 Who's Online
|
|
Zur Zeit sind 176 Gäste und 0 Mitglied(er) online.
Sie sind ein anonymer Besucher. Sie können sich hier anmelden und dann viele kostenlose Features dieser Seite nutzen!
|
|
Online Werbung
|
|
|
Haupt - Menü
|
|
|
Kostenlose Browser Games
|
|
|
Terminkalender
|
|
|
Seiten - Infos
|
|
|
Handy WebTips
|
|
|
Online WEB Tipps
|
|
|  |
|
|
|
|
|
|
|
Handy-Info-123.de - News, Infos & Tipps rund um Handys & Smartphones!
Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110
Veröffentlicht am Dienstag, dem 14. Februar 2017 von Handy-Infos |
|
softScheck: Die Angriffe von Internet of Things (IoT)-Geräten auf Router der deutschen Telekom und den DNS Betreiber Dyn haben erneut die völlige Unsicherheit dieser Geräte verdeutlicht. Sie wurden ausgelöst durch Malware wie Mirai, die Internet-basierte Webcams, Babyphones etc. kontrolliert.
In beiden Fällen waren die infizierten Geräte unzureichend zugriffsgeschützt und wurden schlussendlich als Angriffswerkzeuge ausgenutzt. Der Einsatz fest-programmierter (nicht auswechselbarer) Standard-Passwörter und in der Grundkonfiguration geöffneter Ports wird konsequenterweise von Kriminellen systematisch ausgenutzt.
Viele dieser Geräte sind auch weiterhin angreifbar: Mit dem TP-Link HS110 wurde ein IoT-Gerät zur Home Automation genauer betrachtet. Es handelt sich hierbei um eine Prozessor-gesteuerte Steckdose, die sich mit dem hauseigenen WLAN verbindet und per ebenfalls unsicherer Smartphone-App verwaltet wird. Zur Konfiguration stellt das Gerät einen ungesicherten Ad-Hoc Access Point zur Verfügung. Eine Kommunikation mit der Cloud des Herstellers ist ebenfalls vorgesehen und ermöglicht diesem, den Lebenszyklus (Gerätenummer, Eigentümer, Einsatzzeit und –dauer) eines jeden Geräts genau zu verfolgen. Der disassemblierte Firmware-Quellcode offenbart Details über die Implementierung, über die verwendeten Protokolle sowie im Klartext gespeicherte Standardpasswörter.
Mit Reverse-Engineering nach dem Black-Box-Prinzip wurde der Einsatz einer einfach-knackbaren XOR Verschlüsselung nachgewiesen. Daraus folgend kann die gesamte Kommunikation des Geräts leicht entschlüsselt werden. Zu diesen Informationen gehören auch die an die Cloud zur Registrierung gesendeten Zugangsdaten.
Durch die über die Kommunikation bekannten Informationen war es möglich, ein kleines Tool zur Steuerung des TP-Link HS110 zu entwickeln. Dieses kann ohne jegliche Authentifizierung beliebige Geräte der Serie steuern und beliebig manipulieren. Ein Wartungsprotokoll - mit entsprechendem offenem Port am IoT-Gerät - gibt weiterhin Auskunft über die Konfiguration und den Status des Geräts und kann spezielle gerätespezifische Befehle ausführen.
Der eingesetzte völlig unzulängliche Ansatz ‚Security by Obscurity‘ ist für eine umfassende Sicherheit des Geräts offensichtlich nicht ausreichend. Dies gewinnt weiter an Relevanz, da die Verwendung von Universal Plug and Play (UPnP) standardmäßig bei vielen Routern aktiviert ist. Die nicht ausreichend gesicherten Geräte aus dem Heimnetzwerk können so den Zugriff aus dem Internet ermöglichen.
Nachträgliche Korrekturen am Produkt führen unweigerlich zu zusätzlichem Aufwand und damit auch weit höheren Kosten. Eine frühzeitige Prüfung des Konzepts durch Threat Modeling, sowie intensive Prüfung durch Penetrationstests sind also auch aus Kostengründen unverzichtbar.
