Ausnutzung von Schwachstellen
Exponierte IoT-Automatisierungsserver und Cybercrime
Sicherheitsforscher von Trend Micro haben mögliche Bedrohungsszenarien für komplexe IoT-Umgebungen wie Smart Homes und Smart Buildings getestet.
Originalbeitrag von Stephen Hilt, Numaan Huq, Martin Rösler und Akira Urano
Die Sicherheitsforscher von Trend Micro haben mögliche Bedrohungsszenarien für komplexe IoT-Umgebungen (Complex IoT Environment; CIE) wie Smart Homes und Smart Buildings getestet. Ein guter Teil des Projekts widmete sich auch exponierten Automatisierungsplattformen oder Servern, die integrale Komponenten von komplexen IoT-Umgebungen sind.
Eine komplexe IoT-Umgebung besteht aus genügend IoT-Geräten – zehn zeigt die Erfahrung –, um einen Regelsatz zu erstellen, der Web-basiert ist oder auf dynamischen Interaktionen beruht. In solchen Umgebungen verknüpft ein Automatisierungsserver funktional die Geräte miteinander und ermöglicht funktionale Interaktionen der Geräte. Zwei Arten von Automatisierungsservern sind hier anzutreffen: der quelloffene Server und der kommerzielle Server. Beide haben eine gute Kontrolle über die Geräte und beinhalten zudem auch wichtige Informationen. Sie sind von kritischer Bedeutung für die Umgebungen, wobei mit jedem zusätzlichen Gerät die Zahl der möglichen Interaktionen und Regeln exponenziell steigt.
Wird ein Server unwissentlich online exponiert, so könnte er es Angreifern möglich machen, Automatisierungsregeln umzuprogrammieren oder fest codierte Informationen zu stehlen. Und mit den immer komplexer werdenden Regeln hat es ein Administrator auch zunehmend schwerer, von Angreifern geänderte Logik trotz Inspektion zu erkennen. Deshalb ist es von entscheidender Bedeutung für die Sicherheit einer CIE zu prüfen, ob ein Online-Server exponiert ist. Für das Forschungsprojekt setzten die Sicherheitsforscher auf Shodan-Abfragen, um tatsächlich exponierte Automatisierungsserver zu finden.
Ergebnisse
Über die Abfragen mithilfe der Suchmaschine für internet-verbundene Geräte fanden die Forscher eine Reihe von quelloffenen Automatisierungsserver. Deren hervorstechendes Merkmal ist zum einen die Vielseitigkeit und zum anderen die programmierbare Logikschicht, über die Anwender Regeln ändern und Geräte zu einer CIE hinzufügen können.
Die häufigsten gefundenen exponierten quelloffenen Automatisierungsserver waren Domoticz, Home Assistant, openHAB und Fibaro Home Center. Die meisten exponierten Server waren in den Industrienationen in Europa, Nordamerika, Australien und Japan angesiedelt. Doch auch in Thailand, Vietnam und Chile stießen die Forscher auf Automatisierungsserver – ein Zeichen dafür, dass das noch junge Gebiet der IoT-Automatisierung sich schnell weltweit ausbreitet.
Da die Zahlen allein auf den Shodan-Abfragen beruhen, sollte folgendes in Betracht gezogen werden:
- Shodan-Daten enthalten nicht alle exponierten Server.
- Nicht alle Automatisierungsserver sind im Internet exponiert.
- Die täglichen Ergebnisse ändern sich permanent aufgrund dynamischer IP-Adressen.
Open-Source Automatisierungsserver für das Smart Home
Die Forscher fanden in Shodan 6200 exponierte Home Assistant-Server, von denen sich die meisten in den USA oder Europa befanden. Das sind Open Source Home-Automatisierungsserver, mit deren Hilfe Anwender alle ihre vernetzten Geräte zu Hause von einem einzigen, benutzerfreundlichen Interface aus betreiben können. Home Assistant läuft auf einem dedizierten Server, RPi oder lokal, sodass alle Gerätedaten lokal gespeichert werden statt in der Cloud. Er unterstützt standardmäßig viele weit verbreitete IoT-Geräte und Regeln können über die Benutzerschnittstelle programmiert oder in YAML geschrieben werden.
Home Assistant hat eine History-Funktion, die den Betriebsstatus von Geräten anzeigt. Wenn jemand darauf zugreift, kann er auch feststellen, wann die Bewohner nicht zu Hause sind. In einigen Fällen, enthielt die Konfigurationsdatei wichtige Login-Daten, wie hart codierte Router-Benutzernamen und Passwort. Positiv anzumerken ist, dass Home Assistant den Passwortschutz erzwingt und dass die meisten exponierten Home-Server auch kennwortgeschützt waren.
