Sicherheit im Internet der Dinge - Claussen-Simon-Stiftung · IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann 26 Informationen für Angreifer $ nmap -sV 192.168.178.23

Sicherheit im Internet der Dinge

Prof. Dr. Martin Münstermann

2IT-Infrastruktur - Vorbemerkungen | Prof. Dr. Martin Münstermann

© FOM Hochschule für Oekonomie und Management

gemeinnützige Gesellschaft mbH (FOM), Leimkugelstraße 6, 45141 Essen

Dieses Werk ist urheberrechtlich geschützt und nur für den persönlichen Gebrauch im Rahmen der

Veranstaltungen der FOM bestimmt.

Die durch die Urheberschaft begründeten Rechte (u.a. Vervielfältigung, Verbreitung, Übersetzung,

Nachdruck) bleiben dem Urheber vorbehalten.

Das Werk oder Teile daraus dürfen nicht ohne schriftliche Genehmigung der FOM reproduziert oder

unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

Copyright

Sicherheitsmanagement / Einführung und Grundlegende Begriffe

Vorstellung

Prof. Dr. Martin Münstermann

Dozent an der FOM seit 2011

Vorher Lehrauftrag an der HAW Hamburg

Nebenberuflich selbständig im Bereich

Informationssicherheit

Sicherheitstests, PKI/Authentifizierung, Kryptographie

Software Engineering – Sichere Software

Data Science, Datenbanken

Vorher: Tätigkeit bei TC TrustCenter GmbH, Hamburg

Elektronische Zertifikate, PKI

▪ Elektronische Signatur

▪ Verschlüsselung

Gehörte seit 2010 zu Symantec, Betriebseinstellung in 2014

Prof. Dr. Martin Münstermann | Sicherheitsmanagement 01-Intro3

4IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann

Grundbegriffe der Informationssicherheit

▪ Sicherheits-Ziele

▪ Gefährdung

▪ Schwachstelle

▪ Sicherheits-Konzept

Internet der Dinge

▪ Beispiele

▪ Internet-Kamera

▪ Gefährdungen

▪ Live-Hack

Gliederung

Grundbegriffe der Informationssicherheit



Basis-Sicherheits-Ziele

6Prof. Dr. Martin Münstermann | Sicherheitsmanagement 01-Intro

Die klassischen 3 Sicherheits-Ziele

Vertraulichkeit (Confidentiality)

▪ Schutz gegen unberechtigten Zugriff Dritter auf Informationen

Integrität (Integrity)

▪ Schutz gegenüber Veränderung von Informationen

▪ Veränderung: unabsichtlich oder absichtlich

Verfügbarkeit (Availability)

▪ Ausfall eines IT-Systems kann Existenz-bedrohend sein.

Vertraulich-

keit

Integrität

Verfügbar-

keit


Beispiel: Liste mit den Noten Ihrer letzten Mathe-Klausur

▪ Gefährdung

Welches Interesse könnte ein möglicher Angreifer (z.B. Sie?!?) an der Liste

haben?

▪ Sicherheits-Ziele

Welche Sicherheits-Ziele sollte Ihr Lehrer für die Liste definieren?

Reihenfolge der Priorität?

▪ Sicherheits-Maßnahmen

Welche Maßnahmen sollten zum Erreichen der Ziele ergriffen werden?

Unterscheidung verschiedener Situationen

▪ Liste auf Papier (old school) vs. Elektronische Liste (→ Digitalisierung)

▪ Speicherung vs. Übertragung (z.B. ins Schulbüro)

Beispiel: Sicherheits-Konzept für Klausur-Noten


Sicherheits-Ziel:

(Priorität)

Vertraulichkeit Integrität Verfügbarkeit

Gefährdung Einsehen fremder

Noten

Manipulation von

Noten

Löschen der Liste

Maßnahme

Papier –

Speicherung

Safe Safe, Kopie Kopie der Liste

und/oder des

Safe-Schlüssels

Maßnahme

Papier –

Übertragung

Brief-Geheimnis,

Einschreiben

Brief-Geheimnis,

Einschreiben

Einschreiben,

eigener Bote

Maßnahme

digital –

Speicherung

Verschlüsselung Signatur,

Blockchain

Kopie (Backup)