Eine technisch detaillierte Beschreibung findet sich unter https://www.softscheck.com/en/reverse-engineering-tp-link-hs110/.
(Weitere interessante Baby News, Baby Infos & Baby Tipps gibt es hier.)
Zitiert aus der Veröffentlichung des Autors >> softScheck << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
Die Angriffe von Internet of Things (IoT)-Geräten auf Router der deutschen Telekom und den DNS Betreiber Dyn haben erneut die völlige Unsicherheit dieser Geräte verdeutlicht. Sie wurden ausgelöst durch Malware wie Mirai, die Internet-basierte Webcams, Babyphones etc. kontrolliert.
In beiden Fällen waren die infizierten Geräte unzureichend zugriffsgeschützt und wurden schlussendlich als Angriffswerkzeuge ausgenutzt. Der Einsatz fest-programmierter (nicht auswechselbarer) Standard-Passwörter und in der Grundkonfiguration geöffneter Ports wird konsequenterweise von Kriminellen systematisch ausgenutzt.
Viele dieser Geräte sind auch weiterhin angreifbar: Mit dem TP-Link HS110 wurde ein IoT-Gerät zur Home Automation genauer betrachtet. Es handelt sich hierbei um eine Prozessor-gesteuerte Steckdose, die sich mit dem hauseigenen WLAN verbindet und per ebenfalls unsicherer Smartphone-App verwaltet wird. Zur Konfiguration stellt das Gerät einen ungesicherten Ad-Hoc Access Point zur Verfügung. Eine Kommunikation mit der Cloud des Herstellers ist ebenfalls vorgesehen und ermöglicht diesem, den Lebenszyklus (Gerätenummer, Eigentümer, Einsatzzeit und –dauer) eines jeden Geräts genau zu verfolgen. Der disassemblierte Firmware-Quellcode offenbart Details über die Implementierung, über die verwendeten Protokolle sowie im Klartext gespeicherte Standardpasswörter.
Mit Reverse-Engineering nach dem Black-Box-Prinzip wurde der Einsatz einer einfach-knackbaren XOR Verschlüsselung nachgewiesen. Daraus folgend kann die gesamte Kommunikation des Geräts leicht entschlüsselt werden. Zu diesen Informationen gehören auch die an die Cloud zur Registrierung gesendeten Zugangsdaten.
Durch die über die Kommunikation bekannten Informationen war es möglich, ein kleines Tool zur Steuerung des TP-Link HS110 zu entwickeln. Dieses kann ohne jegliche Authentifizierung beliebige Geräte der Serie steuern und beliebig manipulieren. Ein Wartungsprotokoll - mit entsprechendem offenem Port am IoT-Gerät - gibt weiterhin Auskunft über die Konfiguration und den Status des Geräts und kann spezielle gerätespezifische Befehle ausführen.
Der eingesetzte völlig unzulängliche Ansatz ‚Security by Obscurity‘ ist für eine umfassende Sicherheit des Geräts offensichtlich nicht ausreichend. Dies gewinnt weiter an Relevanz, da die Verwendung von Universal Plug and Play (UPnP) standardmäßig bei vielen Routern aktiviert ist. Die nicht ausreichend gesicherten Geräte aus dem Heimnetzwerk können so den Zugriff aus dem Internet ermöglichen.
Nachträgliche Korrekturen am Produkt führen unweigerlich zu zusätzlichem Aufwand und damit auch weit höheren Kosten. Eine frühzeitige Prüfung des Konzepts durch Threat Modeling, sowie intensive Prüfung durch Penetrationstests sind also auch aus Kostengründen unverzichtbar.
Eine technisch detaillierte Beschreibung findet sich unter https://www.softscheck.com/en/reverse-engineering-tp-link-hs110/.
(Weitere interessante Baby News, Baby Infos & Baby Tipps gibt es hier.)
