Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Sicherheit im Internet der Dinge
Prof. Dr. Martin Münstermann
2IT-Infrastruktur - Vorbemerkungen | Prof. Dr. Martin Münstermann
© FOM Hochschule für Oekonomie und Management
gemeinnützige Gesellschaft mbH (FOM), Leimkugelstraße 6, 45141 Essen
Dieses Werk ist urheberrechtlich geschützt und nur für den persönlichen Gebrauch im Rahmen der
Veranstaltungen der FOM bestimmt.
Die durch die Urheberschaft begründeten Rechte (u.a. Vervielfältigung, Verbreitung, Übersetzung,
Nachdruck) bleiben dem Urheber vorbehalten.
Das Werk oder Teile daraus dürfen nicht ohne schriftliche Genehmigung der FOM reproduziert oder
unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.
Copyright
Sicherheitsmanagement / Einführung und Grundlegende Begriffe
Vorstellung
Prof. Dr. Martin Münstermann
Dozent an der FOM seit 2011
Vorher Lehrauftrag an der HAW Hamburg
Nebenberuflich selbständig im Bereich
Informationssicherheit
Sicherheitstests, PKI/Authentifizierung, Kryptographie
Software Engineering – Sichere Software
Data Science, Datenbanken
Vorher: Tätigkeit bei TC TrustCenter GmbH, Hamburg
Elektronische Zertifikate, PKI
▪ Elektronische Signatur
▪ Verschlüsselung
Gehörte seit 2010 zu Symantec, Betriebseinstellung in 2014
Prof. Dr. Martin Münstermann | Sicherheitsmanagement 01-Intro3
4IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Grundbegriffe der Informationssicherheit
▪ Sicherheits-Ziele
▪ Gefährdung
▪ Schwachstelle
▪ Sicherheits-Konzept
Internet der Dinge
▪ Beispiele
▪ Internet-Kamera
▪ Gefährdungen
▪ Live-Hack
Gliederung
Grundbegriffe der Informationssicherheit
5IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Sicherheitsmanagement / Einführung und Grundlegende Begriffe
Basis-Sicherheits-Ziele
6Prof. Dr. Martin Münstermann | Sicherheitsmanagement 01-Intro
Die klassischen 3 Sicherheits-Ziele
Vertraulichkeit (Confidentiality)
▪ Schutz gegen unberechtigten Zugriff Dritter auf Informationen
Integrität (Integrity)
▪ Schutz gegenüber Veränderung von Informationen
▪ Veränderung: unabsichtlich oder absichtlich
Verfügbarkeit (Availability)
▪ Ausfall eines IT-Systems kann Existenz-bedrohend sein.
Vertraulich-
keit
Integrität
Verfügbar-
keit
7IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Beispiel: Liste mit den Noten Ihrer letzten Mathe-Klausur
▪ Gefährdung
Welches Interesse könnte ein möglicher Angreifer (z.B. Sie?!?) an der Liste
haben?
▪ Sicherheits-Ziele
Welche Sicherheits-Ziele sollte Ihr Lehrer für die Liste definieren?
Reihenfolge der Priorität?
▪ Sicherheits-Maßnahmen
Welche Maßnahmen sollten zum Erreichen der Ziele ergriffen werden?
