Plusminus konstruiert Sicherheitslücken
Smarthome-Sicherheit: Unsachliche ARD-Reportage
Die ARD-Sendung Plusminus hat sich in ihrer letzten Folge unter dem Titel „Smart Home: So leicht haben es Einbrecher“ mit dem Thema Smarthome-Sicherheit auseinander gesetzt. Unterton: Die Systeme öffnen Eindringlingen Tür und Tor. Ein wenig differenzierter hätten wir uns die Analyse allerdings schon gewünscht.
Mit Honorar-Hackern und dramatischem Soundtrack ausgeschmückt vermittelt der Beitrag den Eindruck, dass Smarthome-Technik grundsätzlich vom Teufel sei. Einbrecher öffnen aus der Ferne Türen und Internet-Krimininelle hacken installierte Webcams. Schuld sei unter anderem die Politik, die sich gegen verschärfte Sicherheitsvorkehrungen weigere.
Letzteres ist sicher eine Diskussion wert, allerdings machen es sich die Plusminus-Redakteure mit ihrem Beitrag auf Boulevard-Niveau sehr einfach. Aufklärung und praktische Sicherheitstipps hätten sich vor der Kamera vielleicht nicht so gut gemacht wie die gezeigten Pseudo-Hacker, würden dafür aber aktiven wie auch potenziellen Nutzern dieser Techniken helfen.
Soweit für uns ersichtlich, wurde für die Hacks im Videobeitrag der Umstand genutzt, dass ein Standard-Gerätekennwort nicht geändert oder der Zugang vom Anwender aktiv ohne Kennwortschutz freigegeben wurde. Glücklicherweise vergeben die meisten Hersteller von Routern und sonstigen Geräten mit Internet-Anbindung heutzutage per Zufall generierte Kennwörter oder zwingen den Endnutzer, bei der Erstinstallation ein eigenes Kennwort zu vergeben. Auf diese Weise werden Einfallstore wie im Film gezeigt geschlossen. Hersteller, die für extern erreichbare Geräte tatsächlich noch standardisierte Anmeldedaten vergeben gehören dagegen sehr wohl namentlich genannt, hier wäre in der Tat auch politischer Druck wünschenswert.
Tipp für euch: Falls ihr schon länger installierte Router oder sonstige mit dem Internet verbundene Geräte (z.B Webcams usw.) im Einsatz habt kontrolliert mal, ob hier eventuell ein Standard-Kennwort vergeben und nicht geändert wurde. Zudem solltet ihr bei diesen Geräten regelmäßig prüfen, ob Firmware-Updates bereitstehen, die neue Funktionen bringen und oft auch die Sicherheit der Geräte verbessern.
Weiter ist zu kritisieren, dass die ARD-Redakteure alle Systeme und Anwendungen über einen Kamm scheren. Geräte mit Internet-Anbindung können sehr wohl auch für zusätzliche Sicherheit sorgen, beispielsweise in dem ein Türkontakt eine geöffnete Tür meldet oder eine Kamera bzw. Bewegungssensoren Aktivitäten im Raum erfassen.
Die Aufzeichnung der ARD-Sendung könnt ihr hier in der ARD-Mediathek nachsehen.
Oh Mei goodness,
jemand wurde angepingt!!!111!!!
Make my day! Dachte ich mir auch!
Gleich, erst essen.
Das ist quasi eine ddos Attacke:P
„…one ping only, please.“
;-)
https://youtu.be/jr0JaXfKj68
Aber zum Thema standardisierte Anmeldedaten sag ich mal nur eins:
alpine
nur jailbreak
Sicher?
Ja!
Und wer das nicht sofort, mittels SSH, ändert, sollte den JB grundsätzlich vermeiden.
Das Passwort war von Apple vorgegeben. Man konnte das aber ohne Jailbreak nicht anwenden. Also liegt complaciente nicht ganz falsch.
Addendum: alleine Jailbreak reichte auch nicht (sorry) – nur wer Jailbreak durchführte und den OpenSSH-Server aktivierte oder installierte
Hab ich das richtig gesehen, dass der „Hacker“ erst Zugang zum WLAN benötigt und auf das Schloss zugreifen zu können?
Bei solchen Beiträgen hab ich irgendwie ein ungutes Gefühl… mit it kenn ich mich eigentlich gut aus… und dann bringen die so ein stuss… was ist dann mit „komplizierten“ politischen Dingen… ist das genau so stuss?
Genau den Gedanken habe ich bei Themen, bei denen ich mich auskenne, auch immer. Um Deine Frage zu beantworten: vermutlich ja.