Zitiert aus der Veröffentlichung des Autors >> softScheck << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
|
|
Für die Inhalte dieser Veröffentlichung ist nicht Handy-Info-123.de als News-Portal sondern ausschließlich der Autor (softScheck) verantwortlich (siehe AGB). Haftungsausschluss: Handy-Info-123.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110" | Anmelden oder Einloggen | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
|
Keine anonymen Kommentare möglich, bitte zuerst anmelden |
|
| Diese Web-Videos bei Handy-Info-123.de könnten Sie auch interessieren: |
Weit über 1.000 Euro? Günstiger zum Top-Handy | n-t ...
 | Die BESTEN Tarife mit Smartphone im November 2019
 | Tattoo per App - kann Lukas das perfekte Studio für ...
 |
|
|
| Diese Fotos bei Handy-Info-123.de könnten Sie auch interessieren: |
Mobilcom-Debitel-Hamburg-Harburg-2016-160 ...
 | Nokia-3410-160615-DSC_6396.jpg
 | Samsung-Galaxy-J1-160615-DSC_6372.jpg
 | | |
|
| Diese News bei Handy-Info-123.de könnten Sie auch interessieren: |
 BWL-Wissen bringt KMU auf Erfolgskurs (PR-Gateway, 20.08.2019)
Fernstudiengänge beim Betriebswirtschaftlichen Institut & Seminar Basel vermitteln praxisnah die wesentlichen Kenntnisse in Betriebswirtschaftslehre/Intensivstudiengänge starten am 15. Oktober 2019
BASEL - Kenntnisse der Betriebswirtschaftslehre können in der beruflichen Tätigkeit unmittelbar angewandt werden und zum nachhaltigen Erfolg eines mittelständischen Unternehmens beitragen. Fundiertes BWL-Wissen vermitteln die Fernstudiengänge am Betriebswirtschaftlichen Institut & Seminar Basel ...
Kunst statt Smartphone: Nachwuchs entdeckt bildende Künste (PR-Gateway, 27.09.2017)
Mehr Bewerbungen für den "Phönix 2018" als je zuvor
TUTZING - Überrascht zeigen sich derzeit die Initiatoren und die Jury des am höchsten dotierten Nachwuchskunstpreises "Phönix". Schon kurz nach dem Start der Bewerbungsfrist um diesen begehrten, internationalen Preis stellen die Organisatoren fest: Es bewerben sich deutlich mehr Künstler als je zuvor.
"Wir erwarten in diesem Jahr einen Rekordeingang von mehr als 500 Bewerbern", sagt Phönix-Initiator Richard von Rheinbaben, "das ...
Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110 (softScheck, 14.02.2017)
Die Angriffe von Internet of Things (IoT)-Geräten auf Router der deutschen Telekom und den DNS Betreiber Dyn haben erneut die völlige Unsicherheit dieser Geräte verdeutlicht. Sie wurden ausgelöst durch Malware wie Mirai, die Internet-basierte Webcams, Babyphones etc. kontrolliert.
In beiden Fällen waren die infizierten Geräte unzureichend zugriffsgeschützt und wurden schlussendlich als Angriffswerkzeuge ausgenutzt. Der Einsatz fest-programmierter (nicht auswechselbarer) Standard-P ...
IM Josef Pribyl (Prag) setzt Konkurrenz zum achten Mal matt (PR-Gateway, 19.12.2016)
19. Senioren-Schach-Open Bad Griesbach: Quartett punktgleich an der Spitze mit 5,0 Punkten/69-jähriger Schach-"Professor" gewinnt dank besserer Feinwertung vor Werner Kugelmann (TSV Wertingen) und Petr Benes (Prag)/30 Denksportler am Start
Bad Griesbach - Hauchdünne Entscheidung am Schachbrett: Der tschechische Internationale Meister Josef Pribyl (Prag/SC Bamberg) hat das 19. Senioren-Schach-Open Bad Griesbach ...
Mit Recht zur neuen Website. (PR-Gateway, 05.12.2016)
ipanema2c realisiert responsive Internetpräsenz für FRP-Rechtsanwälte.