Unterscheidung verschiedener Situationen
▪ Liste auf Papier (old school) vs. Elektronische Liste (→ Digitalisierung)
▪ Speicherung vs. Übertragung (z.B. ins Schulbüro)
Beispiel: Sicherheits-Konzept für Klausur-Noten
8IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Sicherheits-Ziel:
(Priorität)
Vertraulichkeit Integrität Verfügbarkeit
Gefährdung Einsehen fremder
Noten
Manipulation von
Noten
Löschen der Liste
Maßnahme
Papier –
Speicherung
Safe Safe, Kopie Kopie der Liste
und/oder des
Safe-Schlüssels
Maßnahme
Papier –
Übertragung
Brief-Geheimnis,
Einschreiben
Brief-Geheimnis,
Einschreiben
Einschreiben,
eigener Bote
Maßnahme
digital –
Speicherung
Verschlüsselung Signatur,
Blockchain
Kopie (Backup)
Maßnahme
digital –
Übertragung
https (TLS) https (TLS) durch
Netzprotokolle
Arbeitsergebnis: Sicherheits-Konzept für Klausur-Noten
9IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Sicherheits-Ziele
▪ … betreffen Informationen
▪ … unabhängig von der Art des Mediums
▪ … wichtig auf allen Ebenen der Verarbeitung
Speicherung, Übertragung, Verarbeitung
▪ … können durch unterschiedliche Maßnahmen erreicht werden
▪ Individuelle Festlegung notwendig, welche Sicherheits-Ziele wie wichtig sind!
Schwachstelle
▪ Etwas, durch das Sicherheits-Ziele verletzt werden können.
▪ Auf allen Ebenen der Verarbeitung möglich.
Sicherheits-Ziele / Schwachstelle
Sicherheits-Ziele teilweise in Konflikt/Konkurrenz zueinander.
Keine 100% Sicherheit!
Sicherheitsmanagement / Einführung und Grundlegende Begriffe
Weitere Sicherheits-Ziele
10Prof. Dr. Martin Münstermann | Sicherheitsmanagement 01-Intro
Zurechenbarkeit (Accountability)
▪ Sehr wichtig im betrieblichen Umfeld!
▪ Nachweisbarkeit von Absender und Inhalt
Anonymität (Anonymity)
▪ Im privaten Umfeld
▪ Vgl. Datenschutz
Plus weitere Sicherheits-Ziele…
Zurechen-
barkeit
Anonymität
Internet der Dinge
Internet of Things – IoT
11IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
12IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Quelle: Hamburger Abendblatt, 12.10.2018 - https://www.abendblatt.de/politik/article215544641/Attacken-auf-Alltagstechnik.html
Primärquelle: BSI Lagebericht 2018 - https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html
13IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Was für Dinge?
Internet der Dinge
14IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Was für Dinge?
Internet der Dinge
Sehr kleine Dinge
Sehr große Dinge
Lebens-wichtige Dinge
15IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
16IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Internet-fähige Kameras
IP-Kameras
Arlo Baby
Internet-BabyphonAußenkamera
(Überwachung von
Haustür, Garage, …)
Abus TVAC19100A
17IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
IP-Kamera
18IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
19IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Zugriff auf Kamera-Bild
☺
Lokaler
Zugriff
20IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Zugriff auf Kamera-Bild
☺
☺
Lokaler
Zugriff
Zugriff aus
Internet
21IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Zugriff auf Kamera-Bild
☺
☺
Lokaler
Zugriff
Zugriff aus
Internet
DSL-Router /
Firewall
Zugriff
verweigert!
22IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Zugriff auf Kamera-Bild
☺
☺
Lokaler
Zugriff
Zugriff aus
Internet
UPnP / Port-
Weiterleitung
23IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Daten geschützt?
„Außer mir kennt doch keiner die Adresse meiner Kamera!“
Shodan – IoT Suchmaschine
→ Besser ein starkes Passwort verwenden!
24IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Shodan – IoT Suchmaschine
„Außer mir kennt doch keiner die Adresse meiner Kamera!“
25IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Intelligente Dinge!
Unter der Haube vollständige Computer
Betriebssystem häufig ein abgespecktes Linux
Frei programmierbar
Wie spricht man das Ding als Computer an?
Sicherheitslücken beim Zugriff auf Kamera (Web-Oberfläche)
Wartungszugänge
Laufen i.d.R. unbeobachtet / ohne Benutzer-Eingriffe
Einfach nur Dinge?
