Hallo,
ich poste das hier mal ins Anfängerforum, da ich die Erfahrung gemacht habe, dass gerade Einsteiger solche Komponenten (günstig und einfach integrierbar) gerne nutzen, um ihr zu Hause "smart" zu machen. Viele von uns gehen ja grundsätzlich sehr kritisch mit Datenreichtum und Cloud-Diensten um. Dieses Beispiel (siehe Link unten) zeigt wieder einmal mit Bravour warum. Die hier eingesetzten Komponenten und die damit verbundene Plattform, sind mir hier im Forum schon das ein oder andere Mal begegnet.
Ausschnitt der Zusammenfassung (Sicherheitsforscher: Michael Steigerwald, VTRUST GmbH):
ZitatFür die dem Vortrag zu Grunde liegenden Tests wurden verschiedenste Glühbirnen und Steckdosen verschiedener Hersteller bestellt und untersucht. Dabei fiel sofort auf, dass sehr oft ein ESP8266 (sehr kostengünstiger 32-Bit-Mikrocontroller mit integriertem 802.11 b/g/n Wi-Fi) der chinesischen Firma espressif verwendet wird.
Weitere Untersuchungen zeigten, dass neben dem verwendeten WIFI-Modul, unabhängig vom aufgedruckten Hersteller der Smart-Devices, auch dieselbe Cloud, sowie die gleiche Basis-App eines chinesischen IoT-Modul-Herstellers verwendet wird.
Diese Basis-Plattform ermöglicht somit jedem weltweit in kürzester Zeit selbst zum Reseller von bereits fertigen Produkten, wie ,,Smart Bulbs" und ,,Smart Plugs" zu werden, oder seine ganz eigenen Smart-Devices auf den Markt zu bringen, auch ohne den Besitz tieferer technischer Kenntnisse bezüglich IoT oder IT-Sicherheit.
Die Analyse der "Smart"-Devices, die diese Basis-Plattform verwenden, ist allgemein erschreckend. Einfachste Sicherheitsregeln werden nicht befolgt und es gibt gravierende systematische und konzeptionelle Mängel, die stark zu Lasten der Sicherheit der Endanwender gehen. Aufgrund der einfachen Möglichkeit des Bezugs und Inverkehrbringens solcher Smart-Devices sind ganz neuartige kriminelle Konzepte denkbar, die auch ohne großes Experten-Hacker-Wissen in die Tat umgesetzt werden könnten.
Der Vortrag stellt die Funktionsweise der untersuchten smarten Geräte im Zusammenhang mit der verwendeten Basis-Plattform dar und zeigt das Ausmaß der Sicherheitslücken anhand diverser Angriffsszenarien.
Abschließend wird eine Lösung des Sicherheitsdilemmas bei der Verwendung betroffener Smart-Devices angeboten, welche die sichere Nutzung dieser Geräte im eigenen Zuhause, auch für Nichtexperten, möglich macht.
https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack (https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack)
Vielleicht hilft es ja den ein oder anderen...
Gruss
dmq
mal wieder sehr informativ zum Thema Sicherheit und Cloud....
Meine Devise: Es lässt sich mittlerweile nicht mehr in Gänze vermeiden, aber dort, wo es Alternativen gibt, nu ja keine Geräte mit WLAN-/LAN-Anbindung. Speziell bei simplen Schaltaktoren oder Sensoren gibt es genügend auch kostengünstige Kabel- oder Funklösungen.
Es gibt keinen Grund diese "einfachen" devices über dasselbe TCP-/IP-Netzwerk ins Smart-Home einzubinden, mit dem man sich in der großen weiten Welt bewegt, außer diesen schicken tollen klicki-bunti Apps, die man dann seinem persönlichen Umfeld an jedem Ort der Welt zeigen kann ::)
Grüße Markus
siehe dazu:
https://www.heise.de/newsticker/meldung/35C3-Ueber-die-smarte-Gluehbirne-das-Heimnetzwerk-hacken-4259891.html (https://www.heise.de/newsticker/meldung/35C3-Ueber-die-smarte-Gluehbirne-das-Heimnetzwerk-hacken-4259891.html)
Da geht es zunächst mal um einen Cloud-Angriff.
Der darüberhinaus geschilderte WLAN-Hack erschliesst sich mir noch nicht so richtig:
Der Hacker scheint mithilfe einer selbst geflashten Glühbirne und eines bekannten WLAN-Schlüssels die Kommunikation abgehört zu haben :-\
Das ist toll, aber nicht wirklich beunruhigend.
Zitat von: crusader am 29 Dezember 2018, 12:52:42
Das ist toll, aber nicht wirklich beunruhigend.
Ich finde es schon beunruhigend, wenn jemand nur ein Gerät aus dem Garten pflücken muss um an den WPA2-Key zu kommen. Die meisten Leute haben halt kein abgeschottetes IoT-Netz zu Hause, sondern haben Überwachungskameras, Notebooks, Smartphones und den Gaskamin in einem Netz. Und noch weniger Leute haben ein VPN nach Hause und sparen sich die lausigen Hersteller-Apps.
Zitat von: Christoph Morrison am 29 Dezember 2018, 13:00:26
Ich finde es schon beunruhigend, wenn jemand nur ein Gerät aus dem Garten pflücken muss um an den WPA2-Key zu kommen.
Ja, daran habe ich auch schon gedacht. Also besser keine WLAN-Geräte im Garten !
Ansonsten gilt:
Vorsicht, wenn eingebrochen wurde und nur die Glühbirnen fehlen !
Zitat von: crusader am 29 Dezember 2018, 13:12:22
Vorsicht, wenn eingebrochen wurde und nur die Glühbirnen fehlen !
Eher dumm gelaufen wenn jemand einfach das Wifi-Schloss an der Tür aufschließt und dann Schmuck, Autoschlüssel und Geld mitnimmt / dich mit deinen letzten Besuchen im virtuellen Rotlichtbezirk, wo du asiatische Ladyboys angeschaut hast, bei deiner Frau erpresst (https://en.wikipedia.org/wiki/Shut_Up_and_Dance_(Black_Mirror)). Viel Spaß beim Erklären.
Zitat von: Christoph Morrison am 29 Dezember 2018, 13:17:55
Eher dumm gelaufen wenn jemand einfach das Wifi-Schloss an der Tür aufschließt und dann Schmuck, Autoschlüssel und Geld mitnimmt / dich mit deinen letzten Besuchen im virtuellen Rotlichtbezirk, wo du asiatische Ladyboys angeschaut hast, bei deiner Frau erpresst (https://en.wikipedia.org/wiki/Shut_Up_and_Dance_(Black_Mirror)). Viel Spaß beim Erklären.
Du meinst also, diese gewieften Kriminellen brechen ins Haus ein, schrauben die Glühbirnen raus, um dann mithilfe des WLAN-Schlüssels mein Haustürschloss zu öffnen ?
Zitat von: Christoph Morrison am 29 Dezember 2018, 13:00:26
Ich finde es schon beunruhigend, wenn jemand nur ein Gerät aus dem Garten pflücken muss um an den WPA2-Key zu kommen.
Das ist das eine - in den meisten Fällen wird tatsächlich keine Segmentierung eingesetzt. Leider wäre das aber mit ziemlicher Sicherheit (ich glaube ich habe das in der Vergangenheit auch schon mal gemacht) mit tasmota, ESPurna und ESP-Easy möglich. Mit dem ESP32 ist Flash Encryption [1] möglich - mit dem ESP8266 soweit ich weiß nicht oder es müsste zumindest eigenständig in Software selbst implementiert werden, mit sehr begrenzten Ressourcen. Der ESP32 hat hierfür auch noch einen eigenen Chip.
Das andere ist aber, dass auch aus der Ferne ohne physischen Zugriff eine Software eingespielt werden kann (Zugriff über Cloud-Provider, Zugriff MitM [Ausnutzung bestehender Schwachstelle, logischer Zugriff Kabelnetz etc., Spoofing, ggf. CSRF]), um bspw. den WLAN-PSK zum Angreifer zu exfiltieren, oder um das Netzwerk auszukundschaften, oder, falls vorhanden, ein Mikrofon, Kamera o.ä. zu aktivieren. Zusätzlich gibt die Software ja auch physische Koordinaten her. Des Weiteren ist die Funktion des Gerätes nach wie vor gegeben - damit unauffällig.
Im Grunde genommen, war es schon klar, dass so etwas geht - hier wird nicht mit Software-Signaturen und Secure-Boot Verfahren die Authentizität und Integrität bewahrt. Dennoch ist es aber viel tauglicher, wenn sich mal jemand dahin setzt und es zeigt.
Maßnahmen:
- FOSS Software implementieren (kein Cloud-Backend)
- eigenständiges Netzwerk für die Komponenten (gerade im Aussenbereich), ggf. abseitig von IP-Netzen
- Alarmierung wenn nicht bekannte Geräte sich mit der SSID verbinden (arpalert etc.), die MAC kann dennoch natürlich vom Angreifer übernommen werden
- Firewallregeln (auf IP u. o. MAC-Basis), welche die Kommunikation in andere Netze unterbinden
In Summe sehr schwierig für die Allgemeinheit.
Ob das ganze reguliert werden müsste? Da schlagen zwei Herzen in meiner Brust. Sicherheit ist sehr teuer bei begrenzten Ressourcen, aber machbar - die Hersteller müssen aber auch ein Incentive sehen, um ihre Hard- und Software möglichst mit Security + Privacy by Design auszustatten. Bei espressif sehe ich da Entwicklung.
Zitat von: KölnSolar am 29 Dezember 2018, 11:09:33
Meine Devise: Es lässt sich mittlerweile nicht mehr in Gänze vermeiden, aber dort, wo es Alternativen gibt, nu ja keine Geräte mit WLAN-/LAN-Anbindung. Speziell bei simplen Schaltaktoren oder Sensoren gibt es genügend auch kostengünstige Kabel- oder Funklösungen.
Das ist schon richtig - so richtig glücklich hat mich hierbei aber auch noch nichts gemacht (Funk: Von unverschlüsselten 433, 868 MHZ Einrichtungen über HM, ZWave, Zigbee, Thread, BT, Lora, Moduino, ..., aber auch Kabel-basierte Systeme: KNX etc. haben in Grenzgebieten ihre Schwächen: man, bzw. der Angreifer, ist dann aber erst einmal nicht im IP-Netz - das stimmt). Insgesamt ist aber schon zu beobachten, dass es sich überall schleichend positiv entwickelt - aber leider viel zu schleichend. Und die Allgemeinheit nimmt sich das was günstig ist und in irgendeiner Weise ein Begriff - bspw. WLAN.
P.S: auch herrlich, vielleicht den meisten aber bereit bekannt, ist die IoT-Präsentation von fefe:
https://ptrace.fefe.de/iot/iot.html#0 (https://ptrace.fefe.de/iot/iot.html#0)
[1] https://docs.espressif.com/projects/esp-idf/en/latest/security/flash-encryption.html (https://docs.espressif.com/projects/esp-idf/en/latest/security/flash-encryption.html)
edit: 1428: Referenz
Zitat von: crusader am 29 Dezember 2018, 13:24:42
Du meinst also, diese gewieften Kriminellen brechen ins Haus ein, schrauben die Glühbirnen raus, um dann mithilfe des WLAN-Schlüssels mein Haustürschloss zu öffnen ?
Natürlich, denn all die "smarten" Wifi-
Outdoor-Steckdosen werden ausschließlich aufgrund ihres hohen Designfaktors und der unbedingt benötigen IP-Sicherheitsstufe im festverschlossenen heimischen Wohnzimmer eingesetzt und niemals, ich betone,
niemals im Garten wo Krethi und Plethi die Dinger einfach klauen könnten. Genauso wie niemals Leute mit recht ausgefeilter Funktechnik im Team Autos mit Keyless Go klauen (dafür gibt es auch keine Videos auf Youtube, versprochen) würden oder mit einem NFC-Scanner im Vorbeilaufen auf der Straße die Kreditkarten-Daten klauen würden (auch hier gibt es glücklicherweise keine extra reiß- und dämpfenden Umhängetaschen auf dem Markt).
Das Problem mit dir und den meisten Leuten ist, dass ihr null Phantasie habt und euch für den Mittelpunkt der Welt haltet, in dem sowas nicht vorkommt. Der Rest der (Welt-)Bevölkerung kauft dann halt entsprechende Umhängetaschen (https://www.amazon.de/s/ref=nb_sb_noss_2?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&url=search-alias%3Daps&field-keywords=rfid+tasche&rh=i%3Aaps%2Ck%3Arfid+tasche), packt seine(n) Autoschlüssel in eine dämpfende Box (https://www.amazon.de/s/ref=nb_sb_ss_sc_2_9?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&url=search-alias%3Daps&field-keywords=autoschl%C3%BCssel+schutz+keyless&sprefix=autschl%C3%BCs%2Caps%2C150&crid=3O7YG4I9ZHUYW&rh=i%3Aaps%2Ck%3Aautoschl%C3%BCssel+schutz+keyless), hat keine ranzigen Wifi-Devices für 20€ im Garten und baut sich Flammenwerfer unters Auto (ja, das war kein Spaß, sowas gibt's).
Zitat von: Christoph Morrison am 29 Dezember 2018, 13:47:01
Das Problem mit dir und den meisten Leuten ist, dass ihr null Phantasie habt und euch für den Mittelpunkt der Welt haltet, in dem sowas nicht vorkommt.
Nun wollen wir uns aber mal ein wenig zusammenreissen und zusammenfassen, was wir bisher gelernt haben:
A. Outdoor-Smarthome über WLAN stellt ein Problem dar und sollte grundsätzlich vermieden werden.
B. Cloud-Lösungen sind für den Anwender nicht kontrollierbar. Er ist vom Security-Level des Anbieters abhängig.
C. Angriffs-Szenarios, bei denen physikalischer Zugriff auf ein Gerät (hinter verschlossenen Türen) notwendig ist, sind nicht wirklich beunruhigend, weil der Einbrecher den WLAN-Schlüssel einfacher auf der Rückseite des Routers ablesen kann ::)
D. Keyless Car, Flammenwerfer und asiatische Ladyboys sind nicht das Thema dieses Threads
Ich sehe es aus meinem näheren Umfeld einfach so, dass die meisten Menschen sich wenig bis gar nicht für die Technik interessieren.
Leider oder für die glücklicherweise ist den meisten davon bisher nichts passiert.
Im Umkehrschluss wird man als technisch interessierter Mensch, der sich auch kritisch damit auseinander setzt, schnell belächelt und irgendwo zwischen Nerd und Spinner eingruppiert.
Die einen man z.B. mit Verweis auf solche Vorträge sensibilisieren;
die anderen belächelt man halt später selber. 😁
ZitatC. Angriffs-Szenarios, bei denen physikalischer Zugriff auf ein Gerät (hinter verschlossenen Türen) notwendig ist, sind nicht wirklich beunruhigend, weil der Einbrecher den WLAN-Schlüssel einfacher auf der Rückseite des Routers ablesen kann ::)
naja.
viel beunruhigender fand ich im vortrag die beschreibung des gesamten "organismus" hinter den billig wlan tools.
der trojaner könnte auch bereits von anfang an im gerät sein, oder wird nach der erstinstallation schnell nachgeladen. einmal ins eigene wlan eigewählt .... schon ist es passiert. ;)
Zitat von: frank am 29 Dezember 2018, 22:40:31
naja.
viel beunruhigender fand ich im vortrag die beschreibung des gesamten "organismus" hinter den billig wlan tools.
der trojaner könnte auch bereits von anfang an im gerät sein, oder wird nach der erstinstallation schnell nachgeladen. einmal ins eigene wlan eigewählt .... schon ist es passiert. ;)
Klar, das fällt ja unter Kategorie
B. Cloud-Lösungen sind für den Anwender nicht kontrollierbar. Er ist vom Security-Level des Anbieters abhängig.
Beunruhigend ist aber noch etwas völlig anderes:
Der "Hacker", der diese Bedrohung 'entdeckt' hat, ist Geschäftsführer eines Unternehmens, welches in Kürze - na was wohl - Produkte zur Absicherung von Smarthome-Installationen anbieten wird.
https://www.vtrust.de/#project (https://www.vtrust.de/#project)
In Zukunft werden wir also wohl von zwei Seiten bedroht:
- den bösen Hackern, die Smarthome-Schwachstellen erforschen (und anwenden), um Lösegeld von uns zu erpressen
- den guten Hackern, die Smarthome-Schwachstellen erforschen (und veröffentlichen), um uns ihre Produkte zu verkaufen
Moin zusammen,
ich fand den beitrag auch sehr interessant. Insbesondere weil es sich bei dem ungenannten Cloud-Anbieter um Tuya handelt, deren Devices hier ja auch gerne behandelt werden (Obi-Steckdosen, etc.)
Und klar, der Mann ist Unternehmer und will auch was verkaufen. Ist ja auch nichts schlimmes. Als Hersteller darf er dann seine Produkte von anderen zerpflücken lassen.
Ich finde es aber erstmal grundsätzlich gut, wenn beim arglosen User ein Sicherheitsbewusstsein geschaffen wird. Und da es das Ding in die Nachrichten geschafft hatte, ist das umso mehr gut.
Ansonsten bin ich der Meinung, dass die meisten IoT-Devices nicht in die Hände und Wohnungen/Büros vom Menschen gehören, die insbesondere von Netzwerktechnik und Netzwerksicherheit keine Ahnung haben. Die Risiken die entstehen sind für den durchschnittlichen User einfach nicht zu verstehen, geschweige denn abzusichern.
VG
Jan