News: Riskante Home-Entertainment-Systeme
Der Sicherheitsevangelist David Jacoby von Kaspersky hat mit seiner eigenen Unterhaltungselektronik-Ausstattung im Wohnzimmer einen Selbsttest durchgeführt und ist zu einem erschreckenden Ergebnis gekommen.
Vor allem bei Home-Entertainment-Systeme mit Internetverbindung scheint es zahlreiche Sicherheitsrisiken zu geben. Schuld daran seien Schwachstellen in der Software, fehlende Sicherheitsvorkehrungen, unsichere Passwörter und unverschlüsselte Kommunikation.
Jacoby hat bei seinem Selbstversuch zwei NAS-Speicher-Systeme unterschiedlicher Hersteller, ein Smart-TV-Gerät, einen Satelliten-Receiver, einen Router sowie einen internetfähigen Drucker rangenommen.
Allein die Speicher-Systeme zeigten 14 Sicherheitslücken, das Smart-TV-Gerät hatte eine und beim Router gab es zahlreiche versteckte Remote-Control-Möglichkeiten.
Hier die entdeckten Risiken im Einzelnen:
NAS-Speicher gibt Passwörter preis: Die Sicherheitslücken bei den NAS-Speichern wurden am fatalsten eingestuft. Angreifer können sie aus der Ferne kompromittieren und eigenen Code mit Administratorenrechten ausführen. Weiter waren die voreingestellten Administratorpasswörter der Geräte nicht sicher, die Rechte vieler Konfigurationsdateien falsch eingestellt und Passwörter wurden im Klartext gespeichert.
Bei einem Gerät bestand das voreingestellte Administratorpasswort aus lediglich einer einzigen Ziffer. Bei einem anderen Gerät konnte man über das Netzwerk auf die komplette Konfigurationsdatei mit den verschlüsselten Passwörtern zugreifen. Durch Ausnutzung einer Software-Schwachstelle konnte Jacoby eigene Dateien in einen Speicherbereich laden, der normalerweise für die Anwender nicht zugänglich ist. So ist eine Infizierung des NAS-Speichers denkbar, die ihn gar für DDoS-Attacken eines Botnetzes tauglich macht.
Man-in-the-middle im Smart-TV: Der untersuchte Smart-TV kommunizierte unverschlüsselt über das Internet mit den Servern des Geräteherstellers. Das öffnet die Tür für potenzielle Man-in-the-middle-Attacken, bei denen sich ein Angreifer zwischen Smart-TV und Hersteller schaltet. Bei Nutzung des Geräts für Online-Einkäufe, könnten damit Gelder direkt auf Konten von Angreifern transferiert werden. Erschwert wird das Sicherheitsproblem des Fernsehers noch dadurch, dass er auch Java-Code ausführen kann. In Kombination mit dem Abfangen des Datenverkehrs zwischen Fernseher und Internet können so Exploit-basierte Attacken durchgeführt werden.
Router mit Spionage-Qualitäten: Im überprüften DSL-Router fanden sich zahlreiche versteckte Features. Einige davon geben dem Internet Service Provider (ISP) Zugriff auf jedes Gerät im Heimnetzwerk. Jacoby fand in der Internetschnittstelle seines Router Funktionen wie „Web Cameras“, „Telephony Expert Configure“, „Access Control“, „WAN-Sensing“ und „Update“. Diese "Spionagefunktionen" wurden von den Netzanbietern eingebaut um beispielsweise technische Probleme per Fernwartung lösen zu können. In der Praxis stellen sie natürlich Sicherheitsrisiken dar.
David Jacoby erhebt schwere Vorwürfe an die Gerätehersteller, unter anderem wegen der Lebensdauer der Geräte. Aus Gesprächen mit Herstellern wisse er, dass einige keine Sicherheits-Updates mehr zur Verfügung stellen, sobald eine neue Gerätegeneration auf den Markt kommt. Bei NAS sei das zum Beispiel alle ein oder zwei Jahre der Fall, die Speicher werden jedoch viel länger genutzt.
Die komplette Studie von David Jacoby findet sich hier: Internet of Things: How I Hacked My Home
Security-Tipps für internetfähige Geräte: Die Sicherheitsexperten empfehlen folgende Maßnahmen um internetfähige Geräte besser vor Angriffen zu schützen:
- alle Geräte immer mit den neuesten Sicherheits- und Firmware-Updates versehen
- voreingestellte Benutzernamen und Passwörter durch sichere Kennwörter ersetzen
- alle Möglichkeiten nutzen, den Netzwerk-Zugriff auf die Geräte einzuschränken. So benötigt etwa ein Drucker keinen Zugriff auf ein TV-Gerät. Möglich ist das über unterschiedliche Netzwerksegmente (DMZ) oder VLAN, mit dessen Hilfe das physikalische Netz logisch separiert werden kann.
Ein bisschen getrickst hat Kaspersky bei dieser Mitteilung schon. Sie wurde halt anlässlich der kommenden IFA in Berlin (5. bis 10. September) rausgelassen, bei der auch viele neue Internet-taugliche Unterhaltungselektronikgeräte vorgestellt werden.
Der Großteil der im Selbstversuch entdeckten Risiken stammt nicht von typischer Wohnzimmerelektronik sondern aus dem Computerbereich. Andererseits werden diese Computerteile aber halt immer mehr auch vom Wohnzimmer aus genutzt. Wie kürzlich schon kommentiert: das mit dem "Internet der Dinge" wird noch sehr lustig.
Es ist übrigens sehr interessant, die Studie von David Jacoby im englischen Originaltext zu lesen. Dort wird detailliert und bebildert erklärt, wie die Hacks durchgeführt wurden.
BastetFurry
Michael Nickles
