Ja, an dieser punkt ist es ein Klischee, dass billige, generische Internet-of-Things-Produkte Schwachstellen beherbergen können, die potenziell Millionen oder sogar Milliarden von Geräten freilegen. Und doch ist es nicht weniger dringend jedes Mal. Neue Forschungsergebnisse der IoT-Sicherheitsfirma Forescout zeigen 33 Fehler in einem Open-Source-Internetprotokollpaket, das potenziell Millionen eingebetteter
Angriffen wie Deminittitieren von Informationen,
Denial-of-Service und totaler Übernahme aussetzt. Die betroffenen Geräte
laufen im Bereich: Smart-Home-Sensoren und -Leuchten,
Barcode-Lesegeräte, Unternehmensnetzwerk-Geräte,
Gebäudeautomatisierungssysteme und sogar industrielle Steuerungsgeräte.
Sie sind schwierig, wenn nicht gar unmöglich zu patchen – und führen zu
einem echten Risiko, dass Angreifer diese Fehler als ersten Schritt in
eine Vielzahl von Netzwerken ausnutzen könnten.
Auf der Black Hat
Europe Sicherheitskonferenz am Mittwoch werden Forescout-Forscher die
Schwachstellen in sieben Open-Source-TCP/IP-Stacks, der Sammlung von
Netzwerkkommunikationsprotokollen, die Verbindungen zwischen Geräten und
Netzwerken wie dem Internet vermitteln, detailliert beschreiben. Die
Gruppe schätzt, dass Millionen von Geräten von mehr als 150 Anbietern
wahrscheinlich die Schwachstellen enthalten, die sie gemeinsam Amnesia:33nennen.
Die sieben Stacks sind
alle Open Source und wurden in vielen Formen geändert und
wiederveröffentlicht. Fünf der sieben gibt es seit fast 20 Jahren, zwei
sind seit 2013 im Umlauf. Diese Langlebigkeit bedeutet, dass es viele
Versionen und Variationen von jedem Stapel gibt, ohne zentrale
Autorität, Patches ausstellen zu können. Und selbst wenn es sie gäbe,
müssten Hersteller, die den Code in ihre Produkte integriert haben,
proaktiv den richtigen Patch für ihre Version und Implementierung
übernehmen und dann an die Benutzer verteilen.
"Was mich am meisten
erschreckt, ist, dass es sehr schwer zu verstehen ist, wie groß die
Auswirkungen sind und wie viele anfälligere Geräte da draußen sind",
sagt Elisa Costante, Vice President of Research bei Forescout. "Diese
anfälligen Stacks sind Open Source, so dass jeder sie nehmen und
verwenden kann und Sie können es dokumentieren oder nicht. Die 150, die
wir bisher haben, sind die, die wir finden konnten, die dokumentiert
wurden. Aber ich bin sicher, es gibt Tonnen und Tonnen von anderen
anfälligen Geräten, die wir einfach noch nicht kennen."
Get WIRED for $10 $5. Subscribe
Now
Schlimmer noch, in
vielen Fällen wäre es für Gerätehersteller selbst nicht möglich, Patches
zu schieben, selbst wenn sie wollten oder könnten. Viele Anbieter
erhalten grundlegende Funktionen wie den TCP/IP-Stack von den "Systemen
auf einem Chip", die von Siliziumherstellern von Drittanbietern
bereitgestellt werden, die ebenfalls an einer Korrektur beteiligt sein
müssten. Und es ist alles andere als selbstgegeben, dass viele dieser
Parteien sogar eine Möglichkeit hätten, einen Patch zu liefern. In
einigen Fällen fanden Forescout-Forscher beispielsweise heraus, dass
Schwachstellen in einer Vielzahl von Geräten alle auf einen
System-on-a-Chip-Hersteller zurückgeführt werden könnten, der in Konkurs
ging und nicht mehr im Geschäft ist.
"Diese Situationen sind
einfach so ein lächerliches Durcheinander, ich weiß nicht, was ich sonst
noch dazu sagen soll", sagt Ang Cui, ein langjähriger IoT-Hacker und CEO
der embedded security firm Red Balloon Security. "Man kann sagen: 'Nun,
IoT-Sicherheit ist schlecht, es ist keine Überraschung.' Aber es gibt
ein echtes kumulatives Risiko mit jeder dieser Arten von großen,
systemischen Enthüllungen, und es kann sich wie eine große Überraschung
für die meisten Menschen anfühlen, wenn Angreifer kommen und beginnen,
sie tatsächlich auszunutzen. Wir müssen bei der Sicherung dieser
Produkte besser werden."
Viele der
Schwachstellen, die die Forescout-Forscher fanden, sind grundlegende
Programmierübersichten, wie das Fehlen von so genannten
Input-Validierungsprüfungen, die ein System davon abhalten,
problematische Werte oder Operationen zu akzeptieren. Denken Sie an
einen Rechner, der einen Fehler erzeugt, wenn Sie versuchen, durch Null
zu dividieren, anstatt von der Belastung abzustürzen, herauszufinden,
wie es zu tun ist. Viele der Fehler sind "Speicherbeschädigungsfehler" –
daher der Name Amnesia:33 –, die es einem Angreifer ermöglichen, Daten
aus dem Speicher eines Geräts zu lesen oder Daten hinzuzufügen, sodass
sie Informationen exfiltrieren, das Gerät nach Belieben abstürzen oder
die Kontrolle übernehmen können. Einige der Sicherheitsanfälligkeiten
beziehen sich auch auf Internetkonnektivitätsmechanismen. wie der Stack
Domain-Name-System-Datensätze und Internet-Protokoll-Adressierung wie
IPv4 und die neuere IPv6 behandelt.
Critical Flaws in Millions of IoT Devices May Never Get Fixed | WIRED
https://www.wired.com/story/amnesia33-iot-vulnerabilitiesmay-never-get-fixed/