Startseite > Messen + Testen > Nichts ist, wie es scheint

Smart Building Security

Nichts ist, wie es scheint

4. April 2019, 16:14 Uhr | Hagen Lang

Security-Experte Prof. Dr. Hartmut Pohl von der softScheck GmbH erklärt im Interview, welche Sicherheitslücken er regelmäßig in IoT-Devices findet. Sein Vortrag auf dem Smart Building Summit am 2. Mai in Dresden gibt Entwicklern wichtige Anregungen für ihren Design- und Entwicklungsprozess.

Frage: Herr Pohl, Sie halten mit Ihrem Kollegen Wilfried Kirsch am 2. Mai 2019 auf dem Smart Building Summit in Dresden einen Vortrag zum Thema „Hardware-basierte Angriffe am Beispiel Smart Camera“, warum ist das Thema bedeutsam?

Prof. Dr. Harmut Pohl: Das Thema betrifft Hersteller smarter Devices für Smart Home und Smart Building, natürlich die Benutzer dieser Geräte und die Betreiber von Netzwerken, an denen diese Geräte angeschlossen sind, z.B. Haus- und Gebäudeautomationsnetzwerke. Auch die Sicherheit der Liegenschaften selbst könnte kompromittiert werden, wenn man sich mittels dieser Geräte physischen Zugang verschafft.

Frage: Bleiben wir einmal beim Nutzer, was soll der denn heute, nachdem seit Jahren über Security auf allen Kanälen berichtet wird, noch zu befürchten haben. Ist die Technik heute da nicht ausgereift?

Prof. Dr. Harmut Pohl: Geredet und berichtet wird viel – die Praxis sieht ganz anders aus: Meine Kollegen haben sich ein Produkt eines im Smart Building Bereich weltweit bekannten und aktiven europäischen Unternehmens beispielhaft mal vorgenommen – ein Unternehmen, das sehr erfolgreich weltweit funktional ausgezeichnete Kameras, Thermostate und Wetterstationen verkauft. Sie stechen durch einfache Bedienbarkeit hervor und gerade die Kameras werden mit dem Verkaufsargument „zusätzliche Sicherheit vor Einbrüchen“ etc. beworben. Eine solche Kamera, das aktuell käufliche Modell, haben wir gerade gehackt.

Frage: Was heißt das genau?

Prof. Dr. Harmut Pohl: Wir haben eine Sicherheitslücke identifiziert, die es einem Angreifer ermöglicht, sein Konto mit einer Kamera zu verbinden, auf die er zuvor einmal zugreifen konnte. Beispielsweise wenn die Kamera in einem Onlineshop bestellt und innerhalb der gesetzlichen Fristen zurückgeschickt wurde. Danach kann er den Besitzer ausspionieren oder sogar den Besitzer vom Zugriff auf seine eigene Kamera ausschließen. Was wir technisch genau angestellt haben, kann man online, allerdings auf Englisch, nachlesen. Wir haben den Hersteller darüber informiert und er hat diese Sicherheitslücke dann auch im Februar 2019 behoben.

Frage: Dann ist doch alles gut.

Prof. Dr. Harmut Pohl: Na ja. Zunächst einmal war die Kamera sicherheitstechnisch auf verhältnismäßig gutem Niveau. Auf der anderen Seite zeigt sich, dass selbst Marktführer nicht vor Security-Bugs geschützt sind. Zudem war der Fehler so strukturiert, dass ein Opfer (Nutzer) in Kenntnis eines unbefugten Zugriffs auf seine Kamera diesen nicht unterbinden konnte. Er konnte das Gerät nur zurückschicken und sich ein neues kaufen.

Das zweite Problem ist aber, dass man – unabhängig von Sicherheitslücken – mit solchen Kameras Unfug anstellen kann. Die „Revolutionary Face Recognition Technology“ der Kamera verbessert laut Werbung die Sicherheit, weil sie sofort Alarme auf das Handy schickt, wenn sie ein ihr unbekanntes Gesicht eines Eindringlings detektiert.

Also haben wir bei softScheck unsere Gesichter aufgenommen und auf Din A4-Papier ausgedruckt. Wir konnten die Kamera schließlich dazu bringen, dass sie einen solchen Ausdruck für ein ihr bekanntes, „erlaubtes“ Gesicht hielt. Ein Eindringling kann also das System mit einem gut gemachten Gesichts-Ausdruck eines „erlaubten“ Bewohners austricksen, sie wird dann u.U. keinen Alarm auslösen und keine Benachrichtigung an das Handy des Bewohners schicken, obwohl Fremde gerade seine Wohnung auf den Kopf stellen. Die Kamera funktioniert, es liegt kein Softwarefehler vor, aber man kann sie überlisten.

Frage: In Ihrem Vortrag auf dem Smart Building Summit am 2. Mai in Dresden beschreiben Sie aber nicht, wie man Din A4-Kopien von Gesichtern macht.

Prof. Dr. Harmut Pohl: Nein, wir zeigen anhand einer IoT-Smart Camera, wie man sie mit für jedermann nachvollziehbaren, kostengünstigen Methoden hacken kann. Wir löten lediglich einen USB zu RS232 Adapter an die Kamera, um diese mit einem Computer verbinden zu können. Den Bootprozess stören wir mit der Methode Pin2Pwn. Hier wird mit einer Nadel einer der Kanäle des Flash-Bausteins überbrückt, was zur Folge hat, dass die angeforderte Datei nicht gelesen werden kann. Durch den so produzierten Fehler startet die Bootloader Shell, in der wir ein manipuliertes Boot-Image ausführen, welches uns Root-Rechte beschert. Was nach einem erfolgreichen Rooten des Gerätes getan werden kann und wie Hersteller Angriffe dieser Art erschweren können, erläutern wir in der Präsentation.

Frage: Können denn Hersteller ihre Produkte bei Ihnen prüfen lassen?

Prof. Dr. Harmut Pohl: Sicher, aber es gibt relativ einfache Methoden, mit denen Entwickler grundsätzlich die Angreifbarkeit ihrer Geräte erschweren können. Man muss sie nur anwenden. Hierauf werden wir in unserem Vortrag eingehen. Entwickler von IoT-Devices bekommen in Dresden wichtige Anregungen für ihren Design- und Entwicklungsprozess.

Zum zweiten bieten wir den von uns entwickelten und sehr erfolgreichen Security Testing Process an, bei dem wir mit 6 Methoden – angefangen bei den Requirements, über das Design, den Quelltext bis zum maschinenausführbaren Code jeden Schritt mit einer (anderen) Methode auf Sicherheitslücken erfolgreich untersuchen. Wir übernehmen also die gesamte sicherheitstechnische Begleitung des Entwicklungsprozesses der Hard- und Software, Firmware, von mobilen Apps und prüfen auch Server und Netze.