Bis Ende 2018 betrug die Anzahl der angeschlossenen IoT-Geräte
mehr als 22 Milliarden . Von den 7,6 Milliarden Menschen auf der Erde haben 4 Milliarden Zugang zum Internet. Es stellt sich heraus, dass es für jede Person 5,5 Geräte im Internet der Dinge gibt.
Zwischen der Verbindung des IoT-Geräts mit dem Netzwerk und dem Zeitpunkt des ersten Angriffs vergehen durchschnittlich
5 Minuten . Darüber hinaus sind die meisten Angriffe auf intelligente Geräte
automatisiert .
Natürlich könnten solche traurigen Statistiken nicht gleichgültige Spezialisten auf dem Gebiet der Cybersicherheit zurücklassen. Die internationale gemeinnützige Organisation OWASP (Open Web Application Security Project) war bereits 2014 besorgt über die Sicherheit des Internet der Dinge, nachdem sie die erste Version von OWASP Top 10 IoT veröffentlicht hatte. Eine aktualisierte Version der „
TOP 10-Schwachstellen des Internet der Dinge “ mit aktualisierten Bedrohungen wurde 2018 veröffentlicht. Dieses Projekt soll Herstellern, Entwicklern und Verbrauchern helfen, IoT-Sicherheitsprobleme zu verstehen und fundiertere Entscheidungen zur Informationssicherheit beim Erstellen von IoT-Ökosystemen zu treffen.
10. Unzureichende physische Sicherheit.
Das Fehlen physischer Schutzmaßnahmen ermöglicht es potenziellen Angreifern, vertrauliche Informationen zu erhalten, die in Zukunft dazu beitragen können, einen Fernangriff durchzuführen oder die lokale Kontrolle über das Gerät zu erlangen.
Eine der Sicherheitsherausforderungen des IoT-Ökosystems besteht darin, dass seine Komponenten im Weltraum verteilt und häufig an öffentlichen oder unsicheren Orten installiert werden. Auf diese Weise können Angreifer auf das Gerät zugreifen und es lokal unter Kontrolle bringen oder damit auf den Rest des Netzwerks zugreifen.
Ein Angreifer kann die Einstellungen (IP-Netzwerk, MAC-Adresse usw.) kopieren und sein Gerät anstelle des ursprünglichen Geräts einsetzen, um die Netzwerkleistung abzuhören oder zu verringern. Es kann einen RFID-Leser hacken, ein Hardware-Lesezeichen setzen, mit Malware infizieren, die erforderlichen Daten stehlen oder das IoT-Gerät einfach physisch deaktivieren.
Die Lösung für dieses Problem besteht darin, den physischen Zugriff auf Geräte zu erschweren. Sie können in geschützten Bereichen, in Höhenlagen oder in vandalensicheren Schutzschränken installiert werden.
9. Unsichere Standardeinstellungen
Geräte oder Systeme verfügen über unsichere Standardeinstellungen oder können das System nicht sicherer machen, indem Benutzer daran gehindert werden, Konfigurationen zu ändern.
Jeder Hersteller möchte mehr verdienen und weniger ausgeben. Das Gerät kann mit vielen intelligenten Funktionen implementiert werden, die Sicherheit kann jedoch nicht konfiguriert werden.
Beispielsweise wird die Überprüfung von Kennwörtern auf Zuverlässigkeit nicht unterstützt. Es ist nicht möglich, Konten mit verschiedenen Rechten zu erstellen - Administrator und Benutzer, es gibt keine Einstellungen für die Verschlüsselung, Protokollierung und Benachrichtigung von Benutzern über Sicherheitsereignisse.
8. Die Unfähigkeit, das Gerät zu steuern
Mangelnde Sicherheitsunterstützung für in der Produktion bereitgestellte Geräte, einschließlich Asset Management, Update Management, sichere Außerbetriebnahme, Systemüberwachung und Reaktion.
