In diversen Blogposts haben wir Ihnen bereits die Möglichkeiten, aber auch die enormen Gefahren des Internet of Things (IoT) aufgezeigt. Nun lernen Sie IoT aus einer ganz anderen Perspektive kennen, nämlich aus der unserer Penetration Tester. An der InfoGuard Security Lounge vom 20. Juni 2017 zeigten diese eindrücklich, wie leicht alltägliche IoT-Geräte zu knacken sind. Was sie herausgefunden haben und was ein Pentester generell macht, erfahren Sie hier!
Die achte Ausgabe der Security Lounge unter dem Motto «Business 4.0 dank Cyber Security ‒ Artificial Intelligence als Schlüssel zum Erfolg» war wiederum ein voller Erfolg. Unsere internen Spezialisten, Kunden, Partner sowie externe Experten erzählten aus erster Hand, wohin uns die Reise führt und wie Sie sich effektiv vor den Gefahren schützen können. Einen ganz anderen Einblick in die Welt des IoT haben unsere Pentester anhand realer Cases gezeigt. Bei InfoGuard versuchen sie tagtäglich, mittels simulierten Cyberattacken Sicherheitslücken im Sicherheitsdispositiv unserer Kunden zu finden – und sind dabei kreativer als man es sich vorstellen kann! Unsere Querdenker nutzen dabei Techniken wie technische Audits, gezielte Penetration Tests, beispielweise für die Überprüfung einer Webapplikation, Social Engineering-Techniken (Spear Phishing, Malware-Attacken, physisch vor Ort) oder auch Recherchen in sozialen Netzwerken, im Internet an sich oder im Darknet. Dies erlaubt es, sehr nahe an einen realen Angriff heranzukommen und diesen proaktiv durchzuspielen. Daraufhin werden mit spezifischen Massnahmen die gefundenen Schwachstellen eliminiert, um so ein Worst-Case-Szenario zu verhindern.
Weshalb nicht mal Ihr Kühlschrank vor einer Attacke sicher ist
Für die Präsentation haben unsere Pentester verschiedene, smarte IoT-Alltagsgeräte durchleuchtet – mit erschreckenden Ergebnissen. Aber alles der Reihe nach… Was darf in einem Office nicht fehlen? Natürlich – gutes Essen! Bei InfoGuard steht ein intelligenter Kühlschrank, bei dem mittels Badge alle Personendaten hinterlegt sind, inkl. konsumierten Lebensmitteln und Kreditkartennummer – ein perfektes Ziel also für Hacker. Dabei gelang es den Pentestern, nach einer Analyse der Kommunikation zwischen Kühlschrank und Backend, diverse Schwachstellen zu identifizieren. Diese Schwachstellen ermöglichten die Abfrage der Identifikationsnummer (UID) der Badges beliebiger Benutzer über das Internet. Daraufhin war es ein leichtes, mit entsprechender Hardware RFID-Signale (Radio-frequency identification) eines Benutzers zu erzeugen und so auf Kosten eines Dritten zu speisen. Toll, oder? Und was, wenn die gleiche UID für mehrere Systeme verwendet wird, beispielsweise für das Zutrittssystem im Unternehmen? Wenn sich die Lesegeräte der Zutrittssysteme mit der UID begnügen und keine weitere Authentisierung tätigen, dann liessen sich auch diese knacken, was die Pentester an elektronischen Eingangstüren sogleich demonstrierten. Der Hersteller des Kühlschranks hat die Sicherheitslücken übrigens im Nu behoben – so, wie es eigentlich sein sollte.
Und auch um ein Auto auszurauben brauchen moderne Diebe heutzutage keine Brechstange mehr. Aus einer internen Wette heraus machten sich unsere Spezialisten einen Spass und knackten in einer freien Minute kurz das Auto eines Kollegen. Hierfür konnten sie aus einer Kombination von gewandtem Social Engineering das Signal des Schlüssels unbemerkt aufzeichnen, als der Schlüssel ausser Reichweite des Autos war. Die Pentester zeichneten das Signal für den Öffnungsprozess des Schlüssels auf und konnten so das Signal mit einem SDR-Gerät beim Auto widergeben, bevor das Signal durch den Besitzer versendet wurde. Der Kollege kam übrigens unbeschadet davon – abgesehen von einer Einladung zum Lunch.
Wenn aus Spass bitterer Ernst wird
Zum Schluss demonstrierten die Pentester einen doch sehr ernst zu nehmenden und bedenklichen Fall, der aber leider keine Seltenheit ist. Auch Zuhause finden sich unzählige Smart Devices, auf denen wir persönliche Daten speichern. Was, wenn all diese Daten missbraucht würden? Was, wenn intime Details aus Ihrem Privatleben oder dem Ihrer Familie ins Netz gelangten? In diesem Fall schafften es die Hacker, ein Babymonitoring-System eines bekannten Herstellers zu hacken. Das Besondere an diesem Model ist, dass es sich via App steuern und das Kind mit dem Smartphone auch beobachten lässt.
Als erstes fielen den Experten diverse «grundlegende» Sicherheitslücken auf, die offenbar leider schon länger bestehen. Unsere Pentester entdeckten aber noch mehr: Der Server, mit welchem die Kamera kommuniziert, ist kaum geschützt. Dieser zeichnet auch auf, wann die Kamera online und unter welcher IP-Adresse das Gerät erreichbar ist. Sobald die Kamera offline geschaltet wird, wird sie vom Server abgemeldet. Nun war es ein leichtes, sich als vermeintliches Babyphone auszugeben und so das Passwort, welches beim Öffnen der App automatisch an den Server gesendet wird, abzufangen. Daraufhin konnten sie mit einem selbstgeschriebenen Programm alle zum Zeitpunkt aktiven Kameras inklusive IP-Adresse aufzeichnen. Mit der Smartphone-App hätten die Kameras nun ganz einfach gehackt werden können, um beispielsweise die Aufnahmen des Gerätes zu missbrauchen. Was die Experten allerdings am meisten schockiert hat ist, dass offenbar mehrere Hersteller die gleiche Infrastruktur nutzen und diese somit ebenfalls gegenüber solchen Attacken exponiert sein könnten.
Wie kann ich mich schützen?
Sie merken; sowohl geschäftlich wie auch privat sollte man vorsichtig sein im Umgang mit IoT-Devices, besonders wenn Cloud-Dienste im Einsatz sind. Von Geräten mit nicht dokumentierten Anbindungen zu externen Cloud Services raten unsere Spezialisten gänzlich ab. Für Unternehmen lohnt es sich, ihre Systeme regelmässig auf den Prüfstand zu stellen und allfällige Sicherheitslücken durch Externe aufdecken zu lassen – und genau hier kommen unsere Penetration Tester ins Spiel. Unsere Cyber Attack Simulations gehen über den normalen Scope hinaus, im Gegensatz zu Penetration Tests, welche meist nur auf die Überprüfung einer Webanwendung oder eines Perimeters ausgelegt sind. Einem Angreifer ist es jedoch egal, ob er über einen Zero-Day-Exploit, eine unsichere Webapplikation, eine bekannte IT-Schwachstelle oder einen Mitarbeitenden an die gewünschten Informationen kommt. Ihn interessiert nur das Ergebnis. Bei der InfoGuard Cyber Attack Simulation fällt deshalb dieser Scope weg – der Kreativität unserer Experten sind somit keine Grenzen gesetzt! Sie definieren den finanziellen Umfang der Überprüfung und wir zeigen Ihnen, wie weit ein Hacker mit diesem Budget kommen würde.
Interessiert? Hier erfahren Sie mehr zu unserer Cyber Attack Simulation!
