Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Freitag, Oktober 4, 2019 15:37 - noch keine Kommentare
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand
Vorstellung auf der „it-sa 2019“ in Nürnberg
[datensicherheit.de, 04.10.2019] Die Sicherheit der Firmware für Komponenten im Internet der Dinge und Dienste (IoT-Firmware) wird offensichtlich nach wie vor stark vernachlässigt, obwohl nach Expertenschätzungen bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Die Analyseplattform „IoT Inspector“ soll nun Herstellern und Anwendern ein hilfreiches Werkzeug zur Verfügung stellen, um die Firmware von IoT-Geräten automatisiert auf potenzielle Schwachstellen und Sicherheitslücken zu untersuchen. „IoT Inspector“ soll auf der „it-sa“ vom 8. bis 10. Oktober 2019 am Partnerstand Nr. 316 bei Exclusive Networks in Halle 9 vorgestellt werden.
Automatisierte Erkennung von Schwachstellen in IoT-Geräten
Erst vor wenigen Wochen hat das Forscher-Team rund um den „IoT Inspector“ nach eigenen Angaben die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen können: Auf mehreren WLAN-Access-Points habe der automatisierte Scan einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort identifizieren können.
Diese Anmeldedaten könnten von Unbefugten dazu verwendet werden, sich in den FTP-Server des „Access Points“ einzuloggen und die gesamte WLAN-Konfiguration, d.h. alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.
Großteil gängiger Sicherheitslücken in IoT-Geräten vermeidbar
„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, sagt Rainer M. Richter, „Director Channel“ für den „IoT Inspector“. Dafür sei letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem „IoT Inspector“ nötig.
„Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise Zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwändiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout.“ Diese Rechnung sollten sich die Hersteller stets vor Augen halten, meint Richter.
Weitere Informationen zum Thema:
SEC Consult
HARDCODED FTP CREDENTIALS IN ZYXEL NWA/NAP/WAC WIRELESS ACCESS POINT SERIES
datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke
datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig / Kriminelle könnten Fotos verschlüsseln und Lösegeld erpressen
datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit
datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht
datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden
datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe
Theiners Talk
Kooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Neuer BSI-Standard 200-4 mit zahlreichen Neuerungen
- Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
- XDR vs. EDR – Ansätze zur Cybersicherheit
- Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades
- Kronos und GootKit: Malware-Kampagne attackiert Nutzer in Deutschland
- DarkMarket abgeschaltet: Reaktionen im Darknet
- Thema Impfstoff als Aufhänger für Cyber-Attacken
- Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
- Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert
- Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
Experten - Jan 19, 2021 13:03 - noch keine Kommentare
Neuer BSI-Standard 200-4 mit zahlreichen Neuerungen
weitere Beiträge in Experten
- Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung
- Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
- TERREG: Umstrittene EU-Anti-Terror-Internetverordnung angenommen
- BSI-Einladung zum 17. Deutschen IT-Sicherheitskongress
- eco warnt vor übereiltem Anti-Hass-Gesetz
Branche - Jan 19, 2021 10:41 - noch keine Kommentare
Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
weitere Beiträge in Branche
- XDR vs. EDR – Ansätze zur Cybersicherheit
- Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades
- DarkMarket abgeschaltet: Reaktionen im Darknet
- Thema Impfstoff als Aufhänger für Cyber-Attacken
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren