Standort: fm4.ORF.at / Meldung: ""Mitgeschnupfte" Türschlüssel im Dinge-Internet"

Erich Moechel

CC zazie.at

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

8. 12. 2015 - 18:00

"Mitgeschnupfte" Türschlüssel im Dinge-Internet

Von Türöffnern über Thermostate bis zu "klugen Glühbirnen" sind alle bereits millionenfach verbauten Komponenten in ZigBee-Funknetzen mittlerweile angreifbar.

In den Schlagzeilen über "Abhör-Barbies" und Millionen kompromittierte Kundendaten aus der Kinderkonsolen-Cloud der Hongkonger Firma Vtech manifestiert sich ein gefährlicher, aktueller Trend. Die erste Serie von Services, die unter das "Internet der Dinge" (IoT) fallen, erweist sich in der Praxis als mindestens so unsicher, wie Skeptiker befürchtet hatten. Die Sicherheitslücken können sowohl in den Cloud-Anwendungen wie auch den lokalen IoT-Funknetzen der Nutzer verborgen sein.

Eines der führenden Funkprotokolle, über das vernetzte "Dinge" weltweit untereinander kommunizieren, gilt spätestens seit Mitte November als restlos kompromittiert. Sicherheitsforscher der österreichischen Cognosec haben ihren Angriff auf eine bereits im Sommer entdeckte, fatale Lücke im ZigBee-Protokoll nun so verfeinert, dass jedes bekannte ZigBee-Funknetz im Nahbereich drahtlos gehackt werden kann. Die schlechte Nachricht: ZigBee ist seit zehn Jahren auf dem Markt und wird längst nicht nur bei Hausautomatisation, sondern auch in Fabriken und dem Medizinbereich weltweit eingesetzt.

IOT Setup Schloss

CC by SA FM4/Erich M.

Im Hintergrund das intelligente Schloss der Firma Yale, die Antennen davor gehören zum SDR-Board, rechts daneben sieht man einen Raspberry PI sowie einen Laptop mit dem frei erhältlichen SecBee zum Eingriff in das Netz.

"Den Haustürschlüssel mitgeschnupft"

Aktuell dazu in ORF.at

Anders als die neue "Abhör-Barbie", die das Gebrabbel der "Puppenmutter" aus dem Kinderzimmer in die Cloud überträgt, sind die Lernkonsolen von Vtech und deren Cloud auch in Österreich weit verbreitet, es ist von 50.000 betroffenen Haushalten auszugehen.

"Die primäre ZigBee-Schwachstelle ist beim Schlüsselaustausch", sagte Tobias Zillner von der Cognosec zu ORF.at, "Während wir noch im Sommer warten mussten, bis der Eigentümer irgendein IoT-Gerät neu startet oder eine neue Komponente hinzufügt, können wir diesen Schlüsseltausch nun selbst anstoßen und uns den Haustürschlüssel sofort 'mitschnupfen', nachdem wir einmal 'angeklopft' haben. Darüber hinaus können wir dann auch einen neuen PIN für das Türschloss programmieren und den Besitzer dadurch aussperren." Dafür benötigt wird nur ein Software-definiertes Radio, ein Raspberry PI Mini-PC sowie ein Laptop mit dem SecBee-Programm, das öffentlich verfügbar ist.

Die Sicherheitsforscher haben eine ganze Reihe verschiedener ZigBee-Anwendungen vor allem zur Hausautomation getestet, laut ihren Angaben sind alle bisher ausgelieferten ZigBee-Systeme auf diese oder ähnliche Weise angreifbar. Das Hauptproblem dabei ist deren Rückwärtskompabilität, denn ein längst eingeführter Standard, für den täglich eine Unzahl neuer Geräte produziert und ausgeliefert werden, lässt sich nicht über Nacht umdefinieren. Die Hersteller haben folgerichtig abgewiegelt, da auch Firmware-Updates den Designfehler im Protokoll nicht beheben können. Einfache Empfehlungen, um die IoT-Infrastruktur in der Konfiguration möglichst abzusichern, siehe weiter unten.

Tobias Zillner

Cognosec

Tobias Zillner

Von Babyfones bis "Smart Meters"

Solche Module für Zig-Bee-Kurzstreckenfunk sind in einer völlig unübersichtlichen Anzahl von verschiedensten Geräten weltweit verbaut und in Betrieb. Das Spektrum reicht von harmlosen Babyphones über eine unbekannte, jedenfalls sehr große Zahl von "Smart Meters", die für die Messung des Energieverbrauchs von Haushalten in den USA eingesetzt werden, über Montagestraßen und Fließbänder in Fabriken. Das aktuelle am schnellsten wachsende Segment sind Beleuchtungssysteme, deren "intelligente Glühbirnen" über ZigBee-Funk gesteuert werden.

Eine Vorstufe des ZigBee-Hacks wurde auf der US-Hackerkonferenz Defcon im August vorgestellt. Schwerpunkt der Konferenz waren Hacks vernetzter Autos und anderer "Dinge" im IoT.

Die Sicherheitslücke betrifft all diese Anwendungen, denn sie ist im Standard als "Feature" festgeschrieben, sie ermöglicht nämlich "Plug and Play". Neue ZigBee-Komponenten, egal welcher Hersteller können damit in ein bestehendes Netzwerk integriert werden, ohne dass sie der Betreiber sicherheitstechnisch konfigurieren muss. ZigBee-taugliche Kameras, Wärmesensoren oder Schaltrelais klopfen ganz einfach beim ZigBee-Access-Point an, benutzt wird dabei ein öffentlich bekannter Fallback-Schlüssel, um den eigentlichen Netzwerkschlüssel an das neue Gerätchen zu übertragen. Hier setzt der Angriff an, denn diese Kommunikation zur Initialisierung kann über ein SDR in der Nähe mitgesnifft und am Raspberry Pi dann entschlüsselt werden.

SDR RasPI

CC by SA FM4/Erich M.

Links das Software Defined Radio, das von einem Raspberry PI angesteuert wird, der wiederum an einem Laptop hängt. Das Schloss im Hintergrund könnte auch 50 Meter weiter entfernt sein, sofern dann noch direkter Sichtkontakt besteht. Diese Strecke ließe sich durch den Einsatz von Richtantennen noch mehr als verdoppeln.

Empfohlene Sicherheitsmaßnahmen

Die ZigBee Spezifikation erweitert den IEEE 802.15.4-Standard um eine Netzwerk- und Anwendungsschicht. ZigBee-Geräte sind unterneinander vernetzt (Mesh-Network) und übertragen bis zu 250 Kbit/sec in den sogenannten ISM-Bändern, nämlich im WLAN-Bereich um 2,4 GHz sowie bei 868.

An der Verwundbarkeit bereits installierter IoT-Netze auf ZigBee-Basis werde sich in nächster Zeit auch wenig ändern, sagte Florian Eichelberger (Cognosec). "Der Verkäufer des Equipments kann dem Kunden ja schlecht erklären, sein gerade erst erstandenes Steuerungs- und Sperrsystem weise so gravierende Sicherheitslücken auf, dass alle Komponenten für das Smarthome ein zweites Mal gekauft werden müssten. Ein Fix in der Software ist nämlich nicht in Sicht." Der Benutzer erwarte von einem solchen "Smart Home" nun einmal eine deutlich längere Lebensdauer - auszugehen sei von 10 bis 15 Jahren - als etwa von seinem Smartphone, mit dem er das alles bediene.