IoT-Geräte sind meist eine Black Box. Sie haben nicht die Möglichkeit implementiert, den Status der Arbeit zu überwachen, festzustellen, welche Dienste ausgeführt werden und mit welchen Interaktionen.
Nicht alle Hersteller geben Benutzern von IoT-Geräten die volle Kontrolle über das Betriebssystem und die laufenden Anwendungen sowie die Überprüfung der Integrität und Legitimität heruntergeladener Software oder die Installation von Update-Patches auf dem Betriebssystem.
Während eines Angriffs kann die Firmware des Geräts neu konfiguriert werden, sodass sie nur durch vollständiges Flashen des Geräts repariert werden kann. Ein ähnlicher Nachteil wurde beispielsweise von
Silex-Malware genutzt .
Die Lösung für diese Probleme kann die Verwendung spezieller Software zur Verwaltung von Geräten des Internets der Dinge sein, z. B. Cloud-Lösungen AWS, Google, IBM usw.
7. Unsichere Datenübertragung und -speicherung
Fehlende Verschlüsselung oder Zugriffskontrolle auf sensible Daten überall im Ökosystem, einschließlich während der Speicherung, während der Übertragung oder während der Verarbeitung.
Geräte des Internet der Dinge sammeln und speichern Umweltdaten, einschließlich verschiedener persönlicher Informationen. Ein kompromittiertes Passwort kann ersetzt werden, aber gestohlene Daten von einem biometrischen Gerät - Fingerabdruck, Netzhaut, Gesichtsbiometrie - Nr.
Gleichzeitig können IoT-Geräte Daten nicht nur unverschlüsselt speichern, sondern auch über das Netzwerk übertragen. Wenn die Datenübertragung im lokalen Netzwerk klar erklärt werden kann, kann sie im Falle eines drahtlosen Netzwerks oder einer Internetübertragung Eigentum von jedermann werden.
Der Benutzer selbst kann sichere Kommunikationskanäle für die Datenübertragung verwenden, der Gerätehersteller sollte jedoch darauf achten, die gespeicherten Passwörter, biometrischen und anderen wichtigen Daten zu verschlüsseln.
6. Unzureichender Schutz der Privatsphäre
Persönliche Informationen des Benutzers, die auf einem Gerät oder Ökosystem gespeichert sind, das unsicher, unsachgemäß oder ohne Erlaubnis verwendet wird.
Dieser TOP-10-Artikel erinnert an den vorherigen: Alle persönlichen Daten müssen auf sichere Weise gespeichert und übertragen werden. In diesem Absatz wird die Privatsphäre jedoch in einem tieferen Sinne betrachtet, und zwar unter dem Gesichtspunkt des Schutzes der Geheimnisse der Privatsphäre.
IoT-Geräte sammeln Informationen darüber, was und wer sie umgibt, einschließlich dies gilt auch für ahnungslose Personen. Gestohlene oder nicht ordnungsgemäß verarbeitete Benutzerdaten können eine Person entweder unbeabsichtigt diskreditieren (z. B. wenn nicht ordnungsgemäß konfigurierte Straßenkameras untreue Ehepartner bloßstellen) und bei Erpressungen verwendet werden.
Um das Problem zu lösen, müssen Sie genau wissen, welche Daten vom IoT-Gerät, der mobilen Anwendung und den Cloud-Schnittstellen erfasst werden.
Sie müssen sicherstellen, dass nur die Daten erfasst werden, die für das Funktionieren des Geräts erforderlich sind, um zu überprüfen, ob die Berechtigung zum Speichern personenbezogener Daten besteht und ob diese geschützt sind und ob Richtlinien zur Datenspeicherung vorgeschrieben sind. Andernfalls kann der Benutzer Probleme mit dem Gesetz haben, wenn diese Bedingungen nicht eingehalten werden.
5. Verwendung unsicherer oder veralteter Komponenten
Verwenden veralteter oder unsicherer Softwarekomponenten oder Bibliotheken, die Ihr Gerät gefährden könnten. Dies umfasst die unsichere Konfiguration von Betriebssystemplattformen und die Verwendung von Software- oder Hardwarekomponenten von Drittanbietern aus einer gefährdeten Lieferkette.
