18.05.2020

1

Cybersicherheit in Zeiten von “internet of things” und “smart home”

Reiner Creutzburg, Franziska Schwarz, Klaus Schwarz

TH Brandenburg, FB Informatik und MedienIT- und Medienforensiklabor

Magdeburger Str. 5014770 Brandenburg an der Havelcreutzburg@th-brandenburg.de

Leibniz-Sozietät, Plenum, 14.05.2020

• Einleitung, Motivation • Entwicklung Internet, IoT, Smart Home, Anwendungen

• Konzeption der Analysemethodik• NIST, OWASP, DSGVO • Smart Home Sicherheits‐ und Datenschutzbewertungszyklus 

• Zusammenfassung, Ausblick • Diskussion

Inhalt

5/18/20202

18.05.2020

2

3Quelle: Intel

4

18.05.2020

3

5

6

18.05.2020

4

Das Internet der Dinge beschreibt die Verknüpfung klar identifizierbarer physischer Objekte (Dinge) als virtuelle Darstellung im Internet.

Motivation

5/18/2020

Smart Home ist ein Oberbegriff für technische Prozesse und Systeme in Wohnräumen und Häusern, die sich auf die Verbesserung der Lebensqualität, Sicherheit und effizienten Energienutzung auf Basis vernetzter und ferngesteuerter Geräte und Anlagen sowie automatisierter Prozesse.

7

Internet der Dinge (Internet of Things)

8Quelle: Accenture

18.05.2020

5

9

IoT-Markt

10

18.05.2020

6

11

IoT-Landschaft

12

18.05.2020

7

Top 10 IoT-Unternehmen

13

14Quelle: ETSI

18.05.2020

8

15Quelle: McKinsey&Company

16

18.05.2020

9

17

18

18.05.2020

10

19

Internet der Dinge - Smarter Kühlschrank

20Quelle: David Becker/ AFP

18.05.2020

11

Botnet

Experten der auf Sicherheitslösungen spezialisierten Firma 

Proofpoint haben jetzt dokumentiert, was wohl als erste großangelegte Cyberattacke mit Hilfe vernetzter Haushaltsgeräte und Unterhaltungselektronik gelten darf. Dem Unternehmen zufolge waren die Geräte Teil eines Botnets, das zwischen dem 23. Dezember 2013 und dem 6. Januar 2014 mehr als 750.000 SpamE‐Mails verschickt hat. Insgesamt seien mehr als 100.000 Heimnetz‐Router, MultimediaPlayer, SmartTVs und sogar ein smarter Kühlschrank an der SpamWelle beteiligt gewesen. Damit stellten Haushaltsgeräte ein Viertel aller für die Aktion missbrauchten Geräte, den Rest erledigten herkömmliche Computer und Router. 

(Spiegel Online 17.01.2014)

21

22

Cybercrime –www.hackmageddon.com

18.05.2020

12

23

Cybercrime – www.hackmageddon.com

24

18.05.2020

13

25

Suchmaschine Shodan

25

26

18.05.2020

14

Industrial Control Systems (ICS)• Beispiele von ICS:

– Steuerung der Klimaanlagen in einem Bürogebäude

– Steuerung der Turbinen in einem Kraftwerk– Beleuchtung in einem Theater, Kino – Industrieroboter– …..

27

Shodan - Industrial Control Systems

28

18.05.2020

15

Industrial Risk Assessment Map (IRAM)

29

SCADACS.org (FU Berlin)

Kritische Infrastruktur• Energieversorger• Wasserversorger• Atomkraftwerke• Krankenhäuser• Banken• Verkehrssteuerung• Provider (ISP)• Chemiewerke• ……..

30

18.05.2020

16

Architektur der Smart City

31Quelle: IEEE Wireless Communications • December 2018

Smart Home

32Quelle: CEPro

18.05.2020

17

Smarte Beleuchtung

33Quelle: OSRAM

Smarte Beleuchtung

34Quelle: Phillips

18.05.2020

18

Steuerung intelligenter Lampen

35Quelle: Phillips

Steuerung intelligenter Lampen

36Quelle: Mibery Wi‐Fi Light Bulb

18.05.2020

19

IoT im Außenbereich

37Quelle: OBI

Sicherheit im Smart Home

38Quelle: ISACA

18.05.2020

20

Sicherheits‐ und Datenschutzuntersuchung 

• Wi‐Fi verbundene und

• App‐gesteuerte

• IoT‐basierte 

• Smart Home Geräte

Differenzierung

5/18/2020

IoTSmart Home

Wifi+

app

39

Sicherheitsaspekte / Schutzziele nach DSGVO:

(ISO/IEC‐27000, IT‐Grundschutz Katalog)

• Vertraulichkeit 

• Integrität 

• Verfügbarkeit

DSGVO

40

18.05.2020

21

Analysemethodik

41

IoT und Smart Home Security Labor an der TH Brandenburg

42

18.05.2020

22

IoT und Smart Home Security Labor an der TH Brandenburg

43

IoT und Smart Home Security Labor an der TH Brandenburg

44

18.05.2020

23

Konventionell vs. Smart

45Quelle: ilumiQuelle: OSRAM

Konventionell vs. Smart

46Quelle: ilumiQuelle: OSRAM

18.05.2020

24

Innenleben einer smarten Glühlampe

47Quelle: openenergymonitor.org

Innenleben einer smarten Glühlampe

48Quelle: Richard Baguley hackaday.com

18.05.2020

25

Innenleben einer smarten Glühlampe

WLAN

Mikrocontroller

LEDs

Antenne

Speicher

vollständiger Computer !49Quelle: Richard Baguley hackaday.com

Innenleben einer smarten Glühlampe

50Quelle: limitedresults.com

18.05.2020

26

Auslesen der Firmware

51Quelle: satoshinakamotoblog.com

Pin Datenblatt (zu finden im Internet)

52Quelle: Espressive

18.05.2020

27

Espressif (Shenzhen, China)

53

Schaltbild Mikrocontroller (ESP32)

54

18.05.2020

28

Untersuchte Smart Home Geräte

Verkauft in Deutschland (Mediamarkt, Amazon, Saturn,…)

Hergestellt in China

Kann von jedem technisch Interessierten ausgelesen und gehackt werden 

55

Weltmarkt Smarte Lampen

2013 – 2,4 Mio.2020 – 100 Mio. 

Weltweite enorme Bedrohung durch chinesische Technologie für Sicherheit und Privatsphäre  

56

18.05.2020

29

Auslesen der Firmware von Smart Home Geräten

57

Werkzeuge

5/18/2020

esptool.py• Open Source, plattformunabhängig• firmwaredump (interner Speicher des images) der untersuchten Geräte• entsteht Binärdatei, diese wird in Hexeditor umgewandelt und kann

ausgewertet werden• z.B. Auslesen des WLAN-Passworts und Standortkoordinaten in

Klartext

• tatsächlich ist es möglich, ein Sicherungsbit im Chip zu zerstören, was das Auslesen der Firmware verhindert

• --> beispielhafter Nachweis, dass es keine Sicherheit auf dem Geräteseite gibt

18.05.2020

30

Darkstat

• ist eine Software, die den Netzwerkverkehr aufzeichnet und zum Generieren von Statistiken verwendet wird

Tuyadump

• Programm zur Kommunikationsextraktion

Wireshark

• Netzwerk‐Sniffer zur Vorbereitung und Auswertung von Datenprotokollen

IDA

• Programm zur Erstellung von Sequenzdiagrammen

Werkzeuge

59

Firmware-Analyse (esptool.py)

60

18.05.2020

31

Unverschlüsselte Passwörter in der Firmware

61

Unverschlüsselte Standortdaten

62

18.05.2020

32

Unverschlüsselte Standortdaten

63

Statistiken mit Analysetool Darkstat

64

18.05.2020

33

Analyse Netzwerkverkehr

65

Cloud-Kommunikation der Smart Home Geräte

66

18.05.2020

34

demo

67

Risiken

5/18/202068

18.05.2020

35

Entsorgung von Smarten Lampen

69Quelle: Luminea

5/18/2020

18.05.2020

36

Angriffe auf Smart Home

71Quelle: scottschober.com

IoT-Risiken

72Quelle: helpnetsecurity.com

18.05.2020

37

Schwachstellen im Smart Home

73Quelle: pcmag.com

Angriff auf smarten Staubsauger

74Quelle: Check Point

18.05.2020

38

Smartes Türschloss

75Quelle: Ultraloq

Smartes Türschloss –Vor- und Nachteile

76

18.05.2020

39

Auswirkungen von Angriffen

77Quelle: anixter.com

78

18.05.2020

40

NIST - National Institute of Standards and Technology (USA)

