IoT: Erfahrungen aus erster Hand

Bedrohungen Spezielle Projekte

Auf dem diesjährigen #TheSAS2018 wurden überraschenderweise auch eine Reihe von Workshops im Eventablauf untergebracht. Wie Denis Makrushin, der Leiter des IoT-Workshops anmerkte, ging es hierbei vielmehr um die praktische Arbeit als um die Erarbeitung traditioneller Präsentationen. Darüber hinaus waren die Workshops auf das vielfältige Publikum der Konferenz und nicht nur auf die zum harten Kern gehörenden Sicherheitsforscher ausgerichtet.

Für mich klang das nach einer guten Ergänzung der Konferenz. Allerdings bin ich ausschließlich im Bereich Marketing und Kommunikation tätig; hätte ich am Workshop teilgenommen, wäre es meine Aufgabe gewesen unser breites Publikum auf sozialen Netzwerken usw. über die Tagungen der Konferenz zu unterrichten. Ich betrat also den Raum und dachte lediglich darüber nach, wie ich Makruschin dazu bringen könnte an einem unserer Podcasts teilzunehmen. Mir wurde allerdings schnell klar, dass er noch etwas ganz anderes im Sinn hatte, und ließ mich wissen, dass ich im Gegenzug am Workshop teilnehmen müsste.

Der Tagungszusammenfassung im Konferenzhandbuch zufolge, ging es bei dem Event um praxisnahes Lernen im Bereich „Internet der Dinge“; genauer gesagt ging es um die Gewährleistung und Verbesserung der Sicherheit dieser Geräte.

Das alles schien weit außerhalb meiner technologischen Komfortzone zu liegen. 

Die Challenge

David Jacoby beorderte mich hinter die Tastatur eines Raspberry Pis, den er für den Workshop eingerichtet hatte, und mein Angstgefühl wurde zunehmend stärker. Ich war der erste Teilnehmer im Raum, also klärte er mich darüber auf, was als Nächstes passieren würde: Für die nächste(n) Stunde(n) würde ich in einem Team gegen ein weiteres Team antreten, um ein Heimsicherheitsgerät zu entwickeln, das die folgenden Kriterien erfüllt:

  1. Es muss auf der Open-Source-Technologie basieren;
  2. Es muss Netzwerksegmentierung verwenden;
  3. Es muss über ein VPN erreichbar sein;
  4. Es darf keine Standardpasswörter akzeptieren;
  5. Es muss einfach in der Handhabung sein.

Einfach, oder?

Als wir uns dem Beginn der Tagung näherten, kamen immer mehr Leute dazu und Jacoby und Marco Preuss teilten uns in zwei Teams auf. Das gegnerische Team bestand aus Leuten, die in verschiedenen Sicherheitsbereichen arbeiteten. Mein Team bestand aus einer PR-Kollegin von Kaspersky Lab, einer Journalistin und mir. Großartig!

Kurz bevor die Sitzung begann, gesellten sich ein netter Kerl, der codieren konnte und ein Softwareentwickler zu uns, während Jacoby uns mitteilte, dass wir uns aus Zeitgründen nur auf die Erstellung der Theorie eines funktionierenden Gerätes konzentrieren konnten. Wir atmeten alle erleichtert auf.

Wir planen das perfekte vernetzte Gerät

Und schon fingen wir an darüber zu diskutieren, wie wir mithilfe der Open-Source-Technologie ein Smart Home sichern könnten. Zunächst mussten wir entscheiden, ob wir den Raspberry Pi als Router oder Firewall verwenden wollten. Beides hatte seine Vorteile, dennoch beschlossen wir, OpenDNS gemeinsam mit Datentabellen zu verwenden, um eine Whitelist zu erstellen. Aus VPN-Sicht hatten wir geplant OpenVPN und PiVPN auszuführen. Darüber hinaus  wollten wir unseren Geräten im Netzwerk eigene Zertifikate  sowie ein Gastnetzwerk für Besucher unseres theoretischen Smart Homes hinzufügen.

Ich muss zugeben, dass wir ziemlich zufrieden mit uns selbst waren. Dieses ganze Sicherheitsding war nicht so schwer, wie ich anfangs gedacht hatte. Nach etwa einer Stunde in der wir unsere Ideen immer und immer wieder durchgingen, war es an der Zeit, Jacoby und Preuss unsere Arbeit zu präsentieren.

Als die beiden das theoretische Produkt des ersten Teams quasi in der Luft zerrissen, waren wir noch relativ zuversichtlich. Nachdem wir 10 verschiedene Begründungen gehört hatten, warum der erste Lösungsansatz nicht alle geforderten Kriterien erfüllen würde, waren wir an der Reihe. Unsere Jungs präsentierten die Idee, von der wir sicher waren, dass sie uns einige Millionen US-Dollar einbringen würde, ziemlich gut. Die beiden Juroren sahen das allerdings etwas anders und nahmen uns relativ schnell den Wind aus den Segeln.

Nicht ganz einfach

Letzten Endes war das auch der Zweck des Workshops. Wir beenden jede Geschichte über IoT-Katastrophen und Sicherheitsmängel mit einem leichtfertigen Aufruf an IoT-Entwickler, die Sicherheit ihrer Geräte an erste Stelle zu setzen. Im Workshop haben wir allerdings aus erster Hand erfahren, wie viel einfacher es ist, ein Konzept zu entwickeln, als dieses sowohl sicher als auch nutzbar zu machen.

Der Workshop hat uns dazu gebracht unsere Komfortzone zu verlassen und über ein sehr reales und stetig wachsendes Problem nachzudenken, dem wir ins Auge sehen, da immer mehr Geräte mit dem Internet verbunden sind. Obwohl jeder Einzelne von uns bitterlich scheiterte, war die Tagung auf dem #SAS2018 wirklich etwas Besonderes, da es sich um eine aktive Challenge und nicht um bloßes Hinsetzen und Zuhören handelte.

Wenn Sie vernetzte Geräte zu Hause haben und sich fragen, wie sicher diese sind, kann Ihnen unser IoT-Scanner behilflich sein. Zudem sollten Sie alles erdenklich Mögliche tun, um die Sicherheit Ihrer Geräte zu erhöhen. Dazu gehören auch die Änderung Ihrer Passwörter und die Aktualisierung der Firmware.