21 Aug 2014

Wie ich mein Haus hackte

Bedrohungen

Die Sicherheit smarter Geräte ist ein heißes Thema. Es gibt viele Artikel darüber, wie Hacker und Forscher Sicherheitslücken in Autos, Kühlschränken, Hotels oder Alarmanlagen finden. All diese Dinge werden unter dem Begriff „Internet der Dinge“ zusammengefasst – einem der meistdiskutierten Themen der Branche. Das Problem bei dieser Art Forschung ist, dass es uns oft nur wenig betrifft. Ich habe über das Thema nachgedacht und bemerkt, dass es keinen Sinn hat, über potenzielle zukünftige Gefahren nachzudenken, wenn man sich nicht vor aktuellen Bedrohungen schützen kann. Ein typisches modernes Haus kann etwa fünf Geräte haben, die mit dem lokalen Netzwerk verbunden sind, zum Beispiel Smart-TV, Drucker, Spielekonsole, Netzwerk-Speichergerät und irgendeinen Medien-Player/Satelliten-Receiver.

House

Ich habe deshalb beschlossen, ein Forschungsprojekt zu starten und herauszufinden, wie einfach es ist, mein eigenes Haus zu hacken. Sind die Geräte, die mit meinem Netzwerk verbunden sind, angreifbar? Was könnte ein Angreifer mit diesen Geräten machen? Ist mein Haus „hackbar“? Bevor ich damit angefangen habe, war ich ziemlich sicher, dass mein Haus recht gut geschützt ist; ich meine, ich arbeite seit mehr als 15 Jahren in der Sicherheitsbranche und bin daher ein bisschen Paranoid wenn es zum Beispiel um die Installation von Sicherheits-Patches geht. Ich glaubte, es gäbe andere Häuser, die viel leichter hackbar wären als meines, denn ich habe auch gar nicht viele Hi-Tech-Spielereien zu Hause.

Während meiner Forschung habe ich mich nicht um Computer, Tablets oder Handys gekümmert, sondern um all die anderen Geräte, die bei mir zu Hause mit dem Netzwerk verbunden sind. Zu meiner Überraschung stellte sich heraus, dass ich tatsächlich ganz schön viele verschiedene Dinge habe, die mit dem Netzwerk verbunden sind. Die meisten davon sind Home-Entertainment-Geräte: Smart-TV, Satelliten-Receiver, DVD/Blu-ray-Player, Netzwerk-Speichergeräte und Spielekonsolen. Zudem ziehe ich momentan auch noch um und habe mit meiner örtlichen Sicherheitsfirma gesprochen. Diese hat vorgeschlagen, dass ich das aktuellste Alarmsystem installieren sollte, das dann mit dem Netzwerk verbunden ist und über meine mobilen Geräte gesteuert werden kann… Doch nachdem ich meine Forschung durchgeführt habe, bin ich nicht mehr so sicher, ob das eine gute Idee ist.

Hier eine Liste einiger Geräte meines Netzwerks:

  • Network Attached Storage (NAS) vom bekannten Hersteller #1
  • NAS vom bekannten Hersteller #2
  • Smart-TV
  • Satelliten-Receiver
  • Router meines Internet-Providers
  • Drucker

Um einen Hack als erfolgreich bezeichnen zu können, musste eines der folgenden Ziele erreicht werden:

  • Zugriff auf ein Gerät erlangen; zum Beispiel, um auf Dateien der NAS-Geräte zugreifen zu können
  • Administrativen Zugriff auf das Gerät erlangen
  • Das Gerät so ändern/modifizieren können, dass ich es für meine eigenen Zwecke einsetzen kann (Backdoor usw.).
House2

Bevor ich loslegte, habe ich alle Geräte mit der neuesten Firmware-Version aktualisiert. Dabei ist mir aufgefallen, dass nicht alle Geräte über automatische Update-Systeme verfügen, was den ganzen Prozess ziemlich mühsam machte. Eine andere interessante Beobachtung war, dass die meisten der Produkte schon vor über einem Jahr eingestellt wurden oder es einfach keine Updates dafür gab.

