Smart Home Hacking – live

Der Trend zur Vernetzung von Alltagsgeräten im Privathaushalt, kurz Internet of Things (IoT), nimmt zu und macht auch vor Unternehmen jeglicher Grössenordnung nicht Halt. Bei aller Begeisterung über die technischen Helferlein bleibt das Bewusstsein über die Gefahren allerdings oft auf der Strecke. Leistungsfähige IoT-Geräte sind nun mal Minicomputer und benötigen den gleichen Schutz wie Laptops oder Tablets – aber der ist in Wirklichkeit oft nicht vorhanden.   Text: Joerg Schindler

Die Installationen für ein modernes Smart Home wurden möglichst realitätsnah umgesetzt, wie hier das Badezimmer. Fotos: Sophos
Im Haunted House wurden auch Kommunikationsmodule wie Tablets oder sprachgesteurte Geräte verwendet.

 

 

 

 

 

 

Die Firma Sophos wollte es genau wissen und hat zu diesem Zweck das Forschungsprojekt «Haunted House» (Spuk-Haus) gestartet – in Zusammenarbeit mit dem Industrial-IT-Security-Spezialisten Koramis. Dazu wurde ein nachgebildetes Smart Home inklusive realer Steuerungs- und Netzwerkinfrastruktur als potenzielles Angriffsziel ins Internet gestellt. Über mehrere Wochen hinweg wurden dann Angriffe auf diesen «Honeypot» kontinuierlich analysiert und bewertet. Parallel scannten Experten das Internet nach tatsächlich verfügbaren Smart Home-Komponenten und bezogen diese Ergebnisse in ihre Analyse ein.

Die Untersuchungs-Ergebnisse wurden in einem Whitepaper zusammengetragen, das Aufschluss über die Qualität, Quantität und Aggressivität von Angreifern sowie mögliche physische und personelle Gefahren gibt. Aktuelle Zwischenzahlen zeigten mehr als 70’000 Zugriffsversuche von 24’089 einzelnen IPS auf das virtuelle Haus. Hiermit wird deutlich: Das «Haunted House» ist kein einmaliges Geisterphänomen, sondern eine dauerhafte Gefahr für private Smart Homes – sofern diese nicht fachgerecht eingerichtet sind. Und dies ist nur die eine Seite des Spuks:

Einfach über das Internet zugänglich
Parallel zu den Zugriffsversuchen auf das «Haunted House» erforscht das Projekt mithilfe von Suchmaschinen wie Shodan oder Cenys auch, wie viele Smart Home Komponenten mehr oder weniger einfach über das Internet zugänglich sind. Ein im Oktober 2017 hierfür gestarteter Scan fand bis heute mehr als 68’000 offene Web-Schnittstellen von bekannten Smart-Home-Komponenten, die vor allem in Privathaushalten eingesetzt werden. Darunter drahtlose Fensterkontakte, Rauchmelder, automatische Türschliessanlagen oder Kamerasysteme. Alle gefundenen Geräte waren über das Internet leicht zugänglich. Die Ergebnisse wurden mithilfe einer «Heatmap» visualisiert, die zeigt, dass sich die IoT-Technologie in Städten und urbanen Zentren wie Berlin, Hamburg, Köln, Frankfurt oder München konzentriert, während sie in ländlichen Gebieten weniger verbreitet ist.

 

8 Tipps für ein sicheres Smart Home

  1. My Home(network) is my Castle: Niemals das Heimnetz mit anderen teilen!
  2. IoT-Geräte möglichst raus aus dem Heimnetzwerk: Ein Beispiel: wenn hauptsächlich über Kabel oder Antenne empfangen wird, kommt das Fernsehgerät auch ohne WLAN aus.
  3. Separates Netzwerk für IoT-Geräte: Wenn der WLAN-Router verschiedene Netzwerke (Segmentierung) erstellen kann, sollte ein spezielles Netzwerk für IoT-Geräte aufgebaut werden, das den Zugriff auf andere Bereiche des Netzwerks unterbindet.
  4. «Sealed-Off»-Netzwerkbereiche auf verschiedenen WLANs: Noch sicherer ist es, verschiedene «Sealed-Off»-Netzwerkbereiche für Home Office, Unterhaltungselektronik, Gebäude- und Sicherheitstechnik oder das Gastnetzwerk mit jeweils unterschiedlichen WLANs zu erstellen. Dies kann durch eine Firewall ermöglicht werden, die ausschliesslich jene Kommunikation erlaubt, die für die Verwendung der Komponenten erforderlich ist, und eine Infektion von einem IoT-Gerät zum anderen unterbindet.
  5. Verwendung einer sicheren VPN-Technologie: Statt einer ungesicherten Port-Weiterleitung eines Routers für den Fernzugriff auf die IoT-Geräte aus dem Internet ist es besser, eine sichere VPN-Technologie für Smartphones oder Mac/PC zu verwenden.
  6. Software Updates: Es sollte immer die aktuelle AV-Software auf allen PCs, Macs und Android-Smartphones installiert sein.
  7. Mehr Sicherheit durch neueste Firmware: Nicht nur PCs, Laptops oder Smartphones, auch jedes IoT-Gerät muss mit der aktuellsten Firmware für einen sicheren Betrieb ausgerüstet sein. Der Aufwand lohnt sich in Bezug auf Sicherheit und Privatsphäre.
  8. Recherche lohnt sich: Es ist sinnvoll vor dem Kauf nach potenziellen Sicherheitslücken der IoT-Geräte zu suchen, die man verwenden möchte. Eine Internet-Suche gibt einen schnellen und guten Überblick, wenn das Produkt der Wahl bereits im Fokus von Hackern steht oder gar gehackt wurde.

Weitere Informationen:
www.sophos.de

Download:
White Paper