Eine anfällige Komponente kann die gesamte konfigurierte Sicherheit negieren.
Anfang 2019
identifizierte der Experte
Paul Marrapiz Schwachstellen im Dienstprogramm iLnkP2P P2P, das auf mehr als 2 Millionen mit dem Netzwerk verbundenen Geräten installiert ist: IP-Kameras, Babyphone, intelligente Türklingeln und DVRs.
Die erste Sicherheitsanfälligkeit
CVE-2019-11219 ermöglicht es einem Angreifer, ein Gerät zu identifizieren, die zweite ist eine Authentifizierungsanfälligkeit in iLnkP2P
CVE-2019-11220 - um Datenverkehr im Klartext abzufangen, einschließlich Videostreams und Kennwörtern.
Paul
wandte sich mehrere Monate lang dreimal an den Hersteller und zweimal an den Entwickler des Dienstprogramms, erhielt jedoch nie eine Antwort von ihnen.
Die Lösung für dieses Problem besteht darin, die Veröffentlichung von Sicherheitspatches zu überwachen und das Gerät zu aktualisieren. Wenn diese nicht herauskommen, ändern Sie den Hersteller.
4. Fehlende sichere Aktualisierungsmechanismen
Die Unfähigkeit, das Gerät sicher zu aktualisieren. Dies umfasst das Fehlen einer Firmware-Validierung auf dem Gerät, das Fehlen einer sicheren Bereitstellung (ohne Verschlüsselung während der Übertragung), das Fehlen von Mechanismen zur Verhinderung von Rollbacks und das Fehlen von Benachrichtigungen über Sicherheitsänderungen aufgrund von Updates.
Die Unfähigkeit, das Gerät selbst zu aktualisieren, ist eine Sicherheitslücke. Wenn das Update nicht installiert wird, bleiben die Geräte auf unbestimmte Zeit anfällig.
Darüber hinaus können das Update selbst und die Firmware jedoch auch unsicher sein. Wenn beispielsweise keine verschlüsselten Kanäle zum Empfangen der Software verwendet werden, wird die Aktualisierungsdatei vor der Installation nicht verschlüsselt oder nicht auf Integrität überprüft, es gibt keinen Anti-Rollback-Schutz (Schutz vor der Rückkehr zu einer früheren, anfälligeren Version) oder es gibt keine Benachrichtigungen über Sicherheitsänderungen aufgrund von Aktualisierungen.
Eine Lösung für dieses Problem liegt ebenfalls beim Hersteller. Sie können jedoch überprüfen, ob Ihr Gerät überhaupt aktualisiert werden kann. Stellen Sie sicher, dass die Update-Dateien über einen verschlüsselten Kanal vom verifizierten Server heruntergeladen werden und dass Ihr Gerät eine sichere Update-Installationsarchitektur verwendet.
3. Unsichere Ökosystemschnittstellen
Eine unsichere Webschnittstelle, API, Cloud oder mobile Schnittstelle im Ökosystem außerhalb des Geräts, mit der Sie das Gerät oder die zugehörigen Komponenten gefährden können. Häufige Probleme sind fehlende Authentifizierung oder Autorisierung, fehlende oder schwache Verschlüsselung sowie fehlende Eingabe- und Ausgabefilterung.
Durch die Verwendung unsicherer Webschnittstellen, APIs, Cloud- und mobiler Schnittstellen können Sie das Gerät oder die zugehörigen Komponenten kompromittieren, auch ohne eine Verbindung herzustellen.
Zum Beispiel führten
Barracuda Labs eine Analyse der mobilen Anwendung und der Weboberfläche einer der „intelligenten“ Kameras durch und fanden Schwachstellen, die es ermöglichen, ein Passwort für das Internet der Dinge-Gerät zu erhalten:
- Die mobile Anwendung ignorierte die Gültigkeit des Serverzertifikats.