Andererseits fanden die Forscher weniger exponierte Smart Homes mit FHEM-Server. FHEM ist ein in Europa verbreiteter Home-Automatisierungsserver. Die meisten exponierten Server waren in Österreich und Deutschland im Einsatz. Der Perl-Server kann für automatisierte, Tag für Tag anfallende Aufgaben zu Hause genutzt werden, so etwa für die Kontrolle des Thermostaten, Lichtschalter und Regeln der Stromversorgung. Die Programme laufen wie auch beim Home Assistant auf einem dedizierten Gerät und können über das Web, Smartphone, Telnet oder TCP/IP gesteuert werden.
Zu den Informationen auf den exponierten FHEM-Servern gehörten Konfigurationsdateien (z.B. mit hart codierten Anmeldeinformationen, Listen aller Geräte im Haus und dem Standort jedes Geräts) und Geräteaktivitäten. Diese Server könnten auch andere Details zu den angeschlossenen Geräten anzeigen, wie z.B. Gerätestatus, Sensormesswerte und sogar Stromverbrauch.
Open Source Home- und Industrie-Server
Ein weiterer Typus von online exponierten Automatisierungsservern war Node-RED, ein Flow-basiertes Programmierwerkzeug für die Verknüpfung von Geräten, APIs und Online-Diensten. Bemerkenswert ist Node-Reds Unterstützung sowohl für Smart Homes als auch für Industrieprozesse. Diese Fähigkeit wird wahrscheinlich künftig auch von anderen IoT-Automatisierungsplattformen angeboten werden.
Die Forscher fanden um die 880 exponierte Node-RED Server online, die meisten davon in den USA, in Deutschland, Japan, Großbritannien und in den Niederlanden. Aufgrund des Einsatzes für Home- und auch Industrieanwendungen kommen diese Server mit einer Vielfalt von Einstellungen. So fanden die Forscher etwa auch solche für Glashäuser und eine Parkgarage.
Kommerzielle Automatisierungsserver
Die kommerziellen Automatisierungsserver bieten weniger Flexibilität als die Open Source. Das bedeutet, dass sie nicht so vielfältige IoT-Geräte in ihre Systeme integrieren können. Doch sind sie in der Lage, Haushalte in gewissem Maße zu kontrollieren, da sie für den Betrieb vorinstallierter Geräte verwendet werden können.
Potenzielle Angreifer können keine bedeutenden smarten Attacken auf exponierte kommerzielle Automatisierungsserver über die Logikschicht starten – die Server haben nämlich keine vom Nutzer programmierbare Logik. Doch sie teilen Informationen und gewähren jedem Zugang, ohne eine tatsächliche Authentifizierung zu fordern.
Sicherheit und Kontrolle
Die Anfälligkeit von Automatisierungsservern setzt Smart Homes und auch Smart Buildings verschiedenen Angriffsszenarien aus. Auf Open Source-Automatisierungsservern können Angreifer die Regeln umprogrammieren, um verschiedene Angriffe zu ermöglichen – von heimlich hinzugefügten Geräten bis zum Abschalten aller Sicherheitseinstellungen. Und auch kommerzielle Server ermöglichen Angreifern eine physische Kontrolle über einen Haushalt, indem sie die Interaktion mit Kontrollgeräten wie Alarmsystemen erlauben. Exponierte Automatisierungsserver in Gebäuden und in industriellen Umgebungen können den Betrieb behindern, wenn ihre Einstellungen manipuliert werden. Zusätzlich sind Angreifer in der Lage, mit Hilfe der auf dem exponierten Server verfügbaren Informationen Muster im Verhalten der Bewohner zu erkennen und zu überwachen.
Bei der Absicherung einer CIE ist der Automatisierungsserver ein guter Ausgangspunkt. Da diese Server Nutzer nicht benachrichtigen, wenn eine Änderung der Regeln erfolgt ist, sollten sie die Logikschicht regelmäßig auf solche Modifikationen prüfen. Diesbezüglich ist der Einsatz von Versionskontrollsoftware eine gute Hilfe, um Änderungen im Code nachzuverfolgen, und um den Code im Fall einer Kompromittierung schnell auf seine ursprüngliche Version zurückfahren. Nutzer sollten auch die Informationen auf den Automatisierungsservern filtern. Da die Server für den reibungslosen Betrieb von CIEs ein wichtiges Tool darstellen, ist es von entscheidender Bedeutung, deren Kontrolle nicht in die falschen Hände abzugeben.
Weitere Angriffsszenarien und Ergebnisse des Projekts umfasst das Whitepaper „Cybersecurity Risks in Complex IoT Environments: Threats to Smart Homes, Buildings and Other Structures“.