Von gehackten Thermostaten und Botnetzen aus Haushaltsgeräten: Mit Smart-Home-Geräten

meierchen006

Aktives Mitglied
Mitglied seit
7 Jun 2007
Beiträge
1,028
Punkte für Reaktionen
43
Punkte
48
Hallo,

aktuell gelesen:

http://mobil.derstandard.at/2000047803486/Wenn-die-smarte-Heizung-Geld-erpresst

Wenn die smarte Heizung Geld erpresst
ALOIS PUMHÖSEL
19. November 2016, 09:00


Von gehackten Thermostaten und Botnetzen aus Haushaltsgeräten: Mit Smart-Home-Geräten holt man sich auch Sicherheitsrisiken ins Haus

Schon einmal von der Heizung erpresst worden? Geld her, oder der Winter wird sehr, sehr kalt in der Wohnung! Andrew Tierney und Ken Munro, zwei Entwickler der britischen IT-Security-Firma Pentestpartners, haben auf der Hackermesse Def Con 24 vorgezeigt, dass das möglich wäre. Sie haben sich einen smarten Thermostat vorgenommen, der die Temperatur auf Basis von Nutzerprofilen der Bewohner steuert, und darauf eine sogenannte Ransomware installiert.

Derartige Schadsoftware wird von Angreifern verwendet, um zum Beispiel wichtige Daten ihrer Opfer zu verschlüsseln und sie erst wieder freizugeben, wenn ein geforderter Geldbetrag überwiesen wurde. Tierney und Munro blockierten die Funktionen des Thermostats und forderten über den kleinen LCD-Bildschirm des Geräts Geld in Form der Internetwährung Bitcoin. Die beiden Hacker erläutern in einem Blogeintrag detailliert, wie sie die Kontrolle über den Thermostat übernehmen konnten. Dabei sei nicht nur möglich, die Temperatur beliebig zu verändern, sondern etwa auch durch blitzschnelles, mehrmaliges Ein- und Ausschalten der Heizung auch physischen Schaden anzurichten.


Hohe Risiken

Derartige Beispiele zeigen, dass der Trend zu Smart Homes, der das Zuhause mit den Vernetzungstechniken eines Internets der Dinge ausstattet, mit hohen Risiken verbunden sein kann. Von Einbrechern, die Sensordaten über die Gewohnheiten der Bewohner abfragen, bis zu Hackern, die einfach nur zeigen wollen, dass sie die Musikanlage in einem x-beliebigen Zuhause einschalten können, sind der Fantasie über mögliche Manipulationen wenig Grenzen gesetzt.

Trotz dieser Bedrohungen kümmern sich die Produzenten vernetzter Technik für den Privatgebrauch noch viel zu wenig um den Sicherheitsaspekt, ist Thomas Brandstetter, Professor am Department Informatik und Security der Fachhochschule St. Pölten und Geschäftsführer des Unternehmens Limes Security überzeugt: "Smart-Home-Systeme wurden bisher zu wenig unter Sicherheitsgesichtspunkten entwickelt. Da gibt es einen großen Handlungsbedarf." Oft sei es viel wichtiger, schnell am Markt zu sein, und kundenfreundliche Usability zu bieten, als ein System auf Sicherheitslücken zu prüfen.

Sicherheit kostet Geld

usw.


Vielleicht müssen wir uns doch viel mehr Gedanken um unser Smartes Zuhause machen.

Schließlich müssen wir Technik begeisterte Kunden hart arbeiten für unser Geld
 
Zuletzt bearbeitet:
Heb einfach die alten Thermostatköpfe der Heizungen auf... und dann lache über die Erpresser...
 
und dann lache über die Erpresser...
Das dann aber besser heimlich ... denn wer zuletzt lacht, tut das bekanntlich am besten - und ob man nicht bereits das "Unbrauchbarmachen" mehrerer HKR als Erfolg ansehen könnte, hängt auch vom eigenen Standpunkt (auf der Seite des Angegriffenen oder der Angreifer) ab.

Wenn ich als Konkurrent eines HKR-Herstellers dafür sorge, daß solche "Erpressungsversuche" die Produkte meiner Mitbewerber betreffen und dann von mir sagen kann: "Seht her, mit mir wäre Euch das nicht passiert!", dann ist der "Ertrag" so einer Erpressung ohnehin eher nebensächlich.

Und auch wenn sich der zitierte Artikel auf die Heizung bezieht ... wieviele andere IoT-Geräte mag es noch geben?

Ich kenne Leute, die haben als Einbruchsdetektoren u.a. auch Kameras mit Bewegungserkennung installiert, die selbst den Wohnbereich beobachten. Solche Leute verlassen sich dann darauf, daß tatsächlich nur sie selbst auf diese Geräte zugreifen können.

Nicht jeder ist vielleicht begeistert, wenn beim Spontan-Sex auf der Couch oder auf dem Küchentisch eine angezapfte Kamera (die eigentlich ausgeschaltet sein sollte, weil sie nur bei leerem Haus aktiviert wird) alles filmt und man ggf. noch hinterher damit konfrontiert wird, daß Dritte diese Aufnahmen haben (so nach dem Motto: Ja, wir haben viel Spaß beim Sex in unserer Ehe, nur halt nicht miteinander.).

Das IoT sind also nicht nur Heizungen, wo man dann wieder alte Thermostaten montiert und alles ist wieder in Ordnung. Die zur falschen Zeit ausgeschaltete Außenbeleuchtung oder zur falschen Zeit eingeschaltete Waschmaschine kann für den einen ein leichtes Ärgernis sein, für andere eine mittlere Katastrophe.

Mag sein, daß Du das gar nicht so bagatellisieren wolltest ... aber die Sicherheit der IoT-Gadgets ist tatsächlich unter aller Kanone und die Leute, die sich davon abhängig machen, sollten auch immer zuvor überlegen, ob sie mit einem kompletten Ausfall oder einer (absichtlich herbeigeführten) Fehlfunktion problemlos umgehen könnten. Wenn bei eigener Ölheizung im Keller beim Verlassen der Wohnung nicht auf 16° C herunter- sondern auf 35° C hinaufgeregelt wird, dürfte das entsprechende Kosten nach sich ziehen und wenn man dann noch die Möglichkeit einer automatischen Lüftung hat, dann kann die meist auch noch "fremdgesteuert" werden.

Genauso gut könnte man bei einem Ransomware-Opfer sagen: "Leb' einfach Dein Leben noch einmal und mache Deine ganzen Fotos und Videos erneut (vielleicht sogar in besserer Qualität) ... und dann lache über die Erpressung." - wenn dann ganze Krankenhäuser geschlossen werden müssen, weil es dort um die IT-Sicherheit offenbar - stark untertrieben - "eher schlecht bestellt" war, bleibt einem das Lachen aber schon irgendwie im Halse stecken - mir geht es jedenfalls so.
 
Wenn dann Alles versmartet ist, gibt es bestimmt ein animiertes Blinkenlichten für die Mädels und Jungens in der ISS
:D :rolleyes: ;) :phone:
 
Zuletzt bearbeitet:
Heb einfach die alten Thermostatköpfe der Heizungen auf...
Was hat z.B. das Kommunikationsmodul bzw. Gateway für die Gastherme mit Thermostatköpfen zu tun?

und dann lache über die Erpresser...
Ich glaube da lachen schon eher die Erpresser wenn man glaubt, dass z.B. das gehackte Kommunikationsmodul für die Gastherme mit klassischen Thermostatköpfen wieder zur Funktion bewegt werden kann.
 
es waere schon mal ein Vorteil, wenn die Hersteller nicht weiterhin gleich noch ihre privaten Kryptoschluessel mit auf das Geraet kopieren wuerden:lach:
 
Hallo,

noch habe ich keine Heizthermostate die Smart sind, doch Gedanken daran mache ich mir schon. Das man selbst diese benutzen kann um böse Sachen zu machen war mir so nicht klar. Nun erstmal bleiben die alten.

Doch irgendwann muss auch mal ne neue Heizung her, wenn die dann Missbraucht wird dann ist schon kritischer.

Dann sind da noch die Smarten Stromzähler die noch kommen, zur Zeit ca. 3500 KWh wenn manipulierbar dann vielleicht 10.000 KWh. Habe ich dazu das Geld? Kann ich beweisen das der Strom nicht verbraucht wurde?

und dann lache über die Erpresser...

Oder die Stadtwerke über dich oder uns :mad:
 
Zuletzt bearbeitet:
Sorry, in dem Artikel ist explizit von Heizungsthermostaten die Rede und nur darauf habe ich mich bezogen. Jeder sollte sich genau überlegen, ob wirklich alles global vernetzt regelbar sein muss. Ich bin ja auch für eine gewisse Bequemlichkeit, aber oftmals (zumindest im privaten Bereich) dürften wohl Insellösungen ohne Fernsteuerung ausreichen.

