[datensicherheit.de, 14.03.2018] „Smarte“ Standard-Geräte wie Babyphones, Überwachungskameras, Türklingeln und Thermostate konnten von Cyber-Forschern der Ben-Gurion-Universität des Negev (BGU) nach eigenen Angaben problemlos übernommen werden. Im Rahmen ihrer laufenden Forschung zur Erkennung von Schwachstellen in Geräten und Netzwerken, wie sie sich im „Smart Home“ und „Internet of Things“ (IoT) verbreiten, haben die Forscher demnach viele gängige Geräte auseinandergenommen und im Zuge ihres „Reverse Engineering“ schnell ernsthafte Sicherheitsprobleme aufgedeckt.

Leichtes Spiel für kriminelle Machenschaften

„Es ist wirklich beängstigend, wie leicht ein Krimineller, Voyeur oder Pädophiler diese Geräte übernehmen kann“, berichtet Dr. Yossi Oren, Dozent an der BGU-Abteilung für Software- und Informationssystemtechnik und Leiter des Implementation Security and Side-Channel Attacks Lab bei „Cyber@BGU“.
„Mit diesen Geräten in unserem Labor konnten wir laute Musik über einen Babyphon spielen, einen Thermostat ausschalten und eine Kamera aus der Ferne einschalten, sehr zur Sorge unserer Forscher, die selbst diese Produkte verwenden“, so Oren.
Es habe nur 30 Minuten gedauert, um Passwörter für die meisten Geräte zu finden, und einige von ihnen seien schon durch eine Google-Suche nach der Marke gefunden worden, erläutert Omer Shwartz, Doktorand und Mitarbeiter in Dr. Orens Labor: „Hacker können auf ein IoT-Gerät wie eine Kamera zugreifen und ein komplettes Netzwerk dieser ferngesteuerten Kameramodelle erstellen.“

Billigkeit geht zu oft vor Sicherheit

Die BGU-Forscher hätten mehrere Möglichkeiten entdeckt, wie Hacker von schlecht gesicherten Geräten profitieren könnten. So sei festgestellt worden, dass ähnliche Produkte unter verschiedenen Marken dieselben gemeinsamen Standardkennwörter verwendeten. Verbraucher und Unternehmen änderten Gerätekennwörter nur selten nach dem Kauf, so dass sie jahrelang mit bösartigem Code infiziert seien.
Sie konnten sich laut BGU auch an ganzen Wi-Fi-Netzwerken anmelden, indem sie einfach das in einem Gerät gespeicherte Passwort abriefen, um Netzwerkzugriff zu erhalten.
Oren drängt die Hersteller dazu, auf einfache, fest codierte Passwörter zu verzichten, Remote-Access-Funktionen zu deaktivieren und Informationen aus freigegebenen Ports zu erschweren, wie z.B. von einer Audiobuchse, die sich schon in anderen Studien von „Cyber@BGU“ als verwundbar erwiesen habe. „Es scheint oft wichtiger zu sein, IoT-Produkte zu einem attraktiven Preis auf den Markt zu bringen, als sie richtig zu sichern“, sagt er.

BGU-Tipps für IoT-Produktsicherheit:

Mit dem Ziel, Verbrauchern den Schutz intelligenter Heimgeräte zu vereinfachen, bieten die BGU-Forscher eine Reihe von Tipps, um IoT-Geräte, Familien und Unternehmen sicherer zu machen:

• Kaufen Sie IoT-Geräte nur von namhaften Herstellern und Anbietern.
• Vermeiden Sie den Erwerb gebrauchter IoT-Geräte (diese könnten bereits Malware installiert haben).
• Untersuchen Sie jedes Gerät online, um festzustellen, ob es ein Standardkennwort hat, und ändern Sie es vor der Installation.
• Verwenden Sie sichere Kennwörter mit mindestens 16 Buchstaben (diese sind schwer zu knacken).
• Mehrere Geräte sollten nicht dieselben Passwörter haben.
• Aktualisieren Sie regelmäßig die nur von namhaften Herstellern bezogene Software.
• Berücksichtigen Sie sorgfältig die Vorteile und Risiken der Verbindung eines Geräts mit dem Internet.