Der Hack

Nachdem ich die NAS-Geräte genauer angesehen hatte, fand ich über 14 Sicherheitslücken, die einem Angreifer erlauben würden, aus der Ferne Systembefehle mit höchsten administrativen Rechten auszuführen. Die zwei Geräte hatten nicht nur ein angreifbares Web-Interface, sondern auch die lokale Sicherheit auf den Geräten selbst war recht ärmlich. Zudem hatten sie sehr schwache Passwörter, viele Konfigurationsdateien hatten falsche Berechtigungen und sie enthielten Passwörter in Klartext. Weitere Details zu den Hacks der Geräte finden Sie in meinem längeren Securelist-Artikel.

Während des Projekts entdeckte ich weitere Geräte, die „versteckte“ Funktionen hatten; eines dieser Geräte war mein DSL-Router, den ich von meinem Internet-Anbieter bekommen hatte. Ich fand darin Tonnen von Funktionen, auf die ich keinen Zugriff hatte. Ich gehe davon aus, dass mein Internet-Anbieter oder der Hersteller VOLLE KONTROLLE über das Gerät hat, damit alles mögliche machen und auch auf diese Funktionen zugreifen kann. Wenn man die Namen der „versteckten“ Funktionen ansieht, scheint es, dass der Internet-Anbieter zum Beispiel Tunnel erstellen kann, um sich mit jedem Gerät im Netzwerk zu verbinden. Stellen Sie sich vor, diese Funktion gelangt in die falschen Hände. Ich verstehe, dass diese Funktionen dazu da sind, dem Internet-Anbieter bei Support-Anfragen zu helfen, doch wenn Sie sich selbstmit dem administrativen Konto einloggen, haben Sie keine volle Kontrolle über ihr eigenes Gerät, und damit wird es ziemlich angsteinflößend. Vor allem, wenn manche der Funktionen erschreckende Namen haben wie „Web-Kameras“, „Telefon-Experten-Konfiguration“, „Zugangskontrolle“, „WAN-Erkennung“ und „Update“.

Ich arbeite momentan noch an diesen Dingen, um zu sehen, was die Funktionen wirklich machen. Wenn ich hier weitergekommen bin und etwas Interessantes herausgefunden habe, werde ich sicher einen weiteren Artikel dazu schreiben.

Um den Smart-TV und die Media-Player zu hacken, musste ich kreativ werden. Ich musste mit der Vorstellung spielen, dass ich ein Angreifer bin und bereits die beiden NAS-Geräte kompromittiert habe – was sollte ich also als nächstes machen? Die Media-Player lesen am wahrscheinlichsten Informationen von den Speichergeräten (die ich ja bereits gehackt hatte). An diesem Punkt erforschte ich potenzielle Sicherheitslücken für die Code-Ausführung mit dem Smart-TV und dem DVD-Player, doch da die Geräte recht teuer waren, konnte ich das nicht weiter verfolgen. Dabei ging es nicht nur um das verlorene Geld, falls ich die Geräte kaputt machen würde, sondern auch darum, wie ich meinen Kindern erklären sollte, dass der Fernseher nicht mehr funktioniert; wie sollten sie dann „Scooby Doo“ ansehen?

Allerdings habe ich beim Smart-TV ein seltsames Problem gefunden: Wenn der Nutzer die Haupteinstellungen des Fernsehers öffnet, werden alle Icons und Widgets von den Servern des Herstellers heruntergeladen, wenn das Gerät Netzwerkzugriff hat. Der Fernseher nutzt keine Authentifizierung oder Verschlüsselung beim Herunterladen der Inhalte. Das bedeutet, dass ein Angreifer einen Man-in-the-Middle-Angriff auf dem Fernseher durchführen und die Bilder der Administrationsoberfläche ändern kann. Zudem kann er jedes JavaScript in den Fernseher laden, was nicht gerade gut ist. Ein potenzieller Angriffsvektor ist nämlich, per JavaScript lokale Dateien des Geräts auszulesen und die Inhalte der Dateien zu verwenden, um weitere Sicherheitslücken zu finden. Aber daran arbeite ich bereits mit dem Hersteller, um herauszufinden, ob das möglich ist oder nicht. Als Beweis meiner Attacke habe ich das Bild eines Widgets mit einem Foto von Borat ausgetauscht. Yakshemash!