Um es einmal althergebracht zu erklären: Wer heute noch einen Allesbrenner im Haus hat kann über "Erpressungsversuche" von Öl- und Gaslieferanten auch lachen...
 
Zuletzt bearbeitet von einem Moderator:
Hm, in meinem Fall wäre es mir schleierhaft, wie man auf einem Comet DECT (Heizkörperregler) eine Schadsoftware installieren wollte, ohne daß der danach "kaputt geflasht" ist... Und auch bei meinen Philips Hue Lampen halte ich es eher für unwahrscheinlich, daß man da irgendeine Schadsoftware drauf bekommt. Bei letzteren wird als Übertragungsstandard ZigBee verwendet, da wären andere Szenarien denkbar, welche aber allesamt unter "ärgern" verbuchbar wären (und auch ziemlich unwaherscheinlich).

Ich kann zwar alle diese Dinge von jedem Ort der Welt aus ansprechen, jedoch NUR über eine VPN-Verbindung (z.B. vom Smartphone aus)! Die Topologie ist ja bei Smarthome eher so, daß man eine oder mehrere Bridges hat (z.B. eine Fritz!box), welche in irgendeiner Form aus dem Internet erreichbar sind. Die einzelnen Aktoren und Sensoren sind jedoch NICHT Teil des "Internets-Der-Dinge", sondern proprietär ansprechbar. Ein Botnetz wird man weder mit irgendeinem meiner Heizkörperregler, noch mit meinen Hue-Lampen aufbauen können und erpressbar bin ich da auch in keinster Weise :) Eine Smart Home Anlage, bei der jedes Teil einzeln per Internet ansprechbar wäre (so verstehe ich den Eingangsartikel), würde ich für konzeptionell komplett falsch aufgebaut und hochgradig unsicher erachten.
 
Zuletzt bearbeitet:
@ShnoopyDog: Auf der Cloud Security Expo diesen Mittwoch in Frankfurt wurde beim Smart-Home-Hacking demonstriert wie einfach es ist die Bridge der Philips Hue in wenigen Sekunden zu hacken. Dabei blieb aber die Frage offen, ob die Bridge denn wirklich immer am Internet hängen muss oder auch rein lokal betrieben werden kann.
 
Moins


Ich will es mal so umschreiben...

Damit das "Internet der Dinge" überhaupt erst möglich wird, muss es dem normalen Anwender unmöglich gemacht werden das WLAN/LAN komplett vom Internet abzuschotten.
:rolleyes:
 
@ktw2003: Wurde wirklich "die Bridge" über das Internet "gehackt"? Meine ist über "das Internet" gar nicht erreichbar - also auch nicht hackbar! Es sei denn, VPN ist heutzutage nicht mehr sicher. :rolleyes:
Das ZigBee Protokoll (welches Philips verwendet) gilt als unsicher, wenn man sich wenige Meter entfernt von den Geräten befindet.

Eigentlich ging es ja um einen Heizkörperregler, auf den man von überall eine böse Schadsoftware installieren kann. Bei meinen Heizkörperreglern ist das gesamte Szenario nicht durchführbar.
 
Zuletzt bearbeitet:
Wir sind doch jetzt im Internet, und darüber könnte ein Hacker (oder gar du selbst) in deinem LAN ein Skript laden welches lokal ausgeführt wird.

Wie das harmlose: Wie lange noch?
Oder: Quo Vadis?

Mit TR-064, JASON und was weiss ich noch alles bis hin zum Nachladen kompletter Entwicklungsumgebungen (node.js) ist alles drin.

Nennt sich: CrossSiteScripting (XSS)
 
Zuletzt bearbeitet:
Klar sind wir jetzt im Internet. Meine Geräte sind jedoch allesamt NICHT vom Internet her erreichbar...
 
Aber sie sind im LAN erreichbar.

Klicke einen Link der die Schadsoftware nachlädt (EMail, Werbebanner, etc.) und deine Geräte werden verseucht.
Präparierte Webseiten machen Klicks sogar überflüssig, da reicht das Laden schon aus.
...so einfach ist das Heutzutage.

Einzig das Gastnetz, welches vom LAN getrennt ist, bietet Schutz vor solchen Attacken.
...bis wieder ins normale LAN gewechselt wird.
 