Na, es gibt eben neben besseren auch mal schlechter gemachte Beiträge, fachlich mehr oder weniger involvierte Leute, wie in jedem anderen Betrieb auch. Und nicht immer gibt es richtig oder falsch, sondern widerstreitende Meinungen.
Kein Weltuntergang, bleibt doch jedem der Blick auf weitere, ggf. kritischere Artikel (wie hier) sowie der eigene kritische Geist. ;)
Da sieht man eher, dass gute Qualität bei Recherchen weniger gefragt ist, und ein differenziertes Bild kaum noch gefragt ist. Es verwundert mich immer mehr, was so in der Medienwelt los ist. Sehr wenige scheinen Wert auf gut recherchierte Beiträge zu legen. Es werden einfach keine Gegenfragen mehr gestellt, oder einfach keine zugelassen.
muss er nicht, wenn die Ports der Homematic Zentrale freigegeben sind und das ssh Standrardpasswort nicht geändert wurde, dann kann man von überall über das Web zugreifen.
Woraus schließt du das und wie soll das gehen wenn er 100km weg ist?
Ja, ist genau so Stuss. Nicht um sonst ist das Wort des Jahres 2016 „Postfaktisch“
Wer ein SmartHome-System installiert sollte sich entweder auskennen oder jemanden fragen, der sich damit auskennt. Wenn ich mir eine ganz tolle Haustür kaufe und dann vergesse das Schloss einzubauen dann bringt mir das zwar den Komfort der Wärme im Haus aber kaum Sicherheit.
Ich benutze das gezeigte Homematic-System und mir hat noch niemand unberechtigt das Licht ein- oder ausgeschaltet, ich habe aber auch keine Standard-Kennwörter mehr… und meine Haustür schließe ich noch mit dem Schlüssel auf und ab.
Exakt. Dort wurde für den Beitrag alle Tore aufgesperrt. Nirgendwo ist die Standard-Konfi derart öffentlich zugänglich. Das muss schon aktiv vom Nutzer so eingestellt werden.
Leider sehr schlecht recherchiert und auch schlecht dargestellt.
Aber, ein ganz großes Problem sind die Hersteller, die ihre Käufer nicht richtig informieren, was genau wie abgesichert ist und natürlich die unbedarften User, die auf die tollen Werbungen der Hersteller reinfallen.
Ich schaue auch regelmäßig über die IOT Suchmaschine aus dem Film und es ist erschreckend, wie viele System offen sind. Das ist aber kein SmartHome Problem, sondern eines der User, bzw. der Hersteller.
Smarthome ist ne tolle Sache, wenn man sich auskennt.
Mal wieder eine Freude zu sehen, was mit dem Rundfunkbeitrag so alles angestellt wird.
und wir bezahlen alle dafür :(
Ich auch!
omg soviel Blödsinn hab ich ja echt schon lange nicht mehr gesehen. da kann höchstens noch eine „Gerichtsshow“ mithalten -.-
Suchmaschine auf Tablett verwendet und dann plötzlich am mac arbeiten, Ping auf die eine Adresse und dann durch Zauberhand SSH auf eine andere Adresse, das „adduser“ einfach mal per echo Befehl ausgeben lassen … das reicht mir schon das ich nach 2 Minuten den drecks Beitrag wieder aufgehört habe mir an zu sehen. Die Medien sind echt schlecht und sowas glauben die Leute….
Wahre Worte Acti! Ich musste nach dem Beitrag erst mal meine Frau beruhigen bei so viel Stuss.
Die Leute glauben noch viel mehr und werden Tag für Tag manipuliert. Das allerdings glauben sie wiederum nicht. Na ja…
Naja, was erwartet ihr?! Das Programm kann eben nur so gut sein wie die Deppen, die dafür bezahlen.
Seriöser Qualitätsjournalismus, wie in vielen anderen Bereichen auch! (Ironie aus!)
tja und dafür zahlen wir so viel geld monat für monat … um ungefragte Reportage zu betreiben … in dem saftladen gehört endlich aufgeräumt
Ach ARD hat eine unsachliche Reportage ist ja ganz was neues. Seit langen schalte ich ab wenn irgendwo im Fernsehen eine Reportage kommt über alle Dinge die mit IT zu tun haben. Seit Jahren berichten die nur Blödsinn.
Omg jemand kann aus der Ferne mein Licht ausschalten
So ist es eben, wenn man heute über Schweinefleisch und morgen über Netzwerktechnik berichtet. Journalist müsste man eben sein, da ist das Genie schon eingebaut…
Wann schaltet endlich jemand mein Licht aus??
Ich mein Tablet im Wohnzimmer liegen gelassen und keine Lust mehr auf zu stehen
Ist das nicht der normale Standard von +-? Kenne viele Beiträge die wilde Theorien und abstruse Szenarien entstehen lassen. Schade für den Journalismus sowas!
Aus meiner Sicht ist die Darstellung in der „Reportage“ auch äußerst fragwürdig.
Die dort gezeigten Angriffsszenarien sind in der Realität jedoch tatsächlich möglich – und werden täglich durchgeführt.
Jedoch muss das Gerät dafür direkt im Internet hängen – bspw. via Port-Forwarding. Port-Forwarding wird jedoch von vielen Privatpersonen und kleinen Unternehmen genutzt, um bspw. vom Smartphone Zugriff auf ihre Kameras zu erhalten.Das ganze lässt sich auf einer FRITZ!Box ganz einfach über die Oberfläche konfigurieren Internet -> Freigaben -> Portfreigaben.
In Verbindung mit einem MyFritz Konto oder DynDNS wird dann noch das Problem der dynamischen IP bei Privatanschlüssen übergangen.
Ein „Hacker“ braucht nur noch mit den am Markt üblichen Tools (z.B. nmap) die Netzsegmente (Subnetzte) scannen und schauen welche Ports von außen erreichbar sind – und welches „Smart Device“ diese(n) Port(s) nutzt. Im schlimmsten Fall sind diese dann tatsächlich ungeschützt, verwenden Standard-Passwörter oder haben keine integrierte Brute-Force Protection (kein Schutz vor beliebig vielen Anmeldeanfragen) oder sonstige bekannte Sicherheitslücken.
Solche Angriffe lassen sich mit einer Kombination aus ein paar marktüblichen Tools problemlos automatisieren.
Aus meiner Sicht sind hier vor allem die Hersteller gefragt. Diese bieten oft Anleitungen zur Konfiguration der in Deutschland handelsüblichen Router, ohne auf die Sicherheitsrisiken hinzuweisen. Zudem sind im Standard oft keine Passwörter vergeben oder es werden Standard-Passwörter verwendet. Die Hersteller sollten mindestens dazu verpflichtet werden, im Standard für jedes Gerät ein unterschiedliches Passwort zu vergeben und Sicherheitsgrundlagen wie „Brute-Force Protection“ zu implementieren. Zudem sollte für die Geräte ein Mindestzeitraum festgelegt werden, in welchem die Hersteller sicherheitsrelevante Updates bereitstellen müssen. Damit wären die unbedarften und nicht Technikaffinen Benutzer zumindest einigermaßen geschützt.
But thats just my 2 cents :)
Hallo zusammen.. ich beobachte schon seit langem, dass die Medien nicht mehr neutral und wertfrei berichten. Nicht nur auf den o.g. Artikel bezogen sondern auch und ganz allgemein. Die Medien manipulieren die Menschen mehr denn je. Kaum jemand berichtet neutral über Fakten. Es wird immer gleich Stellung und Position bezogen. Ich glaube es ist den Medien heute wichtiger einen „Reißer“ zu bringen mit großem Aufmacher und viel Tam Tam statt einfach ihrem Auftrag nachzukommen.
Beleg das bitte mal! Nur ein Beispiel!
wie bereits vor einem halben Jahr mit Twitter-Accounts wird es so sein, dass das PW immer wieder die Schwachstelle ist. „qwertz“ oder „12345678“ sind halt keine Passwörter.
Ich arbeite im Mobilfunkbereich und sehe täglich, wie schlampig Kunden mit Pincodes und Passwörtern umgehen. Entweder haben sie sie gar nicht oder auf Anfrage, ob das PW bekannt sei, antworten sie mit 3-4 fremden Kunden im Laden stehend „Dangermaus86“ anstatt die Frage konkret mit „Ja“ zu beantworten.
Die Leute sind nicht sensibilisiert. Aber wenn jemand bei Kartenzahlung seine Bankkarte im Leser stecken lässt und ich scherzhaft freundlich nach der Pin frage, da ansonsten die Karte keinen Nutzen für mich hätte, werden sie hellhörig… Echt interessant.
Sicher. Ich erinnere mich noch gut an den „Bericht“ über die Verteufelung von Computerspielen. Der war genauso gut recherchiert und Boulevard- mäßig aufgesetzt.
Hier werden doch nur noch Berichte erzeugt um Umsatz zu generieren. Viel produktiver wäre ein Bericht der sensibilisiert, bildet und so ein Sicherheitsbewusstsein erzeugt.
Boulevard – Bericherstattung nimmt doch keiner ernst. Das hat doch eher einen Unterhaltungswert für Minderbemittelte.
Aber was soll man machen wenn selbst Banken die CCC – Demonstrationen und Vorträge seit Jahren nicht ernst nehmen.
an eurer stelle würde ich GANZ DRINGEND mal ein wenig über shodan und censys lesen und über das internet der dinge