Ist Ihr Smart Home durch Sicherheitslücken im Internet der Dinge gefährdet?
Das Internet der Dinge ist sehr vielversprechend. Jedes Gerät, mit dem wir vernetzt sind, ist in gewissem Umfang verfügbar und bietet jedem die preiswerte Smart Home-Technologie. Dies ist nur eine der Möglichkeiten. Nun, so aufregend wie eine vernetzte Welt klingt, so leider ist das Internet der Dinge ständig und schmerzlich unsicher.
Eine Gruppe von Sicherheitsforschern der Princeton University behauptet, das Internet der Dinge sei so schwer zu wissen, dass auch verschlüsselter Netzwerkverkehr leicht erkennbar ist Wie funktioniert die Verschlüsselung und ist sie wirklich sicher? Wie funktioniert die Verschlüsselung und ist sie wirklich sicher? Weiterlesen .
Gibt es eine Substanz zu ihrem Anspruch, oder ist es eine andere “Standard” IoT-Treffer? Lass uns einen Blick darauf werfen.
In gebacken
Das Problem ist, dass einzelne Geräte über individuelle Sicherheitsprofile verfügen. Einige Sicherheitseinstellungen sind in das Gerät eingebettet. Dies bedeutet, dass Endbenutzer die Sicherheitseinstellungen nicht ändern können.
Einstellungen, die für Tausende übereinstimmender Produkte gleich sind.
Das massive Sicherheitsproblem ist der Grund, warum das Internet der Dinge der größte Sicherheitsschreck ist. Warum das Internet der Dinge der größte Sicherheitsschreck ist . Wie konnte das passieren? Mit Internet of Things (IoT) können Sie den harten Weg herausfinden. Weiterlesen .
Kombiniert mit einem allgemeinen Missverständnis (oder ist es bloße Ignoranz?), Wie einfach es ist, ein IoT-Gerät für schändliche Aktivitäten zu verwenden, und es gibt ein echtes, globales Problem.
Zum Beispiel berichtete ein Sicherheitsforscher, als er mit Brian Krebs sprach, dass er schlecht gesicherte Internet-Router gesehen hatte, die als SOCKS-Stellvertreter verwendet wurden, und dies wurde öffentlich ausgeschrieben. Sie spekulierten, dass es einfach wäre, internetbasierte Webcams und andere IoT-Geräte für dieselbe und viele andere Zwecke zu verwenden.
Und sie hatten recht.
Ende 2016 sah ein massiv DDoS-Angriff. “Massiv,” du sagst? Ja: 650 Gbps (das sind etwa 81 GB / s). Die Sicherheitsforscher von Imperva, die den Angriff entdeckten, stellten bei der Analyse der Nutzlast fest, dass der Großteil der Leistung von gefährdeten IoT-Geräten kam. Getauft “Leet” Nach einer Zeichenkette in der Payload So funktionieren Software-Installer unter Windows, MacOS und Linux So funktionieren Software-Installer unter Windows, MacOS und Linux Moderne Betriebssysteme bieten Ihnen einfache Methoden zum Einrichten neuer Anwendungen. Aber was passiert eigentlich, wenn Sie das Installationsprogramm ausführen oder den Befehl ausführen? Lesen Sie mehr, es ist das erste IoT-Botnetz, das mit Mirai (dem riesigen Botnetz, das auf den bekannten Sicherheitsforscher und -journalisten Brian Krebs abzielte) mit dem Rivalen konkurrieren kann..
IoT Sniffing
Das Princeton-Forschungspapier mit dem Titel Ein Smart Home ist kein Schloss [PDF] untersucht die Idee “Passive Netzwerkbeobachter, wie z. B. Internet-Service-Provider, könnten potenziell den IoT-Netzwerkverkehr analysieren, um sensible Daten über die Benutzer abzuleiten.” Die Forscher Noah Apthorpe, Dillon Reisman und Nick Feamster schauen sich das an “a Sense-Schlafmonitor 6 Intelligente Gadgets für ein besseres Schlafen 6 Intelligente Gadgets für ein besseres Schlafen Die Nachtruhe ist kein guter Weg, um einen Tag zu beginnen. Glücklicherweise gibt es viele Hausgeräte, die Ihnen dabei helfen können, einen guten Schlaf zu bekommen. Lesen Sie weiter, eine Überwachungskamera von Nest Cam Indoor, einen WeMo-Switch und ein Amazon Echo.”
Ihre Schlussfolgerung? Verkehrsfingerabdrücke von jedem Gerät sind selbst bei Verschlüsselung erkennbar.
- Nest Cam - Observer kann darauf schließen, wann ein Benutzer einen Feed aktiv überwacht oder wenn eine Kamera eine Bewegung in seinem Sichtfeld erkennt.
- Sinn - Observer kann auf Schlafmuster von Benutzern schließen.
- WeMo - Observer kann erkennen, wann eine physische Appliance in einem Smart Home ein- oder ausgeschaltet wurde.
- Echo - Observer kann erkennen, wenn ein Benutzer mit einem intelligenten persönlichen Assistenten interagiert.