Preiswerte Geräte offenbaren komplexe Datensicherheitsherausforderungen

„Die zunehmende Popularität der IoT-Technologie birgt viele Vorteile, aber diese Flut neuer, innovativer und preiswerter Geräte offenbart komplexe Sicherheits- und Datenschutzherausforderungen“, warnt Yael Mathov, der ebenfalls an der Studie beteiligt war.
„Wir hoffen, dass unsere Ergebnisse die Hersteller stärker zur Rechenschaft ziehen und helfen, sowohl die Hersteller als auch die Verbraucher auf die Gefahren aufmerksam zu machen, die mit der weitverbreiteten Verwendung ungesicherter IoT-Geräte verbunden sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2018
Angreifer überwinden selbst Faradaysche Käfige und Luftstrecken

Springer Link, 26.01.2018
Opening Pandora’s Box: Effective Techniques for Reverse Engineering IoT Devices

datensicherheit.de, 08.11.2017
Studie: Cybersicherheit im Kontext von IoT und Operational Technology

datensicherheit.de, 06.10.2016
SANS Institute: Warnung vor IoT-Botnetzen

[datensicherheit.de, 08.02.2018] Selbst nach dem Prinzip des Faradayschen Käfigs geschützte Computerräume, welche eigentlich das Austreten elektromagnetischer Signale verhindern sollen, können jedoch nach neuen Erkenntnissen von „Cyber@BGU“-Forschern der Ben-Gurion-Universität des Negev kompromittiert werden, um hochsensible Daten abzufangen.

Magnetfeld der CPU im Visier

Eine Studie von Dr. Mordechai Guri, dem Leiter des Bereichs Forschung und Entwicklung bei „Cyber@BGU“, habe zum ersten Mal gezeigt, dass ein solcher „Faraday-Raum“ und ein nicht mit dem Internet verbundener, von einer Luftstrecke umgebener Computer anspruchsvolle Cyber-Angreifer nicht abschrecken wird:
Derartige Computer, welche für die höchst vertraulichen Daten eines Unternehmens verwendet werden, sind in einem hermetisch abgedichteten, nach dem Prinzip des Faradayschen Käfigs entkoppelten Raum oder Gehäuse untergebracht, um zu verhindern, dass elektromagnetische Signale austreten und von abhörenden Gegnern aus der Ferne abgefangen werden.
In zwei kürzlich veröffentlichten Berichten habe das Team nun aufgezeigt, wie Angreifer solche „Faraday-Gehäuse“ und Luftspalte umgehen können, um Daten von den am höchsten gesicherten Computern abzugreifen. Die „Odini-Methode“, benannt nach dem legendären Entfesselungs- und Zauberkünstler Harry Houdini, nutzt demnach hierzu das Magnetfeld, welches von einer zentralen Recheneinheit (CPU) eines Computers erzeugt wird, um selbst den sichersten Raum zu kompromittieren.

Cyber Security Labs @ Ben Gurion University auf YouTube, 07.02.2018

Niederfrequente magnetische Strahlung verbreitet sich durch die Luft

„Während ,Faraday-Räume‘ erfolgreich elektromagnetische Signale blockieren können, die von Computern ausgehen, verbreitet sich niederfrequente magnetische Strahlung durch die Luft und durchdringt Metallschilde in den Räumen“, erklärt Guri. Deshalb funktioniere ein Kompass immer noch in einem „Faraday-Raum“.
Angreifer könnten über diesem verdeckten „Magnetkanal“ vertrauliche Daten von praktisch jedem Desktop-PC, Server, Laptop, Embedded-System und anderen Geräten abfangen.

Cyber Security Labs @ Ben Gurion University auf YouTube, 07.02.2018

Smartphone mit Magnetsensor als „Datenstaubsauger“

In einer anderen dokumentierten Cyber-Attacke namens „Magneto“ haben die Forscher nach eigenen Angaben Malware-Tastatureingaben und Passwörter auf einem Computer mit Luftspalt genutzt, um Daten über den Magnetsensor an ein Smartphone in der Nähe zu übertragen.
Angreifer könnten diese durchgesickerten Daten auch dann abfangen, wenn ein Smartphone in einer „Faraday-Tasche“ versiegelt ist oder sich im „Flugmodus“ befindet, um eingehende und ausgehende Kommunikation zu verhindern.

Weitere Informationen zum Thema:

Air-Gap Research Page, By Dr. Mordechai Guri
ODINI (Magnetic)

Air-Gap Research Page, By Dr. Mordechai Guri
MAGNETO (Magnetic)

datensicherheit.de, 16.09.2017
Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht