Aktuelles, Branche - geschrieben von cp am Donnerstag, Juli 4, 2019 22:10 - noch keine Kommentare
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
[datensicherheit.de, 04.07.2019] Nach einem Bericht des IT-Magazins Techcrunch haben zwei Sicherheitsforscher Sicherheitslücken im Smart Home-System Zipato gefunden. Die Schwachstellen wurden zwar vom Hersteller behoben, werfen jedoch ein generelles Problem von Smart Home-Systemen auf. Denn die Forscher konnten den privaten SSH-Schlüssel des Hubs auf „root“ setzen und damit das Benutzerkonto mit der höchsten Zugriffsstufe von der Speicherkarte auf dem Gerät extrahieren. Letztlich kann jeder mit dem privaten SSH-Schlüssel auf das Smart Home- bzw. IoT-Gerät zugreifen, ohne einen Schlüssel zu benötigen. Darüber hinaus entdeckten sie, dass der private SSH-Schlüssel in jedem Hub, der an Kunden verkauft wurde, fest kodiert war – was jedes Smart Home mit dem gleichen Hub gefährdet.
Wenige Zeilen Code zum Verriegeln und Entsperren von „intelligenten“ Schlössern
Mit dem privaten Schlüssel luden die Forscher eine Datei von der Vorrichtung herunter, die verschlüsselte Passwörter für den Zugriff auf den Hub enthielt. Sie fanden heraus, dass der Smart Hub ein „pass-the-hash“-Authentifizierungssystem verwendet, bei dem das Klartextpasswort des Benutzers nicht bekannt sein muss, sondern nur die verschlüsselte Version. Indem sie das verschlüsselte Passwort nahmen und es an den intelligenten Hub weitergaben, konnten die Forscher das Gerät dazu bringen, zu denken, dass sie der Hauseigentümer waren. Alles, was ein Angreifer tun musste, war, einen Befehl zu senden, um das Schloss zum Öffnen oder Schließen anzuweisen. Mit nur wenigen Zeilen Code bauten die Forscher ein Skript, das ein intelligentes Schloss, das mit einem verwundbaren Smart Hub verbunden war, verriegelte und entsperrte.
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi
Kevin Bocek, VP Threat Intelligence & Security Strategy bei Venafi kommentiert: „Smart Home Controller, die überall die gleiche, fest programmierte SSH-Maschinenidentität verwenden, stellen ein massives Sicherheitsrisiko dar. In diesem Fall erhält ein Angreifer mit Zugriff auf die verschlüsselte Version des SSH-Schlüssels sofort Zugriff auf jedes Gerät; es ist wie der Gewinn eines Exploit-Jackpots. Es kann Angreifern buchstäblich die Möglichkeit geben, das betroffene Haus ‚freizuschalten‘“.
Problem allgegenwärtig
Man sollte meinen, dass dieses Risiko relativ ungewöhnlich wäre, aber wir haben die gleichen Probleme im Notfallsystem in den USA gesehen und wir wissen durch einen Vortrag von Sicherheitsforschern auf der Defcon, dass jede vierte Amazon-Wolke eine Hintertür mit SSH-Schlüsseln hat. Das Ausmaß ist enorm: Jedes IoT-Gerät, jeder Cloud-Service und jeder Container hat einen Schlüssel, den Cyber-Angreifer gerne nutzen.
Das Problem ist, dass die meisten Unternehmen die Risiken, die mit Maschinenidentitäten wie SSH-Schlüsseln verbunden sind, nicht verstehen; und wenn so etwas passiert, merken sie schnell, dass sie nicht über die richtigen Werkzeuge verfügen, die sie brauchen, um es zu lösen, zum Beispiel den schnellen und automatischen Austausch dieser Schlüssel.“
Weitere Informationen zum Thema:
datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten
datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger
datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle
datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten
Aktuelles, Experten - Juli 12, 2025 10:57 - noch keine Kommentare
Stärkung der Cybersicherheit in Bund und Ländern: BSI und Baden-Württemberg kooperieren
weitere Beiträge in Experten
- Leibniz-Center for Industrial Security: CISPA fokussiert auf Zukunft der Cybersicherheit
- KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
Aktuelles, Branche, Studien - Juli 12, 2025 10:44 - noch keine Kommentare
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe
weitere Beiträge in Branche
- Cyberabwehr: 74 Prozent der deutschen Unternehmen setzen bereits KI ein
- Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität
- Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
- Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung
- KI droht zur größten Cyberbedrohung zu werden
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren