIES

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke

datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig / Kriminelle könnten Fotos verschlüsseln und Lösegeld erpressen

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe