cybersicherheit in zeiten von “internet of things” und ... · “internet of things” und...
TRANSCRIPT
18.05.2020
1
Cybersicherheit in Zeiten von “internet of things” und “smart home”
Reiner Creutzburg, Franziska Schwarz, Klaus Schwarz
TH Brandenburg, FB Informatik und MedienIT- und Medienforensiklabor
Magdeburger Str. 5014770 Brandenburg an der [email protected]
Leibniz-Sozietät, Plenum, 14.05.2020
• Einleitung, Motivation • Entwicklung Internet, IoT, Smart Home, Anwendungen
• Konzeption der Analysemethodik• NIST, OWASP, DSGVO • Smart Home Sicherheits‐ und Datenschutzbewertungszyklus
• Zusammenfassung, Ausblick • Diskussion
Inhalt
5/18/20202
18.05.2020
2
3Quelle: Intel
4
18.05.2020
3
5
6
18.05.2020
4
Das Internet der Dinge beschreibt die Verknüpfung klar identifizierbarer physischer Objekte (Dinge) als virtuelle Darstellung im Internet.
Motivation
5/18/2020
Smart Home ist ein Oberbegriff für technische Prozesse und Systeme in Wohnräumen und Häusern, die sich auf die Verbesserung der Lebensqualität, Sicherheit und effizienten Energienutzung auf Basis vernetzter und ferngesteuerter Geräte und Anlagen sowie automatisierter Prozesse.
7
Internet der Dinge (Internet of Things)
8Quelle: Accenture
18.05.2020
5
9
IoT-Markt
10
18.05.2020
6
11
IoT-Landschaft
12
18.05.2020
7
Top 10 IoT-Unternehmen
13
14Quelle: ETSI
18.05.2020
8
15Quelle: McKinsey&Company
16
18.05.2020
9
17
18
18.05.2020
10
19
Internet der Dinge - Smarter Kühlschrank
20Quelle: David Becker/ AFP
18.05.2020
11
Botnet
Experten der auf Sicherheitslösungen spezialisierten Firma
Proofpoint haben jetzt dokumentiert, was wohl als erste großangelegte Cyberattacke mit Hilfe vernetzter Haushaltsgeräte und Unterhaltungselektronik gelten darf. Dem Unternehmen zufolge waren die Geräte Teil eines Botnets, das zwischen dem 23. Dezember 2013 und dem 6. Januar 2014 mehr als 750.000 SpamE‐Mails verschickt hat. Insgesamt seien mehr als 100.000 Heimnetz‐Router, MultimediaPlayer, SmartTVs und sogar ein smarter Kühlschrank an der SpamWelle beteiligt gewesen. Damit stellten Haushaltsgeräte ein Viertel aller für die Aktion missbrauchten Geräte, den Rest erledigten herkömmliche Computer und Router.
(Spiegel Online 17.01.2014)
21
22
Cybercrime –www.hackmageddon.com
18.05.2020
12
23
Cybercrime – www.hackmageddon.com
24
18.05.2020
13
25
Suchmaschine Shodan
25
26
18.05.2020
14
Industrial Control Systems (ICS)• Beispiele von ICS:
– Steuerung der Klimaanlagen in einem Bürogebäude
– Steuerung der Turbinen in einem Kraftwerk– Beleuchtung in einem Theater, Kino – Industrieroboter– …..
27
Shodan - Industrial Control Systems
28
18.05.2020
15
Industrial Risk Assessment Map (IRAM)
29
SCADACS.org (FU Berlin)
Kritische Infrastruktur• Energieversorger• Wasserversorger• Atomkraftwerke• Krankenhäuser• Banken• Verkehrssteuerung• Provider (ISP)• Chemiewerke• ……..
30
18.05.2020
16
Architektur der Smart City
31Quelle: IEEE Wireless Communications • December 2018
Smart Home
32Quelle: CEPro
18.05.2020
17
Smarte Beleuchtung
33Quelle: OSRAM
Smarte Beleuchtung
34Quelle: Phillips
18.05.2020
18
Steuerung intelligenter Lampen
35Quelle: Phillips
Steuerung intelligenter Lampen
36Quelle: Mibery Wi‐Fi Light Bulb
18.05.2020
19
IoT im Außenbereich
37Quelle: OBI
Sicherheit im Smart Home
38Quelle: ISACA
18.05.2020
20
Sicherheits‐ und Datenschutzuntersuchung
• Wi‐Fi verbundene und
• App‐gesteuerte
• IoT‐basierte
• Smart Home Geräte
Differenzierung
5/18/2020
IoTSmart Home
Wifi+
app
39
Sicherheitsaspekte / Schutzziele nach DSGVO:
(ISO/IEC‐27000, IT‐Grundschutz Katalog)
• Vertraulichkeit
• Integrität
• Verfügbarkeit
DSGVO
40
18.05.2020
21
Analysemethodik
41
IoT und Smart Home Security Labor an der TH Brandenburg
42
18.05.2020
22
IoT und Smart Home Security Labor an der TH Brandenburg
43
IoT und Smart Home Security Labor an der TH Brandenburg
44
18.05.2020
23
Konventionell vs. Smart
45Quelle: ilumiQuelle: OSRAM
Konventionell vs. Smart
46Quelle: ilumiQuelle: OSRAM
18.05.2020
24
Innenleben einer smarten Glühlampe
47Quelle: openenergymonitor.org
Innenleben einer smarten Glühlampe
48Quelle: Richard Baguley hackaday.com
18.05.2020
25
Innenleben einer smarten Glühlampe
WLAN
Mikrocontroller
LEDs
Antenne
Speicher
vollständiger Computer !49Quelle: Richard Baguley hackaday.com
Innenleben einer smarten Glühlampe
50Quelle: limitedresults.com
18.05.2020
26
Auslesen der Firmware
51Quelle: satoshinakamotoblog.com
Pin Datenblatt (zu finden im Internet)
52Quelle: Espressive
18.05.2020
27
Espressif (Shenzhen, China)
53
Schaltbild Mikrocontroller (ESP32)
54
18.05.2020
28
Untersuchte Smart Home Geräte
Verkauft in Deutschland (Mediamarkt, Amazon, Saturn,…)
Hergestellt in China
Kann von jedem technisch Interessierten ausgelesen und gehackt werden
55
Weltmarkt Smarte Lampen
2013 – 2,4 Mio.2020 – 100 Mio.
Weltweite enorme Bedrohung durch chinesische Technologie für Sicherheit und Privatsphäre
56
18.05.2020
29
Auslesen der Firmware von Smart Home Geräten
57
Werkzeuge
5/18/2020
esptool.py• Open Source, plattformunabhängig• firmwaredump (interner Speicher des images) der untersuchten Geräte• entsteht Binärdatei, diese wird in Hexeditor umgewandelt und kann
ausgewertet werden• z.B. Auslesen des WLAN-Passworts und Standortkoordinaten in
Klartext
• tatsächlich ist es möglich, ein Sicherungsbit im Chip zu zerstören, was das Auslesen der Firmware verhindert
• --> beispielhafter Nachweis, dass es keine Sicherheit auf dem Geräteseite gibt
18.05.2020
30
Darkstat
• ist eine Software, die den Netzwerkverkehr aufzeichnet und zum Generieren von Statistiken verwendet wird
Tuyadump
• Programm zur Kommunikationsextraktion
Wireshark
• Netzwerk‐Sniffer zur Vorbereitung und Auswertung von Datenprotokollen
IDA
• Programm zur Erstellung von Sequenzdiagrammen
Werkzeuge
59
Firmware-Analyse (esptool.py)
60
18.05.2020
31
Unverschlüsselte Passwörter in der Firmware
61
Unverschlüsselte Standortdaten
62
18.05.2020
32
Unverschlüsselte Standortdaten
63
Statistiken mit Analysetool Darkstat
64
18.05.2020
33
Analyse Netzwerkverkehr
65
Cloud-Kommunikation der Smart Home Geräte
66
18.05.2020
34
demo
67
Risiken
5/18/202068
18.05.2020
35
Entsorgung von Smarten Lampen
69Quelle: Luminea
5/18/2020
18.05.2020
36
Angriffe auf Smart Home
71Quelle: scottschober.com
IoT-Risiken
72Quelle: helpnetsecurity.com
18.05.2020
37
Schwachstellen im Smart Home
73Quelle: pcmag.com
Angriff auf smarten Staubsauger
74Quelle: Check Point
18.05.2020
38
Smartes Türschloss
75Quelle: Ultraloq
Smartes Türschloss –Vor- und Nachteile
76
18.05.2020
39
Auswirkungen von Angriffen
77Quelle: anixter.com
78
18.05.2020
40
NIST - National Institute of Standards and Technology (USA)
5/18/2020
• Bundesbehörde der Vereinigten Staaten von Amerika
• Teil der technologischen Verwaltung des Handelsministeriums
• Standardisierungsprozesse• Veröffentlichungen zu einem breiten
Themenspektrum• "Überlegungen zur Verwaltung von
Internet of Things (IoT) Cybersicherheit und Datenschutzrisiken"
79
OWASP - Open Web Application Security Project™ (USA)
5/18/2020
• Non-Profit-Organisation, die sich dafür einsetzt, das Internet sicherer zu machen
• Das Projekt veröffentlicht regelmäßig Informationen und Tools, die es interessierten Parteien ermöglichen, Sicherheitsrisiken in Software zu definieren
80
18.05.2020
41
OWASP Prüfanleitung
81
82
18.05.2020
42
Smart Home Lebenszyklus
Planung und
BeschaffungBereitstellung,
Einsatz
BetriebUpgrade
Entsorgung
83
IoT- und Smart Home Sicherheits-und Datenschutz-EvaluierungszyklusCheckliste (170 Fragen, 31 Seiten pro Gerät)
5/18/202084
18.05.2020
43
Checkliste(Seite 1 von 31)
85
Checkliste(Kurzfassung)
5/18/202086
18.05.2020
44
Gibt es eine sichere Lösung?• IoT Geräte = komplexe Computersysteme • haben einen umfangreichen Lebenszyklus
Checkliste hilft! • Risiko des IoT-Geräts verstehen• Anpassung von Prozessen vornehmen
- Gerät in separatem Netzwerk betreiben- sparsam mit Preisgabe persönlicher
Daten umgehen • Risikominderungsmaßnahmen ergreifen
- eigene Firmware implementieren (erfordert Fachkenntnis)- Cloud umgehen (Anleitungen im Internet)- Geräte bevorzugen, die ohne Cloud kommunizieren
87
• Internet of Things (IoT)
• Künstliche Intelligenz
• Intelligence of Things (IoT)
Aktueller Trend
88
18.05.2020
45
89(Wikipedia)
DSGVO, IT-Sicherheitsgesetz –Erfahrungen, Konsequenzen
• Guter Schritt in die richtige Richtung!• Kritische Infrastrukturen MÜSSEN regelmäßig geprüft und zertifiziert werden
• Branchenspezifische Lösungen sind nötig
•ABER
90
18.05.2020
46
KonsequenzenWie brauchen viel mehr • Geld,• Planstellen• Manpower• Ausbildung, • Qualifizierung, Weiterbildung, um unsere kritischen Infrastrukturen zu schützen.
(gilt für alle Bundesbehörden, Landesbehörden, Verwaltungen, Unternehmen,…)
91
Zusammenfassung1.IoT wird den Markt für kleine und große
Unternehmen nivellieren2.Real-time on-the-ground Information wird
völlig neue Bewegungs- und Verhaltensmuster erkennen (Big Data)
3.Menschen werden die Kontrolle behalten4.Standardisierung wird zunehmend wichtig5.Sicherheit muss verstärkt bei allen neuen
Entwicklungen berücksichtigt werden6.Glänzende Zukunft / Berufschancen für
Safety / Security / Forensik, Datenschutz, Informatik
92
18.05.2020
47
[1] Zhu, L., Zhang, Z., Xu, C.: Secure and Privacy‐Preserving Data Communication in Internet of Things. Springer 2017.
[2] Kyas, O.: How to Smart Home. Key Concept Press 2015.
[3] Dehghantanha, A., Choo, K.‐K. R.: Handbook of Big Data and IoT Security. Springer 2019.
[4] Hu, F.: Security and Privacy in Internet of Things (IoT) ‐Models, Algorithms, and Implementations. CRC Press 2016.
[5] Wurm, J., Hoang, K., Arias, O., Sadeghi, A., Jin,Y.: Security analysis on consumer and industrial IoT devices. 2016.
Bibliography
5/18/2020
93