KeyWe: Im Smart Home stehen Tür und Tor weit offen
Das finnische Cybersecurity-Unternehmen F-Secure hat mit erstaunlich einfachen Mitteln das „smarte Türschloss“ des koreanischen Herstellers KeyWe gehackt und geöffnet.
Für Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure, ist das ein weiterer Beleg dafür, dass das so genannte „Smart Home“ weltweit noch mit extremen Sicherheitsproblemen zu kämpfen hat: „Veraltete Betriebssysteme, schlechte Programmierung, fehlende Standards – die inzwischen unüberschaubare Vielzahl an vernetzten Geräten macht das ’smarte‘ Heim zum ‚Dumb Home‘.“
„Wer sich als Verbraucher auf solche Geräte verlässt, ist am Ende selbst der Dumme. Wir fordern endlich einheitliche, verlässliche Standards in der IT-Security für das Internet der Dinge.“ Bestätigt wird Trost darin durch die Ergebnisse des „Attack Landscape Reports“, der im September 2019 eine zwölfmal höhere Zahl von Angriffen aus dem Internet registriert hat als noch im Vergleichszeitraum des Vorjahres. Ein großer Teil dieser Attacken wurde verursacht durch unsichere Smart-Home-Geräte, die nun unter der Kontrolle von Hackern ihrerseits Angriffe auf andere Geräte durchführen, ohne dass der Besitzer davon weiß.
Hereinspaziert
Die Nutzer des vermeintlich „smarten Türschlosses“ des koreanischen Herstellers KeyWe können ihre Wohnungstür zuhause mithilfe einer Smartphone-App öffnen. F-Secure konnte die durchaus vorhandenen Sicherheitsvorrichtungen allerdings mit recht einfachen Mitteln umgehen, indem die Nachrichten zwischen dem Schloss und der App abgefangen und manipuliert wurden. „Alles, was wir dafür brauchten, war ein bisschen Know-how, ein kleines Gerät zum Abfangen der Nachrichten für 10 Euro aus dem Technik-Markt und ein bisschen Zeit, um die Nutzer zu finden“ – sagte Krzysztof Marciniak, einer der Cyber-Security-Berater von F-Secure, die den Hack durchführten. Wichtige Details zum Hack hält F-Secure zurück, da bereits viele der Schlösser im Einsatz sind, zugleich aber keine Möglichkeit besteht, die Geräte mit einem Security-Update nachträglich abzusichern. Einen Sicherheitshinweis hat F-Secure dennoch veröffentlicht.
Hyppönens Gesetz: smart = verwundbar
„Die Kunden von KeyWe müssen ihre ‚smarten‘ Schlösser komplett austauschen oder aber mit dem Risiko leben. Es ist ein Unding, dass es überhaupt vernetzte Geräte gibt, die über keine oder nur mangelhafte Routinen für Sicherheits-Patches verfügen“ – beklagt Rüdiger Trost. Stattdessen müsse sich die Smart-Home-Branche endlich auf gemeinsame Standards und langfristige Sicherheitsmechanismen verpflichten. Insbesondere bei vielen Crowdfunding-Projekten gibt es keinerlei Garantien, wie lange das vermeintlich smarte Gerät unterstützt und mit Sicherheitsupdates versorgt wird. „Wer sich auf solche ‚dummen‘ Produkte einlässt, riskiert es, dass sein Zuhause am Ende wie ein Schweizer Käse von zahlreichen Sicherheitslöchern durchbohrt ist“ – so Trost. Schon im Jahr 2016 hat Mikko Hyppönen, Chief Research Officer bei F-Secure, sein inzwischen als „Hypponens Gesetz“ bekanntes Statement formuliert: „Wann immer ein Gerät als ’smart‘ bezeichnet wird, ist es verwundbar.“
F-Secure-Report: Immer mehr IoT-Geräte greifen an
Im Herbst 2019 wurde dieses Gesetz eindrucksvoll im „Attack Landscape Report“ bestätigt. Der Report beruht auf anfälligen Servern, die wie Köder („Honeypots“) ins Netz gestellt werden und Angriffe provozieren, die dann von F-Secure dokumentiert werden. Die Experten von F-Secure haben im ersten Halbjahr 2019 eine zwölfmal höhere Zahl von Angriffen registriert als noch im Vergleichszeitraum des Vorjahres. Mit über 760 Millionen Angriffen oder 26 Prozent des gemessenen Traffics trug Telnet den größten Anteil an der Gesamtzahl der Attacken im beobachteten Zeitraum. UPnP steht mit 611 Millionen Angriffen auf Platz 2 der Rangliste. SSH, das ebenfalls von IoT-Geräten genutzt wird, verzeichnete 456 Millionen Angriffe. Die Quellen dieser Angriffe sind höchstwahrscheinlich IoT-Geräte, die mit der Mirai-Malware infiziert wurden, die auch am häufigsten auf den Honeypots entdeckt wurde. Mirai infiziert Router, Sicherheitskameras und andere vernetzte Geräte im “Internet der Dinge”, die noch die Werkseinstellungen als Zugangsdaten benutzen.
„Die Unsicherheit des ‚Internets der Dinge‘ wird immer größer, da laufend neue Geräte auftauchen, die gekapert und in Bot-Netze eingebunden werden. Und die Aktivitäten beim SMB-Protokoll zeigen, dass immer noch viel zu viele Geräte da draußen in Betrieb sind, die nie ein Sicherheits-Patch erfahren haben“ – Jarno Niemela, Principal Researcher bei F-Secure.