IT-Security Management & Technology Conference 2018

Angriffe auf Smart Homes und das Internet der Dinge

| Autor / Redakteur: Prof. Dr.-Ing. Andreas Noack / Peter Schmitz

Smart-Home-Hersteller wähnen ihre Lösungen sicher, weil sie proprietäre Protokolle einsetzen, aber neue Analysetechniken und einfach verfügbare Soft- und Hardware machen Angriffe immer leichter!
Smart-Home-Hersteller wähnen ihre Lösungen sicher, weil sie proprietäre Protokolle einsetzen, aber neue Analysetechniken und einfach verfügbare Soft- und Hardware machen Angriffe immer leichter! (© sdecoret - stock.adobe.com)

Die Welt bewegt sich, neue Technologien und Trends finden immer schneller Einzug in unseren Alltag! Ein besonderes Beispiel hierfür ist das Internet der Dinge, das die Vernetzung von Kleinstkomponenten wie Smartphones, Smart Speaker oder Netzwerkkameras beschreibt. All diese Dinge verfügen heute über einen Netzwerkzugang, kommunizieren untereinander und mit dem Menschen und nahezu jedes Gerät hat Sicherheitslücken.

Immer mehr Hersteller konzentrieren sich aktuell auf die Erleichterung von Prozessen im Alltag: Unsere Häuser werden digital. Die bedarfsgerechte Steuerung der Heizung, das automatische Regeln der Beleuchtung bei Dunkelheit oder das Öffnen der Haustür via Smartphone-App sind Dinge, die in vielen Häusern von Morgen nicht fehlen werden. Viele Hersteller haben diese Entwicklung erkannt und überfluten den Markt seitdem mit digitalen Geräten für alle Lebenslagen. So vielfältig wie die Geräte sind auch die überwiegend drahtlosen Kommunikationsprotokolle, meistens entwickelt von Spezialisten aus dem Fachgebiet der Kommunikationstechnik. Bei dieser klassischen Disziplin steht die Stabilität der drahtlosen Kommunikation oft im Vordergrund, so dass es auf dem Markt sehr viele Produkte gibt, die hervorragend funktionieren.

Doch die Zeiten ändern sich, mit einer steigenden Konnektivität wächst auch die Zahl der Leute, die sich mit der Sicherheit der Produkte auseinandersetzen – mit dem einen oder anderen Blickwinkel. Für viele Sicherheitsexperten war das Feld der „Smart Homes“ bisher schwierig zu erreichen, denn oft werden proprietäre Funktechnologien eingesetzt, für die es keine einheitliche Analyseschnittstelle gibt.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2018

Neue Technik erleichtert Analysen und Angriffe

Mit der Verfügbarkeit von Software Defined Radios (SDR), die mittlerweile schon für wenige Euro zu erwerben sind (Nur Empfangen, nicht senden), ändert sich die Sachlage. Proprietäre Funkprotokolle auf den gebräuchlichen Frequenzen (ISM-Bänder - Industrial, Scientific and Medical Band) lassen sich mit SDRs aufzeichnen und in einer geeigneten Software analysieren. Dabei stellt eine moderne Analysesoftware wie der Universal Radio Hacker (URH) viele Funktionen zur Verfügung, die die Analyse von Funkprotokollen erleichtern.

Die Analysesoftware URH wurde für Sicherheitsanalysten aus den theoretischen Disziplinen und Amateuerhacker entwickelt, d.h. Problemstellungen aus der klassischen Disziplin der Kommunikationstechnik werden abstrahiert oder automatisiert gelöst. Somit ist selbst der Laie in der Lage, sich die Bits und Bytes seiner Smart-Home-Kommunikation sichtbar zu machen. Ist dies geschehen, gibt die Analysesoftware Hilfestellungen bei der Zuordnung von Funktionen zu einzelnen Bits und Bytes. Mit teureren SDR Geräten, z.B. HackRF One ab etwa 285 Euro, und der Unterstützung der Software URH ist es zudem möglich, beliebige Nachrichten für die Luftschnittstelle zu konstruieren. Das Durchprobieren aller möglichen Werte für einen bestimmten Protokollbereich (Fuzzing) oder das Erstellen von gefälschten, möglicherweise sogar verschlüsselten, Nachrichten bereitet dann keine Probleme mehr.

Es ist neuerdings sogar möglich, entsprechende Hardware vorausgesetzt, in den Echtzeitdialog mit physikalischen Komponenten zu treten, so dass auch die Sicherheit komplexer Protokolle untersucht werden kann. All dies ist über eine ergonomisch optimierte graphische Oberfläche zu bewerkstelligen. Zusätzlich wird es Profis möglich gemacht, eigene Scripte und Programme in den Workflow einzubinden.

Die Konsequenz aus der Verbreitung von Software Defined Radios und Analysetools wie dem Universal Radio Hacker ist, dass es nun an den Herstellern ist, in die Sicherheit ihrer Protokolle zu investieren. Genau so wie in anderen Teilgebieten der IT-Sicherheit zeigt sich im Bereich von Smart-Home-Protokollen, dass zum Teil noch ein erheblicher Nachholbedarf im Bezug auf die Sicherheit besteht. Ganz besonders günstige Produkte (z.B. Funksteckdosen aus dem Baumarkt) weisen oftmals keinerlei Sicherheitsvorkehrungen auf, aber auch teure Produkte haben eklatante Sicherheitslücken. Sei es das vollintegrierte Smart-Home-System mit vielen Sensoren und Aktoren oder der Garagentoröffner. Was gestern noch unsichtbar blieb, weil die Analyse sehr unhandlich war, ist für Angreifer heute leicht zu finden!

Mehr über Angriffe auf die Funkschnittstelle von Smart-Home-Komponenten erfahren Sie in der Keynote „Angriffe auf Smarthome und das Internet der Dinge leicht gemacht!“ die Prof. Dr. Noack in diesem Jahr auf der IT-Security Management & Technology Conference hält.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2018

Prof. Dr. Andreas Noack ist an der Hochschule Stralsund für das Gebiet Kommunikationsnetze und IT-Sicherheit verantwortlich.
Prof. Dr. Andreas Noack ist an der Hochschule Stralsund für das Gebiet Kommunikationsnetze und IT-Sicherheit verantwortlich. (Bild: Prof. Noack)

Über den Autor: Prof. Dr.-Ing. Andreas Noack begann mit dem Studium der Angewandten Informatik (B.Sc.) an der Fachhochschule Münster und setzte dieses mit dem Studium der IT-Sicherheit (M.Sc.) an der Ruhr-Universität Bochum fort. Im Anschluss daran promovierte Andreas Noack an der Ruhr-Universität Bochum über die Sicherheit in Wireless Mesh Netzwerken (Dr.-Ing.) mit dem Fokus auf kryptographische Protokolle. Parallel zum Studium und der Promotion war Andreas Noack als Projektleiter und Ingenieur für die Embigence GmbH und die MineTronics GmbH tätig. Seit 2011 ist Andreas Noack Professor an der Hochschule Stralsund für das Gebiet Kommunikationsnetze und IT-Sicherheit, Fachbuchautor, Organisator der Stralsunder IT-Sicherheitskonferenz und Mitglied des Digitalisierungsbeirats von Mecklenburg-Vorpommern. Außerdem ist Prof. Noack Keynote-Sprecher der IT-Security Management & Technology Conference 2018!

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45251321 / Internet of Things)