Maßnahme

digital –

Übertragung

https (TLS) https (TLS) durch

Netzprotokolle

Arbeitsergebnis: Sicherheits-Konzept für Klausur-Noten


Sicherheits-Ziele

▪ … betreffen Informationen

▪ … unabhängig von der Art des Mediums

▪ … wichtig auf allen Ebenen der Verarbeitung

Speicherung, Übertragung, Verarbeitung

▪ … können durch unterschiedliche Maßnahmen erreicht werden

▪ Individuelle Festlegung notwendig, welche Sicherheits-Ziele wie wichtig sind!

Schwachstelle

▪ Etwas, durch das Sicherheits-Ziele verletzt werden können.

▪ Auf allen Ebenen der Verarbeitung möglich.

Sicherheits-Ziele / Schwachstelle

Sicherheits-Ziele teilweise in Konflikt/Konkurrenz zueinander.

Keine 100% Sicherheit!


Weitere Sicherheits-Ziele

10Prof. Dr. Martin Münstermann | Sicherheitsmanagement 01-Intro

Zurechenbarkeit (Accountability)

▪ Sehr wichtig im betrieblichen Umfeld!

▪ Nachweisbarkeit von Absender und Inhalt

Anonymität (Anonymity)

▪ Im privaten Umfeld

▪ Vgl. Datenschutz

Plus weitere Sicherheits-Ziele…

Zurechen-

barkeit

Anonymität

Internet der Dinge

Internet of Things – IoT



Quelle: Hamburger Abendblatt, 12.10.2018 - https://www.abendblatt.de/politik/article215544641/Attacken-auf-Alltagstechnik.html

Primärquelle: BSI Lagebericht 2018 - https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

https://www.abendblatt.de/politik/article215544641/Attacken-auf-Alltagstechnik.html

https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html


Was für Dinge?

Internet der Dinge


Was für Dinge?

Internet der Dinge

Sehr kleine Dinge

Sehr große Dinge

Lebens-wichtige Dinge



Internet-fähige Kameras

IP-Kameras

Arlo Baby

Internet-BabyphonAußenkamera

(Überwachung von

Haustür, Garage, …)

Abus TVAC19100A


IP-Kamera



Zugriff auf Kamera-Bild

☺

Lokaler

Zugriff



☺

☺

Lokaler

Zugriff

Zugriff aus

Internet



☺

☺

Lokaler

Zugriff

Zugriff aus

Internet

DSL-Router /

Firewall

Zugriff

verweigert!



☺

☺

Lokaler

Zugriff

Zugriff aus

Internet

UPnP / Port-

Weiterleitung


Daten geschützt?

„Außer mir kennt doch keiner die Adresse meiner Kamera!“

Shodan – IoT Suchmaschine

→ Besser ein starkes Passwort verwenden!


Shodan – IoT Suchmaschine

„Außer mir kennt doch keiner die Adresse meiner Kamera!“


Intelligente Dinge!

Unter der Haube vollständige Computer

Betriebssystem häufig ein abgespecktes Linux

Frei programmierbar

Wie spricht man das Ding als Computer an?

Sicherheitslücken beim Zugriff auf Kamera (Web-Oberfläche)

Wartungszugänge

Laufen i.d.R. unbeobachtet / ohne Benutzer-Eingriffe

Einfach nur Dinge?

„Das sind doch nur einfache Dinge!“


Informationen für Angreifer

$ nmap -sV 192.168.178.23

Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-03 13:56 CET

Nmap scan report for noname (192.168.178.23)

Host is up (0.013s latency).

Not shown: 997 closed ports

PORT STATE SERVICE VERSION

23/tcp open telnet BusyBox telnetd

81/tcp open http GoAhead WebServer

8600/tcp open tcpwrapped

Service detection performed. Please report any incorrect results at

https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 9.21 seconds

→ Informationen über offene Schnittstellen und Hersteller

→ telnet (= Wartungs-Zugang), http (= Web)


Shell-Zugriff

$ telnet 192.168.178.23

Trying 192.168.178.23...

Connected to 192.168.178.23.

Escape character is '^]'.