Die Rechtsanwälte Fischer Roloff und Partner, haben ihren Online-Auftritt von der Wuppertaler Werbeagentur ipanema2c überarbeiten lassen. Die Kanzlei stellt ihre Fachanwaltskompetenz jetzt verstärkt in den Fokus. "Den Leitsatz "Mit Recht an Ihrer Seite" galt es dabei auf eine neue Ebene zu heben,", erklärt Olaf Bruno Pahl, Geschäftsführer Strategie & Beratung bei ipanema2c. Deshalb wurde eine intuitive Benutzerführung ...
FRP Rechtsanwälte Wuppertal mit neuer Internetpräsenz. (PR-Gateway, 05.12.2016)
Mit Recht zu mehr serviceorientiertem Content und responsive Design.
Die Rechtsanwälte FRP, Fischer Roloff und Partner, haben ihren Online-Auftritt überarbeiten lassen. Die Sozietät stellt jetzt ihre Fachanwaltskompetenz und die Nähe zu den Mandanten noch stärker in den Vordergrund. "Der Leitsatz "Mit Recht an Ihrer Seite" zu stehen ist für jeden von uns Anspruch und Ansporn zugleich,", erklären Dr. Werner Schniewind und Dr. Rainer Maus. Dementsprechend wurde eine intuitive Benutzerführun ...
Taiwans ambitionierte Umweltziele und die die UN-Klimakonferenz 2015 (Freie-PM.de, 30.11.2015)
Taiwan setzt Schritt für Schritt seine ambitionierten Umweltziele um. Mit Sicht auf die UN-Klimakonferenz 2015 in Paris ist dies eine ökologische und Taiwans ökologische und politische Botschaft.
Der Inselstaat Taiwan setzt Schritt für Schritt seine ambitionierten Umweltziele um. Mit Sicht auf die UN-Klimakonferenz 2015 - COP 21 - in Paris ist dies nicht nur eine ökologische, sondern auch eine politische ...
induagstra: Bakterien und Viren im Büro - So schützen Sie sich (Freie-PM.de, 30.10.2015)
Alle Jahre wieder - Der Herbst ist nicht nur die goldene Jahreszeit, sondern steht ebenso für die Erkältungs- und Grippezeit. Hundertprozentigen Schutz gibt es nicht, jedoch vorbeugende Maßnahmen, welche das Erkrankungsrisiko verringern. Als spezialisierter Hygienegroßhändler kennt indugastra die Risiken, die im Alltag lauern und rät daher besonders während der Herbstmonate zur konsequenten Handhygiene.
Vermutlich kennt es jeder - Die Arbeitskollegin hustet, der Nachbar niest. Durch das ...
Wuppertaler Traditionsunternehmen Dörner wird zur Marke. (Freie-PM.de, 28.07.2015)
Markenagentur ipanema2c realisiert neues CD und Webauftritt.
Die Gebrüder Dörner GmbH existiert bereits seit 1920. Als klassisches Unternehmen für Schrott- und Metallgroßhandel, liegt die Kernkompetenz bis heute in der Erfassung, der Aufbereitung und der Verwertung von Metall- und Sonderschrott. Gerade in den vergangenen 15 Jahren entwickelte sich daraus ein anspruchsvoller, moderner Entsorgungsfachbetrieb, der seinen namhaften Kunden auch umfangreiche Beratungs- und Speditionsleistungen ...
Elektrische Infrarotstrahlung zum Heizen - eine vorteilhafte Idee (Freie-PM.de, 22.04.2015)
Erfurt den 22.04.15 - Jeder kennt sie: Infrarotlampen - große rote Lampen, die nicht nur rotes Licht ausstrahlen, sondern dabei auch wunderbar wärmen. Vor allem bei Erkältungen oder bei Rückenschmerzen können diese Lampen wirklich gut tun. Was die wenigsten wissen, ist, dass ihre Wirkungsweise auf infraroter Strahlung basiert. Diese hat enorme Vorteile, nicht nur, wenn es ums Heizen geht.
Lampen, Strahler, Röhren - Infrarot-Heizstrahler gibt es in vielen unterschiedlichen Ausführungen. Wa ...
| Werbung bei Handy-Info-123.de: |
| Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110 |
|
|
Video Tipp @ Handy-Info-123.de
|
|
|
Online Werbung
|
|
|
Verwandte Links
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
|
