Best Practices statt „No Gos“

Von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro

Smarte Geräte im IoT bergen neben allen Vorteilen auch viele Gefahren, denen Anwender gegensteuern müssen. Dazu gehört, wie bereits dargestellt, dass IoT-Geräte in der Lage sein sollten, ihren rechtmäßigen Besitzer zu identifizieren. Auch Schwachstellen in den Geräten stellen eine Bedrohung dar, die man mit regelmäßigen Updates und Patches schließen kann. Schließlich gibt es auch einige „Security-No-Gos“ bei der Implementierung, die immer wieder zu beobachten sind. In der Regel handelt es sich dabei, um „gut gemeinte“, aber nicht „gut gemachte“ Security-Features, die dann leider häufig das Gegenteil von Sicherheit bewirken und zumeist auf fehlende Awareness oder Risikoeinschätzung zurückzuführen sind.

Ein Beispiel dafür ist die falsche Nutzung von Verschlüsselung. Moderne Krypto-Algorithmen sind aus gutem Grund komplex. Leider beobachten wir aber immer wieder den Einsatz von selbstgebastelten Algorithmen, die nicht einmal den einfachsten Krypto-Analyseverfahren standhalten und leicht zu knacken sind. Vor allem wenn es gilt, sensitive Passwörter oder Keys zu schützen, werden diese in der Firmware verschlüsselt abgelegt. Doch wenn der Schlüssel auch in der Firmware gespeichert ist und wohlmöglich noch mit einem schlecht gemachten Algorithmus kombiniert wird, ist von Sicherheit kaum noch die Rede. Vielen Entwicklern ist die Macht von Tools wie IDA Pro, Hopper Disassembler oder Ghirda SRE zum Untersuchen der Firmware oder CrypTool zur Kryptoanalyse schlichtweg nicht bewusst/bekannt — Da wäre das Speichern im Klartext nur minimal unsicherer, würde aber zumindest viel fehlerträchtigen Code und Ressourcen sparen.

Doch selbst wenn alles richtig gemacht wird, können böswillige Akteure immer noch „gut gemeinte“ Mechanismen missbrauchen. So war es eine Zeit lang durchaus üblich, Master Keys in der Firmware zu hinterlegen. Diese sollten im Fehler- oder Supportfall den Zugriff auf das Gerät ermöglichen, selbst wenn das Passwort in Vergessenheit geraten war. Fest eingebettete SSH Public Keys, bei denen nur der Hersteller den passenden Private Key hatte, waren einmal groß in Mode. Dumm nur, dass die gesamte Security dann daran hängt, dass der Private Key auch wirklich privat bleibt. Leider zeigt die Erfahrung, dass dieser Private Key früher oder später „verschwindet“, sei es durch unvorsichtige Mitarbeiter, Debug-Informationen oder auch schlichtweg Diebstahl.

Auch die Frage nach „Nebenfunktionen“ muss sich ein Hersteller gefallen lassen. Wenn ein Gerät beispielsweise lokal ausschließlich eine Weboberfläche bereitstellt, ein Port-Scan aber offene Telnet-, SSH- oder RPC-Ports zeigt, so deutet dies auf mangelndes Security-Bewusstsein hin. Prüfen Sie deshalb die Kryptographie und Code-Qualität der verwendeten Geräte. Es gibt zum Beispiel mittlerweile keinen guten Grund mehr dafür, dass Kommunikation mit dem Backend unverschlüsselt stattfindet! Erkundigen Sie sich im Internet, ob andere die Firmware oder das Kommunikationsverhalten des Gerätes vielleicht schon einmal unter die Lupe genommen haben. Auch Sicherheitsvorfälle der Vergangenheit erlauben einen guten Einblick, wie der Hersteller das Thema Sicherheit handhabt. Dies soll nicht heißen, dass Sicherheitsvorfälle per se schlecht sind – viel wichtiger ist der Umgang des Herstellers mit solchen Vorfällen.

Scannen Sie zudem lokal Ihre IoT-Geräte (beziehungsweise gleich das Netz) auf offene Ports. Offene Ports, die auf den ersten Blick nichts mit der Funktionalität des Gerätes zu tun haben, sind Anhaltspunkte, die man verfolgen sollte. Im Zweifelsfall sollten Sie IoT-Geräte ohnehin nicht im „internen“ Heimnetz betreiben. Vielmehr bieten selbst die allermeisten Home-Router heute Funktionen, um mehrere (virtuelle) (Funk-)Netze bereitzustellen. Daher bietet es sich an, solche Geräte in getrennten Netzen zu bündeln, die Zugriff aufs Internet haben, aber keinen direkten Durchgriff ins interne Netz haben.

Alle drei Beiträge sind zuerst im LANline Security Awarenss Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.

Tipp zum Weiterleiten:

Kaufen Sie am besten nur IoT-Geräte von Herstellern, welche die Sicherheit auch ernst nehmen. Eine kurze Internet-Recherche kann dabei schon Klarheit schaffen. Wenn ihr Router die Möglichkeit bietet, mehrere Netzwerke bereitzustellen, nutzen Sie diese Option. Betreiben Sie dann Ihre IoT-Geräte in einem eigenen Netzwerk ohne Zugriff auf private Daten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.