Zuletzt bearbeitet:
Hi,

die kuerzliche Story, dass sogar irgendwelche internet-faehige Kaffeemaschinen (oder IoTs) Teil des Angriffs einer DDOS-Armee gewesen sein sollen, kann ich immer noch nicht wirklich glauben.

Auf der anderen Seite halte ich solche Entwicklungen fuer durchaus moeglich. Beispielsweise diese Billig-Webcams. Da kann man doch heute schoen einstellen "... immer auf Software Updates pruefen ...", oder auch die Video-Zentrale seiner Webcams auf deren Server verlegen ("... ist noch recht nett ..."). Da ist doch schon ein ordentliches Loch ins eigene LAN offen. Wenn nicht direkt, dann ist spaetestens in Kombination mit einer DNS-Spoofing-Attacke verdeckt schon so einiges moeglich.

Dazu kommt noch der Mensch selbst. Er ist nicht immer so ein ausgefuchster Freak wie hier im Forum. Auf Anhieb überblickt er nicht alles so richtig. Erstmal mal will er nur den Nutzwert aktivieren. Die Sicherheit kommt - wenn überhaupt - meist spaeter. Das ist gelegentlich schon mal reichlich fahrlaessig.

LG Goggo
 
Zuletzt bearbeitet:
Klicke einen Link der die Schadsoftware nachlädt (EMail, Werbebanner, etc.) und deine Geräte werden verseucht.

Ich habe aber Ahnung von dem was ich schreibe und weder meine Heizkörperregler, noch meine Schaltrelais, Dect-Telefone oder Hue-Lampen werden "verseucht" durch irgendeine Schadsoftware, weil es Softwaretechnisch nicht möglich ist...
 
Moins


OK, wenn es dann eben "Softwaretechnisch nicht möglich ist" gibt es andere Wege.
Stichwort: Social Engineering
...hat schon oft genug zum Ziel geführt.

Eine meiner Lieblingsszenen aus "Hackers"
[video=youtube;_G3NT91AWUE]https://www.youtube.com/watch?v=_G3NT91AWUE[/video]
...klappt jetzt auch mit Fritz!Boxen :D
 
Zuletzt bearbeitet:
weder meine Heizkörperregler, noch meine Schaltrelais, Dect-Telefone oder Hue-Lampen werden "verseucht" durch irgendeine Schadsoftware, weil es Softwaretechnisch nicht möglich ist...

[Ironie an]

Sehr gut. Der Webserver auf dem Heizkoerperregler bringt nicht wirklich viel, da er zu wenig Speicher hat.

[Ironie aus]

:biggrin:
 
Ich habe aber Ahnung von dem was ich schreibe und weder meine Heizkörperregler, noch meine Schaltrelais, Dect-Telefone oder Hue-Lampen werden "verseucht" durch irgendeine Schadsoftware, weil es Softwaretechnisch nicht möglich ist...

Es ist also nicht möglich, deine DECT-Telefone - lt. deiner Signatur z. B. das AVM C5 - per Software zu verseuchen.
Und was wird dann hier erklärt:
https://avm.de/service/fritzfon/fri...541_Aktuelle-FRITZ-Fon-Software-installieren/
?

- - - Aktualisiert - - -

die kuerzliche Story, dass sogar irgendwelche internet-faehige Kaffeemaschinen (oder IoTs) Teil des Angriffs einer DDOS-Armee gewesen sein sollen, kann ich immer noch nicht wirklich glauben.

Was ist daran so unglaublich?

Dass eingebettete Systeme verwundbar sind und man sie mit Leichtigkeit "übernehmen" kann, wurde schon vor Jahren gezeigt:
https://www.youtube.com/watch?v=njVv7J2azY8
http://arstechnica.com/security/201...ne-on-your-desk-into-a-remote-bugging-device/

Und dass Lücken in diesen Systemen und / oder zu schlecht abgesicherte Netze ausgenutzt werden, ist ebenso nicht neu:
https://www.heise.de/newsticker/mel...r-spuckten-Neonazi-Pamphlete-aus-3179949.html

- - - Aktualisiert - - -

Stichwort: Social Engineering
...hat schon oft genug zum Ziel geführt.
Exakt.
http://www.pcwelt.de/news/Microsoft_warnt_vor_falschen_Microsoft-Technikern-Vorsicht-7449549.html
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.