Von gehackten Thermostaten und Botnetzen aus Haushaltsgeräten: Mit Smart-Home-Geräten

Was ist daran so unglaublich?

Dass eingebettete Systeme verwundbar sind und man sie mit Leichtigkeit "übernehmen" kann, wurde schon vor Jahren gezeigt

Interessanter Vortrag. Ist zwar 5 Jahre her, und viele dieser Loecher moegen jetzt (bei Druckern) gestopft sein. Aber bei der Vielfalt und steigender Zahl heutiger IoT-Geraete mit andersartigen "Loechern", mag das Risiko wahrscheinlich sogar groesser geworden sein.

Die generelle Frage ist, warum so viele Geraete indirekt oder sogar direkt, und damit weitgehend ungesichert, im oeffentlichen Internet zu erreichen sind. Bei den Druckern kann ich mir das noch vorstellen. Aber bei (das sind absichtlich schraege Beispiele) so Geraeten wie IoT-Kaffeemaschinen oder IoT-Waschmaschinen ist mir das schleierhaft. Ich halte es aber auch nicht fuer unmoeglich - wohl meistens durch fahrlaessige Unwissenheit verursacht.

LG Goggo
 
Interessanter Vortrag. Ist zwar 5 Jahre her, und viele dieser Loecher moegen jetzt (bei Druckern) gestopft sein. Aber bei der Vielfalt und steigender Zahl heutiger IoT-Geraete mit andersartigen "Loechern", mag das Risiko wahrscheinlich sogar groesser geworden sein.

Die generelle Frage ist, warum so viele Geraete indirekt oder sogar direkt, und damit weitgehend ungesichert, im oeffentlichen Internet zu erreichen sind.
Das müssen sie ja garnicht sein. Anhand Ang Cuis Vortrag mit den Druckern sieht man, dass eine für den Nutzer harmlos erscheinende Aktion wie das Ausdrucken eines Dokuments genügt.
- wohl meistens durch fahrlaessige Unwissenheit verursacht.
Angriffssicherheit kostet Geld, und wenn ich bei der Entwicklung Summe X ausgeben muss, um das Produkt sicher zu machen, womit ich aber kaum werben kann, nehme ich dieselbe Summe doch lieber und lasse weitere Funktionen entwickeln, mit denen sich das Produkt besser verkaufen lässt.
Und Security ist ein katz-und-maus-Spiel, man muss mehr oder minder ständig die Entwicklungen verfolgen und prüfen, ob die eigene Entwicklung von neu entdeckten Schwachstellen betroffen ist.
Dazu kommt, dass Firmen für Produkte, die ein bestimmtes Alter überschreiten, nunmal keine Unterstützung mehr anbieten wollen - oder aufgrund von Firmenpleiten oder Aufkäufen das Produkt generell nicht mehr betreut wird. Aus betriebswirtschaftlicher Sicht nachvollziehbar, denn das Geld für das Produkt, das ich vor 10 Jahren mal verkauft habe, ist ja nun schon lange weg. Und selbst wenn das Produkt vor 10 Jahren nach allen Regeln der Kunst "sicher gemacht" worden ist, konnte man damals schlicht nicht vorhersehen, welche Sicherheitslücke in den nächsten 10 Jahren bekannt werden würden.
Aber aus Konsumentensicht ist die Sache aber auch klar: da habe ich auf meinem Schreibtisch ein 10 jahre altes VoIP-Telefon stehen. Wenn es doch aber noch das tut was es soll und einwandfrei funktioniert, warum soll ich es austauschen? Das wurde ja in dem Cisco-Vortrag von Ang Cui auch gezeigt: er hat ja in einer ganzen Reihe von Modellen die Schwachstellen gefunden, aber bei einem Teil davon hat Cisco schon im Vorhinein gesagt: die sind EOL, wird nicht mehr gefixt.
 
dass eine für den Nutzer harmlos erscheinende Aktion wie das Ausdrucken eines Dokuments genügt.

Yep, passt schon.

/Ironie an
Aber wer druckt schon ein Dokument auf seiner Kaffeemaschine aus ;)
/Ironie aus

Wobei ... hhhm ... die schraege Ironie koennte sogar zum Ernstfall werden. Naemlich dann, wenn auf dem Billig-Billig-IoT-Controller der Kaffeemaschine versehentlich ein vergessenes Standard-Print-Device läuft, dass mit LPR-Kommandos umzugehen vermag. Da muss aber schon viel Bloedheit zusammenkommen. Aber man weiss ja nie.

LG Goggo
 
Moin


Und wenn die smarten Dinge auch noch Firmwareupdates bekommen, haben die unter Umständen neue Funktionen die Nirgendwo dokumentiert/erklärt werden.

Wie meine "Aldi Kamera"...
Screenshot_2016-12-10-10-42-15.png
:noidea:
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.