5/18/2020

• Bundesbehörde der Vereinigten Staaten von Amerika

• Teil der technologischen Verwaltung des Handelsministeriums

• Standardisierungsprozesse• Veröffentlichungen zu einem breiten

Themenspektrum• "Überlegungen zur Verwaltung von

Internet of Things (IoT) Cybersicherheit und Datenschutzrisiken"

79

OWASP - Open Web Application Security Project™ (USA)

5/18/2020

• Non-Profit-Organisation, die sich dafür einsetzt, das Internet sicherer zu machen

• Das Projekt veröffentlicht regelmäßig Informationen und Tools, die es interessierten Parteien ermöglichen, Sicherheitsrisiken in Software zu definieren

80

18.05.2020

41

OWASP Prüfanleitung

81

82

18.05.2020

42

Smart Home Lebenszyklus

Planung und 

BeschaffungBereitstellung, 

Einsatz

BetriebUpgrade

Entsorgung

83

IoT- und Smart Home Sicherheits-und Datenschutz-EvaluierungszyklusCheckliste (170 Fragen, 31 Seiten pro Gerät)

5/18/202084

18.05.2020

43

Checkliste(Seite 1 von 31)

85

Checkliste(Kurzfassung)

5/18/202086

18.05.2020

44

Gibt es eine sichere Lösung?• IoT Geräte = komplexe Computersysteme • haben einen umfangreichen Lebenszyklus

Checkliste hilft! • Risiko des IoT-Geräts verstehen• Anpassung von Prozessen vornehmen

- Gerät in separatem Netzwerk betreiben- sparsam mit Preisgabe persönlicher

Daten umgehen • Risikominderungsmaßnahmen ergreifen

- eigene Firmware implementieren (erfordert Fachkenntnis)- Cloud umgehen (Anleitungen im Internet)- Geräte bevorzugen, die ohne Cloud kommunizieren

87

• Internet of Things (IoT)

• Künstliche Intelligenz 

• Intelligence of Things (IoT) 

Aktueller Trend

88

18.05.2020

45

89(Wikipedia)

DSGVO, IT-Sicherheitsgesetz –Erfahrungen, Konsequenzen

• Guter Schritt in die richtige Richtung!• Kritische Infrastrukturen MÜSSEN regelmäßig geprüft und zertifiziert werden

• Branchenspezifische Lösungen sind nötig

•ABER

90

18.05.2020

46

KonsequenzenWie brauchen viel mehr • Geld,• Planstellen• Manpower• Ausbildung, • Qualifizierung, Weiterbildung, um unsere kritischen Infrastrukturen zu schützen.

(gilt für alle Bundesbehörden, Landesbehörden, Verwaltungen, Unternehmen,…)

91

Zusammenfassung1.IoT wird den Markt für kleine und große

Unternehmen nivellieren2.Real-time on-the-ground Information wird

völlig neue Bewegungs- und Verhaltensmuster erkennen (Big Data)

3.Menschen werden die Kontrolle behalten4.Standardisierung wird zunehmend wichtig5.Sicherheit muss verstärkt bei allen neuen

Entwicklungen berücksichtigt werden6.Glänzende Zukunft / Berufschancen für

Safety / Security / Forensik, Datenschutz, Informatik

92

18.05.2020

47

[1]  Zhu, L., Zhang, Z., Xu, C.: Secure and Privacy‐Preserving Data Communication in Internet of Things. Springer 2017.

[2]  Kyas, O.: How to Smart Home. Key Concept Press 2015.

[3]  Dehghantanha, A., Choo, K.‐K. R.: Handbook of Big Data and IoT Security. Springer 2019.

[4]  Hu, F.: Security and Privacy in Internet of Things (IoT) ‐Models, Algorithms, and Implementations. CRC Press 2016.

[5]  Wurm, J., Hoang, K., Arias, O., Sadeghi, A., Jin,Y.: Security analysis on consumer and industrial IoT devices. 2016.

Bibliography

5/18/2020

93