Florian Eichelberger

Cognosec

Florian Eichelberger

Um Angriffe auf existierende ZigBee-Installationen und damit Wohnungseinbrüche derzeit abzuwenden, muss zumindest die Auf- und Zusperrfunktion für das Türschloss deaktiviert werden. Bei den Tests auch von Produkten anderer Hersteller habe sich herausgestellt, dass die Smartphone-App zur Steuerung des ZigBee-Netzes nicht einmal eine Meldung erhalte, wenn das Schloss mit einem "geschnupften Schlüssel" aufgesperrt worden sei. Weitere ZigBee-Geräte, empfiehlt der Experte, sollten in ihrer Sendeleistung soweit wie möglich zurückgeregelt werden, um Angreifern das Auffinden des Signals und damit das "Mitschnupfen" der Schlüssel zu erschweren.

Die "Sicherheitsupdates" von Chrysler nach dem spektakulären Hack eines Jeeps im Juli für noch gefährlicher als den Angriff. Chrysler bot nämlich den Download von ".exe"- und ".zip"-Dateien zum Einspielen in die Autoelektronik an.

Unsicherheit als Funktion der Zeit

Als die ZigBee-Allianz, der weltweit 230 Produzenten angehören, den ansonsten als recht sicher geltenden Standard im Jahr 2002 entwarf, gab es noch keine Smartphones. Erst 2007, als die aktuell benutzte ZigBee-Version erschien, wurde das erste iPhone vorgestellt, Software Defined Radios existierten zu dieser Zeit erst als teure und unhandliche Labor- und Messgeräte im Zivilbereich. Dass solch universelle, weil frei programmierbare SDR-Funkgeräte nur wenige Jahre später so billig und so weit verbreitet sein würden, lag damals offenbar außerhalb der Vorstellungen. Dabei hatten sich SDR-Geräte um diese Zeit längst in allen militärischen Bereichen vollständig durchgesetzt.

Yale Schlüssel

CC by SA FM4/Erich M.

"Wenn man sich diesen Schlüssel des Herstellers ansieht, so lohnt es sich womöglich gar nicht, das SDR zu starten. Hier könnte man mit dem gängigen Lockpicking-Besteck wahrscheinlich sogar schneller sein", sagt Eichelberger

Gängige Typen sind etwa das HackRF-Board, das bis 6 GHz bespielt werden kann und in mehreren Varianten erhältlich ist. Es kann ebenso als Messgerät eingesetzt werden, etwa als Spektrum-Analyzer wie das Red Pitaya-Board, das wahlweise auch für eine Funktion als Oszillograf oder als Signalgenerator programmiert werden kann. Alle Boards samt Software sind Open Source.

Heute sind diese Universal-Boards, die zwischen 100 KHz und mehreren GHz für alle möglichen digitalen Sende- und Empfangsprotokolle programmiert werden können, um die 300 Euro zu haben, mit weiterhin fallender Tendenz. Sie werden rund um die Welt vor allem zum "Rapid Protoyping", also zum Entwurf von kompletten IoT-Funknetzen für bestimmte Anwendungen benutzt, ebenso werden sie in universitären und kommerziellen Messlabors eingesetzt und von Funkamateuren ebenso. Von ihrer universellen Funktionalität her sind sie fast schon mit den "Breadbords" zu vergleichen, das sind die Steckbretter, auf denen Elektroniker seit Jahrzehnten Schaltungen zu Testzwecken aufbauen.

Ausblick, wird fortgesetzt

Was die gehackten Barbies und Lernkonsolen angeht, so zeigt sich, wie angreifbar das "Internet der unsicheren Dinge" auch von der "Maschekseite" ist. Die Sicherheitslücken befinden sich nicht an der physischen Peripherie, also in Puppenstuben oder Kinderzimmern, sondern in den Cloud-Anwendungen ein und derselben IoT-Installation. Zusammen mit den Smartphone-Apps tun sich hier laufend weitere Angriffsvektoren auf, die früher oder später schlagend werden.

Die nächste Folge wird sich mit Angriffen von der Maschekseite, nämlich über das Internet, befassen und die Rolle Googles im Rennen um den Markt der vernetzten Dinge.