„Das sind doch nur einfache Dinge!“
26IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Informationen für Angreifer
$ nmap -sV 192.168.178.23
Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-03 13:56 CET
Nmap scan report for noname (192.168.178.23)
Host is up (0.013s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
23/tcp open telnet BusyBox telnetd
81/tcp open http GoAhead WebServer
8600/tcp open tcpwrapped
Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.21 seconds
→ Informationen über offene Schnittstellen und Hersteller
→ telnet (= Wartungs-Zugang), http (= Web)
27IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Shell-Zugriff
$ telnet 192.168.178.23
Trying 192.168.178.23...
Connected to 192.168.178.23.
Escape character is '^]'.
(none) login: root
Password:
BusyBox v1.12.1 (2012-11-16 09:58:14 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
#
→ Zugriff auf den eingebetteten Computer mit umfassenden Rechten (root)
28IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Ungeschützt bzw. „bekannte“ Standard-Passwörter
Kommunikation ungesichert
Weder verschlüsselt noch authentisiert
Software der Kamera („Firmware“ und Apps)
Häufig sehr alt
Sicherheits-technisch häufig mangelhaft
Kein funktionierender Update-Mechanismus
Problematik: Schwachstellen
→ Passwort kann abgehört werden.
→ Durch Angreifer ausnutzbare Schwachstellen
→ Selbst erkannte Schwachstellen bleiben bestehen.
29IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Dinge als Waffe
30IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Dinge als Waffe
31IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Dinge als Waffe
32IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Dinge als Waffe
33IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Botnetz (virtuelle Armee)
Mirai Botnetz aus bis zu 500.000 IoT-Geräten („Dinge“) (2016)
▪ Gemeinsam gewaltige Last auf einzelne Ziele
Botnetzh
ttp
s://w
ww
.he
ise
.de
/security
/
→ Überlast
34IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Mirai: Angriffe auf bekannte Passwörter
Liste von 62 (zwei-und-sechzig) Standard-Passwörtern
Bis zu 500.000 Geräte gekapert
Infizierte Geräte suchen selber nach Opfern
Neue, ungeschützt ins Internet gestellte Dinge werden innerhalb von
Minuten automatisch erkannt („gescannt“) und angegriffen.
Wie konnte das passieren?
35IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Weitere Gefährdung:
IoT-Gerät als Hintertür bzw. Einfallstor ins eigene Netz
Weitere Gefährdung
UPnP / Port-
Weiterleitung
36IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Benutzer
Standard- und leere Passwörter sofort ändern bzw. setzen!
Große Vorsicht bei Port-Freigaben!
UPnP deaktivieren bzw. deaktiviert lassen!
Nur geeignete Geräte vernetzen!
Beim Kauf auf Qualität achten!
▪ Nicht nur funktionale Qualität, auch Sicherheit!
Was tun?
Im Zweifel: Finger weg!
37IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Hersteller
Produkte im Hinblick auf Sicherheit entwickeln.
Neue Herausforderung: Software-Sicherheit!
Datenschutz + Datensicherheit
Sichere Authentisierung von Benutzern
Sichere Update-Mechanismen
Gesetzgeber
Sicherheits-Anforderungen an Hersteller definieren
Haftungsregeln?
Was tun?
Cloud Security Alliance:
Future-proofing the Connected World:
13 Steps to Developing Secure IoT Products
38IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
BSI (2018): Die Lage der IT-Sicherheit in Deutschland
Speziell Abschnitt 1.3.4 – Smart Home und das Internet der Dinge
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html
Heise Security
https://www.heise.de/security/
▪ DDoS-Attacke kappte zeitweilig Internetverbindung eines ganzen Landes
▪ DDoS-Attacke legt Twitter, Netflix, Paypal, Spotify und andere Dienste lahm
▪ Rekord-DDoS-Attacke mit 1,1 Terabit pro Sekunde gesichtet
Cloud Security Alliance
https://downloads.cloudsecurityalliance.org/assets/research/internet-of-
things/future-proofing-the-connected-world.pdf
Literatur
39IT-Sicherheit im Internet der Dinge | Prof. Dr. M. Münstermann
Fragen?