Greifen Sie auf die Pakete zu
Die Zeitung von Princeton geht davon aus, dass ein Angreifer Pakete (Daten) direkt von einem ISP ausspioniert (abfängt). Ihre Analyse stammt direkt aus Paketmetadaten: IP-Paketkopfzeilen, TCP-Paketkopfzeilen und Sende- / Empfangsraten. Unabhängig vom Abfangpunkt können Sie versuchen, Daten zu interpretieren, wenn Sie auf Pakete im Übergang zugreifen können.
Die Forscher verwendeten eine dreistufige Strategie, um IoT-Geräte zu identifizieren, die an ihr provisorisches Netzwerk angeschlossen sind:
- Trennen Sie den Datenverkehr in Paketströme.
- Beschriften Sie Streams nach Gerätetyp.
- Überprüfen Sie die Verkehrsraten.
Diese Strategie hat gezeigt, dass ein potenzieller Angreifer auch dann, wenn ein Gerät mit mehreren Diensten kommuniziert “In der Regel muss nur ein einzelner Stream identifiziert werden, der den Gerätezustand codiert.” In der nachstehenden Tabelle sind beispielsweise DNS-Abfragen dargestellt, die jedem Stream zugeordnet sind und einem bestimmten Gerät zugeordnet sind.
Die Forschungsergebnisse basieren auf mehreren Annahmen, einige gerätespezifisch. Daten für den Sense-Schlafmonitor gehen davon aus, dass die Benutzer dies tun “Beenden Sie die Verwendung Ihrer Geräte nur unmittelbar vor dem Schlafengehen, sodass alle im Haushalt gleichzeitig schlafen und ihre Geräte nicht freigeben, und dass die Benutzer ihre anderen Geräte nicht ausführen, um im Ruhezustand netzintensive Aufgaben oder Updates auszuführen.”
Verschlüsselung und Schlussfolgerungen
BII schätzt, dass bis 2020 24 Milliarden IoT-Geräte online sein werden. Die Liste der Top IoT-Sicherheitsanfälligkeiten des Open Web Application Security Project (OWASP) sieht wie folgt aus:
- Unsichere Weboberfläche.
- Unzureichende Authentifizierung / Autorisierung.
- Unsichere Netzwerkdienste.
- Fehlende Transportverschlüsselung.
- Bedenken hinsichtlich des Datenschutzes.
- Unsichere Cloud-Schnittstelle.
- Unsichere mobile Schnittstelle.
- Unzureichende Sicherheitskonfigurierbarkeit.
- Unsichere Software / Firmware.
- Schlechte physische Sicherheit.
OWASP hat diese Liste 2014 herausgegeben - und seitdem hat es kein Update mehr erhalten Die Schwachstellen bleiben gleich. Wie die Princeton-Forscher berichten, ist es erstaunlich, wie einfach ein passiver Netzwerkbeobachter auf den verschlüsselten Smart-Home-Verkehr schließen kann. Glauben Sie nicht diesen 5 Mythen über die Verschlüsselung! Glauben Sie diesen 5 Mythen über Verschlüsselung nicht! Verschlüsselung hört sich komplex an, ist aber weitaus unkomplizierter als die meisten glauben. Trotzdem fühlen Sie sich vielleicht etwas zu dunkel, um die Verschlüsselung zu nutzen, also lassen Sie uns einige Mythen der Verschlüsselung aufgeben! Weiterlesen .
Die Herausforderung besteht darin, integrierte IoT-VPN-Lösungen zu implementieren oder sogar die Hersteller von IoT-Geräten davon zu überzeugen, dass sich mehr Sicherheit lohnt (im Gegensatz zu einer Notwendigkeit)..
Ein wichtiger Schritt wäre die Unterscheidung zwischen Gerätetypen. Einige IoT-Geräte sind naturgemäß sensibler für die Privatsphäre, z. B. ein integriertes medizinisches Gerät im Vergleich zu einem Amazon Echo. Bei der Analyse wurden nur Sende- / Empfangsraten des verschlüsselten Datenverkehrs verwendet, um das Nutzerverhalten zu identifizieren. Es ist keine eingehende Paketprüfung erforderlich. Während zusätzliche integrierte Sicherheitsfunktionen die Leistung von IoT-Geräten negativ beeinflussen können, liegt die Verantwortung bei den Herstellern etwas Anschein von Sicherheit für Endbenutzer.
IoT-Geräte sind zunehmend durchdringend. Antworten auf Fragen zum Schutz der Privatsphäre gibt es nicht ohne weiteres, und Untersuchungen dieser Art veranschaulichen diese Bedenken perfekt.
Haben Sie Smart Home- und IoT-Geräte in Ihrem Leben aufgenommen? Haben Sie Bedenken hinsichtlich Ihres Datenschutzes, nachdem Sie diese Untersuchung gesehen haben? Welche Sicherheit sollten Hersteller Ihrer Meinung nach in jedem Gerät installieren müssen? Lassen Sie uns unten Ihre Gedanken wissen!
Erfahren Sie mehr über: Internet der Dinge, Online-Sicherheit.