House3

Fazit

Ich nenne in diesem Artikel keine Namen und Hersteller des Fernsehers, der NAS-Geräte oder des DSL-Routers – und das absichtlich. Ziel meiner Forschung ist nicht, mit unentdeckten Sicherheitslücken anzugeben, die ich gefunden habe, oder zu sagen, dass Home-Entertainment-Geräte große Sicherheitsprobleme haben. Sicherheitslücken wird es immer geben, das müssen wir wissen; allerdings heißt dieses Verständnis nicht, dass man Sicherheitslücken akzepiert. Ich denke, wir müssen etwas dagegen unternehmen; wir müssen die Auswirkungen kennen und annehmen, dass unsere Geräte kompromittiert werden können oder sogar bereits kompromittiert worden sind. Wir müssen anfangen, davon auszugehen, dass Produkte angreifbar sind und Angreifer Zugriff darauf bekommen können und werden.

Ich möchte diesen Artikel damit beschließen, zu sagen, dass wir als Anwender und auch die Firmen die Risiken verstehen müssen, die mit Netzwerkgeräten kommen. Wir müssen auch verstehen, dass unsere Informationen nicht sicher sind, nur weil wir ein starkes Passwort verwenden oder eine Schutzlösung einsetzen. Und wir müssen verstehen, dass es viele Dinge gibt, über die wir keine Kontrolle haben und dass wir im Großen und Ganzen in der Hand der Software- und Hardware-Hersteller sind. Es hat mich weniger als 20 Minuten gekostet, in einem als sicher geltenden Gerät extrem gefährliche Sicherheitslücken zu finden und zu verifizieren – ein Gerät, dem wir vertrauen und auf dem wir alle möglichen Informationen speichern, die nicht gestohlen werden sollen.

Wir müssen alternative Lösungen finden, die Heimanwendern und Firmen helfen, ihre Sicherheit zu verbessern. Dieses Problem kann nicht einfach durch die Installation eines Produkts oder eines Sicherheits-Patches gelöset werden; und auch wenn sich die Home-Entertainment-Branche nicht sehr um die Sicherheit kümmert, kann ich sagen, dass wir bei Kaspersky Lab dies schon tun. Und mit ein paar einfachen Tipps können wir die Sicherheit ein bisschen verbessern. Hoffentlich lesen auch einige Hersteller diesen Artikel und verbessern die Sicherheit ihrer Software. Doch bis dahin können Sie sich an folgende Tipps halten:

  • Stellen Sie sicher, dass all Ihre Geräte mit den neuesten Sicherheits- und Firmware-Updates aktualisiert sind. Dieses gilt für viele Home-Office- und Entertainment-Geräte, und ist immer noch das Beste, das Sie machen können, um nicht unbekannten Sicherheitslücken komplett ausgeliefert zu sein. Zudem bekommen Sie dadurch eine Ahnung, ob es überhaupt Updates für die Geräte gibt, oder ob es sich eher um „tote“ Produkte handelt.
  • Stellen Sie sicher, dass die Standard-Nutzernamen und –Passwörter geändert worden sind, denn ein Angreifer wird als erstes ausprobieren, Ihre Geräte mit diesen Standarddaten zu kompromittieren. Denken Sie daran, dass sogar die Administrationsoberflächen „dummer“ Geräte wie Satelliten-Receiver oder Netzwerk-Festplatten oft angreifbar sind und ernste Sicherheitslücken enthalten.
  • Verwenden Sie Verschlüsselung, selbst bei Dateien, die Sie auf dem NAS-Gerät speichern. Wenn Sie kein Verschlüsselungs-Tool haben, können Sie die Dateien auch einfach in eine Passwort-geschützte ZIP-Datei legen; das ist immer noch besser als gar kein Schutz.
  • Die meisten Heim-Router und –Switches haben die Möglichkeit, verschiedene DMZ/VLAN einzurichten. Das bedeutet, Sie können Ihr eigenes „privates“ Netzwerk für Ihre Netzwerkgeräte einrichten, so dass der Netzwerkzugriff vom und auf das Gerät eingeschränkt ist.
  • Nutzen Sie Ihren gesunden Menschenverstand und denken Sie daran, dass alles gehackt werden kann, sogar Ihre Hardware-Geräte.
  • Und wenn Sie richtig paranoid sind, können Sie immer den ausgehenden Datenverkehr dieser Geräte überwachen, um zu bemerken, wenn etwas Seltsames vor sich geht. Dafür benötigen Sie allerdings etwas technisches Wissen. Ein weiterer guter Tipp ist, für die Netzwerkgeräte den Zugriff auf Seiten zu sperren, auf die sie nicht zugreifen müssen, und ihnen nur zu erlauben, Updates herunterzuladen und nichts anderes.