(none) login: root

Password:

BusyBox v1.12.1 (2012-11-16 09:58:14 CST) built-in shell (ash)

Enter 'help' for a list of built-in commands.

#

→ Zugriff auf den eingebetteten Computer mit umfassenden Rechten (root)


Ungeschützt bzw. „bekannte“ Standard-Passwörter

Kommunikation ungesichert

Weder verschlüsselt noch authentisiert

Software der Kamera („Firmware“ und Apps)

Häufig sehr alt

Sicherheits-technisch häufig mangelhaft

Kein funktionierender Update-Mechanismus

Problematik: Schwachstellen

→ Passwort kann abgehört werden.

→ Durch Angreifer ausnutzbare Schwachstellen

→ Selbst erkannte Schwachstellen bleiben bestehen.


Dinge als Waffe


Dinge als Waffe


Dinge als Waffe


Dinge als Waffe


Botnetz (virtuelle Armee)

Mirai Botnetz aus bis zu 500.000 IoT-Geräten („Dinge“) (2016)

▪ Gemeinsam gewaltige Last auf einzelne Ziele

Botnetzh

ttp

s://w

ww

.he

ise

.de

/security

/

→ Überlast

https://www.heise.de/security/


Mirai: Angriffe auf bekannte Passwörter

Liste von 62 (zwei-und-sechzig) Standard-Passwörtern

Bis zu 500.000 Geräte gekapert

Infizierte Geräte suchen selber nach Opfern

Neue, ungeschützt ins Internet gestellte Dinge werden innerhalb von

Minuten automatisch erkannt („gescannt“) und angegriffen.

Wie konnte das passieren?


Weitere Gefährdung:

IoT-Gerät als Hintertür bzw. Einfallstor ins eigene Netz

Weitere Gefährdung

UPnP / Port-

Weiterleitung


Benutzer

Standard- und leere Passwörter sofort ändern bzw. setzen!

Große Vorsicht bei Port-Freigaben!

UPnP deaktivieren bzw. deaktiviert lassen!

Nur geeignete Geräte vernetzen!

Beim Kauf auf Qualität achten!

▪ Nicht nur funktionale Qualität, auch Sicherheit!

Was tun?

Im Zweifel: Finger weg!


Hersteller

Produkte im Hinblick auf Sicherheit entwickeln.

Neue Herausforderung: Software-Sicherheit!

Datenschutz + Datensicherheit

Sichere Authentisierung von Benutzern

Sichere Update-Mechanismen

Gesetzgeber

Sicherheits-Anforderungen an Hersteller definieren

Haftungsregeln?

Was tun?

Cloud Security Alliance:

Future-proofing the Connected World:

13 Steps to Developing Secure IoT Products


BSI (2018): Die Lage der IT-Sicherheit in Deutschland

Speziell Abschnitt 1.3.4 – Smart Home und das Internet der Dinge


Heise Security


▪ DDoS-Attacke kappte zeitweilig Internetverbindung eines ganzen Landes

▪ DDoS-Attacke legt Twitter, Netflix, Paypal, Spotify und andere Dienste lahm

▪ Rekord-DDoS-Attacke mit 1,1 Terabit pro Sekunde gesichtet

Cloud Security Alliance

https://downloads.cloudsecurityalliance.org/assets/research/internet-of-

things/future-proofing-the-connected-world.pdf

Literatur



https://www.heise.de/security/meldung/DDoS-Attacke-kappte-zeitweilig-Internetverbindung-eines-ganzen-Landes-3456390.html

https://www.heise.de/newsticker/meldung/DDoS-Attacke-legt-Twitter-Netflix-Paypal-Spotify-und-andere-Dienste-lahm-3357289.html

https://www.heise.de/security/meldung/Rekord-DDoS-Attacke-mit-1-1-Terabit-pro-Sekunde-gesichtet-3336494.html

https://downloads.cloudsecurityalliance.org/assets/research/internet-of-things/future-proofing-the-connected-world.pdf


Fragen?

Documents

Sicherheit im Internet der Dinge - Claussen-Simon-Stiftung · IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann 26 Informationen für Angreifer $ nmap -sV 192.168.178.23