![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Momentan wird ja allerorten das Internet of Things (IoT) propagiert und wer sich solchen Ger\u00e4ten verweigert, ist irgendwie \"old school\". Doof nur, dass man sich mit den IoT-Teilen Sicherheitsl\u00f6cher wie Scheunentore in seine eigenen Netze holt. Hier noch ein kleiner Sammelbeitrag zum Thema. <\/p>\n
<\/p>\n
Einfach ein kleiner Szenenwechsel. Bei The Register lese ich ein paar Tage vorher den Artikel Internet of Sins: Million more devices sharing known private keys for HTTPS, SSH admin<\/a> und den zutreffenden Untertitel \"IoT == Immensely Obvious Threat\" (ziemlich offensichtliche Bedrohung). Eine Untersuchung von SEC Consult<\/a> zeigt, dass in Millionen IoT-Ger\u00e4ten, vom Router bis zur Webcam, bekannte Schl\u00fcssel f\u00fcr SSH und HTTPS verwendet werden. Der Umfang ist von 3,2 Millionen Ger\u00e4ten im November 2015 auf 4,5 Millionen Ger\u00e4te im Sommer 2016 angestiegen. Grund: Die Hersteller verwenden hardcodierte Schl\u00fcssel in den Ger\u00e4ten, anstatt jedem Ger\u00e4t einen eigenen Schl\u00fcssel f\u00fcr SSH- und HTTPS-\u00dcbertragungen zuzuweisen. Wer den Schl\u00fcssel kennt, kann also die Kommunikation mitlesen \u2013 auch wenn diese verschl\u00fcsselt ist. <\/p>\n Passt nat\u00fcrlich wunderbar zu meinem Beitrag Google Chrome zeigt http-Seiten 'demn\u00e4chst' als unsicher an<\/a> vom Wochenende. Der Benutzer bekommt die Konfigurationsseite des IoT-Ger\u00e4ts als sicher, weil per https<\/em> erreichbar angezeigt, aber die Kommunikation ist offen wie ein Scheunentor. <\/p>\n Und die weitere Nachricht vom Wochenende findet sich bei heise.de im Artikel Sicherheitsexperten finden IoT-Botnet<\/a>. Eine Malware greift IoT-Ger\u00e4te auf Linux-Basis \u00fcber Telnet-Zug\u00e4nge an. Das Botnet l\u00e4uft auf IoT-Ger\u00e4ten, die mit veralteter Firmware ausgestattet sind. Nach der Infektion verwischt die Malware ihre Spuren und wird nur im Speicher des Ger\u00e4ts ausgef\u00fchrt. Ein Neustart l\u00f6scht dann zwar die Malware \u2013 da IoT-Ger\u00e4te aber i.d.R. rund um die Uhr laufen, d\u00fcrfte die Infektion lange aktiv bleiben. Weitere Details hier<\/a> und hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Momentan wird ja allerorten das Internet of Things (IoT) propagiert und wer sich solchen Ger\u00e4ten verweigert, ist irgendwie \"old school\". Doof nur, dass man sich mit den IoT-Teilen Sicherheitsl\u00f6cher wie Scheunentore in seine eigenen Netze holt. Hier noch ein kleiner … Weiterlesen Am Wochenende bin ich durch Zufall auf den ZDNet.com-Artikel Re-thinking security fundamentals: How to move beyond the FUD<\/a> gesto\u00dfen, der mich ziemlich ratlos zur\u00fccklie\u00df. Gut, der Artikel ist Werbung f\u00fcr eine am 27. September in San Franzisko stattfindende Structure Security 2016-Sicherheitskonferenz. Wenn ich es richtig interpretiere, entstand bereits vor 10 Jahren die Philosophie, Sicherheit by Design in Produkte einzubauen und die F\u00e4higkeiten der Nutzer in das Design einzubeziehen. Nach dieser Lesart m\u00fcssten wir ja eigentlich hochsicherere Systeme im IoT-Bereich haben \u2026<\/p>\n
Desaster: Kommunikation von Millionen IoT-Ger\u00e4te problemlos mitlesbar<\/h3>\n
IoT-Botnet entdeckt<\/h3>\n