{"id":234313,"date":"2020-08-10T10:09:35","date_gmt":"2020-08-10T08:09:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234313"},"modified":"2020-08-10T17:08:52","modified_gmt":"2020-08-10T15:08:52","slug":"erkenntnis-millionen-iot-gerte-ganz-einfach-hackbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/10\/erkenntnis-millionen-iot-gerte-ganz-einfach-hackbar\/","title":{"rendered":"Erkenntnis: Millionen IoT-Ger&auml;te ganz einfach hackbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[English]Unangenehme, aber wenig \u00fcberraschende, Erkenntnis von der Def Con 2020. Das Gro\u00df der Internet of Things-Ger\u00e4te (IoT) ist sicherheitstechnisch offen wie ein Loch und leicht hackbar. Nur Idioten, Naive, Hassadeure und Firmen setzen so etwas mit (ungesichertem) Zugriff aus dem Internet ein. Firmen k\u00f6nnten das Internet of Trouble nat\u00fcrlich noch mit entsprechenden Gateways gegen\u00fcber dem Internet abschotten &#8211; ist hier aber nicht das Thema.<\/p>\n<p><!--more--><\/p>\n<p>Router, Netzwerk-Speichersysteme, Kameras, T\u00fcrklingeln,&nbsp; <a href=\"https:\/\/de.wikipedia.org\/wiki\/HVAC#:~:text=HVAC%20steht%20f%C3%BCr%3A,%2C%20siehe%20Drehstrom%2DHochspannungs%2D%C3%9Cbertragung\" target=\"_blank\" rel=\"noopener noreferrer\">HVAC<\/a>-Systeme, K\u00fchlschr\u00e4nke, medizinische Ger\u00e4te, intelligente Autos, intelligente Haustechnik und Fernseher, die \u00fcber IP-Adressen im Internet erreichbar sind, fallen in die Rubrik IoT, sind aber ein Paradies f\u00fcr Hacker. Paul Marese hat das jetzt auf der Def Con 2020 erneut beleuchtet.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">My <a href=\"https:\/\/twitter.com\/defcon?ref_src=twsrc%5Etfw\">@defcon<\/a> talk \"Abusing P2P to Hack 3 Million Cameras\" is now live! Come see just how easy it is for anyone in the world to hijack your camera from the comfort of their own home.<\/p>\n<p>There will be a live Q&amp;A session on August 8 @ 14:30 PST. <a href=\"https:\/\/twitter.com\/hashtag\/DEFCONSafeMode?src=hash&amp;ref_src=twsrc%5Etfw\">#DEFCONSafeMode<\/a> <a href=\"https:\/\/t.co\/hUoYoLAk0m\">https:\/\/t.co\/hUoYoLAk0m<\/a><\/p>\n<p>\u2014 Paul Marrapese (@PaulMarrapese) <a href=\"https:\/\/twitter.com\/PaulMarrapese\/status\/1291138003616768000?ref_src=twsrc%5Etfw\">August 5, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In obigem Tweet fokussiert er sich auf Kameras, die durch das P2P-Protokoll per Internet erreichbar sind (auf GitHub hat er <a href=\"https:\/\/github.com\/pmarrapese\/iot\" target=\"_blank\" rel=\"noopener noreferrer\">ein Script&nbsp; ver\u00f6ffentlicht<\/a>). In <a href=\"https:\/\/www.youtube.com\/watch?v=GJOoYAxCFgI\" target=\"_blank\" rel=\"noopener noreferrer\">diesem YouTube-Video<\/a> von der Def Con geht ein weiterer Sicherheitsforscher auf PowerLine-Truck-Hacking ein. <\/p>\n<h2>P2P-Kommunikation leicht hackbar<\/h2>\n<p>Die Kollegen bei heise habe sich des Themas in <a href=\"https:\/\/www.heise.de\/news\/Def-Con-2020-Millionen-von-IoT-Geraeten-im-Handumdrehen-hackbar-4866178.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> angenommen (danke an Karl f\u00fcr den Tipp). Insgesamt hat Paul Marese sich mit den Peer-to-Peer-Kommunikationsprotokollen (P2P)diverser IoT-Ger\u00e4te befasst. Diese werden von Kameras, T\u00fcrklingeln, digitalen Videorekordern, NAS-Systemen, vernetzten Alarmanlagen etc. zur Kommunikation verwendet. Das von Shenzen Yunni entwickelte Protokoll iLnkP2P wird nach Auskunft des Herstellers in \u00fcber 3,6 Millionen Endger\u00e4ten eingesetzt. Und das Protokoll ist funktionsgleich mit dem CS2 Network P2P, das in mehr als 50 Millionen Endger\u00e4ten genutzt wird. Auf Amazon finden sich \u00fcber 20 Ger\u00e4te unter unterschiedlichen Markennamen. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/6bf41391a0d342b38a52d930384e2e40\" width=\"1\" height=\"1\"\/>Bei P2P-Netzwerken werden Ports immer offen gehalten, um die Kommunikation mit Endger\u00e4ten (auch hinter einem Router per Network Address Translation, NAT) zu erm\u00f6glichen. Da l\u00e4sst sich nichts abschalten und die IoT-Ger\u00e4te besitzen eine in der Firmware hinterlegte, eindeutige ID (UID). heise schreibt dazu:<\/p>\n<blockquote>\n<p>Mittels dieser UID identifizieren die von den Herstellern laut Marese haupts\u00e4chlich bei Amazons AWS und Alibaba gehosteten P2P-Server das Endger\u00e4t, das sich \u00fcber UDP-Port 32100 beim Server meldet. Die Server teilen anfragenden Clients beziehungsweise Endger\u00e4ten die jeweils von der Gegenseite \u00fcbermittelten Angaben zu \u00f6ffentlicher IP-Adresse und ge\u00f6ffnetem Port mit, sodass die Kommunikationspartner direkt in Kontakt treten k\u00f6nnen.<\/p>\n<\/blockquote>\n<p>Problem ist nun das P2P-Protokoll, welches die aus einem drei oder vierstelligen Pr\u00e4fix bestehende UID verwendet. Die Hersteller erkennen die von ihnen produzierten Ger\u00e4te anhand dieser UID, einer Seriennummer und einer Pr\u00fcfsumme. Paul Marese hat dann ein Script geschrieben, um die derzeit verwendeten 488 Pr\u00e4fixe zu ermitteln. Die Seriennummer wird fortlaufend vergeben &#8211; nur die Pr\u00fcfsumme k\u00f6nnte einen Hacker davon abhalten, die Kommunikation mit den Ger\u00e4ten zu missbrauchen. Aber Marese ist es gelungen, \u00fcber die von&nbsp; den Herstellern verwendeten iLnkP2P-Bibliotheken die Algorithmen zur Berechnung dieser Pr\u00fcfsumme zu ermitteln. <\/p>\n<h2>Server ermitteln, Ger\u00e4te abfragen und hacken<\/h2>\n<p>Nachdem diese Informationen vorlagen, fragte Marese 618 ermittelte P2P-Server mit den generierten UIDs ab. Mit diesem Ansatz konnte Marese die IP-Adressen von 3,6 Millionen Ger\u00e4ten (21 % stehen in Europa, &gt;50 % sind in 50 Prozent in Thailand und China in Betrieb) ermitteln. Eine Google-API erm\u00f6glichte den Ger\u00e4testandort zu bestimmen.&nbsp; <\/p>\n<p>Nun gibt es in der Firmware von Hichip-Ger\u00e4ten, die Millionen Mal unter unterschiedlichen Namen verkauft werden, eine Schwachstelle, die zu einem Puffer\u00fcberlauf f\u00fchrt. \u00dcber den Puffer\u00fcberlauf konnte der Sicherheitsforscher dann eine Shell auf dem Ger\u00e4t \u00f6ffnen. Da die auf den untersuchten Ger\u00e4ten installierte Version von BusyBox durchweg mit root-Rechten arbeitet, stand das Ger\u00e4t offen. Der Forscher konnte beliebige Dateien hochladen und ausf\u00fchren &#8211; damit ist quasi Version 2.0 des n\u00e4chsten Botnet die T\u00fcr ge\u00f6ffnet. Laut Marese sind P2P-Protokolle auch anf\u00e4llig f\u00fcr Man-in-the-Middle-Attacken, Angreifer k\u00f6nnen die Kommunikation zwischen Server und IoT-Ger\u00e4t abfangen. Bei einer Anmeldung per UID&nbsp; am Server schickt das IoT-Ger\u00e4t dann den Benutzernamen und das Kennwort zur Anmeldung. <\/p>\n<p>Marese hat w\u00e4hrend seiner Arbeit insgesamt sieben kritische Schwachstellen gefunden, die CSV-Nummern erhielten. Der Entwickler Shenzen Yunni meldete sich in \u00fcber eineinhalb Jahren nicht zur\u00fcck und hat auch kein Update bereitgestellt, so heise. CS2 Network P2P will die Probleme laut heise in der kommenden Version 4.0 des Protokolls beheben und Hichip habe seine drei L\u00fccken im Juni 2020 per Update geschlossen. Aber die meisten IoT-Ger\u00e4te sehen nie ein Firmware-Update. L\u00e4sst nur den Schluss zu: Auf IoT-Ger\u00e4te verzichten &#8211; oder diese zumindest nicht ans Internet h\u00e4ngen (falls die dann noch funktionieren). Sch\u00f6ne neue Welt &#8211; passt wunderbar zu meinem Artikel <a href=\"https:\/\/borncity.com\/blog\/2020\/06\/11\/abgelaufene-zertifikate-kicken-iot-gerte-ins-abseits\/\">Abgelaufene Zertifikate kicken IoT-Ger\u00e4te ins Abseits<\/a> von Juni 2020. Und dann g\u00e4be es noch den Ripple20-Bug, der auf IoT-Ger\u00e4te zielt (siehe <a href=\"https:\/\/borncity.com\/blog\/2020\/06\/18\/fetter-ddos-angriff-aber-technikproblem-bei-t-mobile-usa-ripple20-bug-gefhrdet-iot\/\">hier<\/a> und den nachfolgenden Tweet). <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Researchers Find More Devices, Vendors Vulnerable to Ripple20 <a href=\"https:\/\/t.co\/UyPMoFNqDi\">https:\/\/t.co\/UyPMoFNqDi<\/a> <a href=\"https:\/\/t.co\/2bH1W0F0HS\">pic.twitter.com\/2bH1W0F0HS<\/a><\/p>\n<p>\u2014 Steven Krohn | Krohn Media (@stevekrohn) <a href=\"https:\/\/twitter.com\/stevekrohn\/status\/1291459809611583488?ref_src=twsrc%5Etfw\">August 6, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Wartet erst einmal ab, wenn die neuen Autos mit so etwas einschlagen &#8230; sch\u00f6ne neue Welt. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Unangenehme, aber wenig \u00fcberraschende, Erkenntnis von der Def Con 2020. Das Gro\u00df der Internet of Things-Ger\u00e4te (IoT) ist sicherheitstechnisch offen wie ein Loch und leicht hackbar. Nur Idioten, Naive, Hassadeure und Firmen setzen so etwas mit (ungesichertem) Zugriff aus dem &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/10\/erkenntnis-millionen-iot-gerte-ganz-einfach-hackbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,5615,426],"tags":[4493,4328],"class_list":["post-234313","post","type-post","status-publish","format-standard","hentry","category-gerate","category-iot","category-sicherheit","tag-iot","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234313","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234313"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234313\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234313"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234313"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234313"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}