- Die Webanwendung war anfällig für Cross-Site-Scripting.
- Es war möglich, Dateien auf einem Cloud-Server zu umgehen.
- Geräteupdates waren nicht geschützt.
- Das Gerät hat die Gültigkeit des Serverzertifikats ignoriert.
Zum Schutz müssen der Standardbenutzer und das Standardkennwort geändert werden. Stellen Sie sicher, dass die Weboberfläche keinen standortübergreifenden Skripten, SQL-Injection- oder CSRF-Angriffen ausgesetzt ist.
Außerdem sollte ein Schutz vor Passwortangriffen durch Brute Force implementiert werden. Nach drei Versuchen, das Kennwort falsch einzugeben, sollte das Konto beispielsweise gesperrt werden und die Kennwortwiederherstellung nur durch Zurücksetzen der Hardware ermöglichen.
2. Unsichere Netzwerkdienste
Unnötige oder unsichere Netzwerkdienste, die auf dem Gerät selbst ausgeführt werden, insbesondere offen für ein externes Netzwerk, gefährden die Vertraulichkeit, Integrität, Authentizität, Zugänglichkeit von Informationen oder ermöglichen die unbefugte Fernsteuerung.
Unnötige oder unsichere Netzwerkdienste gefährden die Gerätesicherheit, insbesondere wenn sie Zugang zum Internet haben.
Unsichere Netzwerkdienste können anfällig für Pufferüberlauf- und DDoS-Angriffe sein. Offene Netzwerkports können auf Schwachstellen und unsichere Verbindungsdienste überprüft werden.
Einer der beliebtesten Überträger von Angriffen und Infektionen von IoT-Geräten ist die Aufzählung von Kennwörtern für nicht deaktivierte
Telnet- Dienste
und für SSH . Nach dem Zugriff auf diese Dienste können Angreifer schädliche Software auf das Gerät herunterladen oder auf wertvolle Informationen zugreifen.
1. Schwaches, erratenes oder fest codiertes Passwort
Verwendung leicht knackbarer, öffentlich verfügbarer oder unveränderlicher Anmeldeinformationen, einschließlich Hintertüren in Firmware oder Client-Software, die unbefugten Zugriff auf bereitgestellte Systeme ermöglichen.
Überraschenderweise besteht bis dahin die größte Sicherheitsanfälligkeit in der Verwendung schwacher Kennwörter, Standardkennwörter oder Kennwörter, die an das Netzwerk weitergegeben werden.
Trotz der offensichtlichen Notwendigkeit, ein sicheres Kennwort zu verwenden, ändern einige Benutzer die Standardkennwörter immer noch nicht. Im Juni 2019 nutzte Silex-Malware dies, die sich
innerhalb einer Stunde in einen Baustein von etwa 2000 IoT-Geräten verwandelte.
Zuvor gelang es dem bekannten Botnetz und Wurm Mirai, 600.000 Geräte des Internet der Dinge mithilfe einer Datenbank mit
61 Standard- Login-Passwort-Kombinationen zu infizieren.
Die Lösung besteht darin, das Passwort zu ändern!
SchlussfolgerungenWenn Benutzer IoT-Geräte kaufen, denken sie in erster Linie an ihre „intelligenten“ Funktionen und nicht an die Sicherheit.
Ebenso hoffen wir beim Kauf eines Autos oder einer Mikrowelle, dass das Gerät für den Gebrauch „
sicher im Design “ ist.
Solange die Sicherheit des Internet der Dinge nicht gesetzlich geregelt ist (solche Gesetze werden
derzeit erst eingeführt ), werden die Hersteller kein zusätzliches Geld dafür ausgeben.
Es stellt sich heraus, dass die einzige Möglichkeit, den Hersteller zu motivieren, darin besteht, keine anfälligen Geräte zu kaufen.
Und dafür müssen wir ... über ihre Sicherheit nachdenken.