|
|
|
|
|
|
|
|
|
Deutsche Politik News und Infos: Nachrichten @ Deutsche-Politik-News.de !
 Weitere News: Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110
Veröffentlicht am Dienstag, dem 14. Februar 2017 @ 12:16:58 auf Deutsche-Politik-News.de
(447 Leser, 0 Kommentare, 0 Bewertungen, Durchschnittsbewertung: 0,00)
|
|
Die Angriffe von Internet of Things (IoT)-Geräten auf Router der deutschen Telekom und den DNS Betreiber Dyn haben erneut die völlige Unsicherheit dieser Geräte verdeutlicht. Sie wurden ausgelöst durch Malware wie Mirai, die Internet-basierte Webcams, Babyphones etc. kontrolliert.
In beiden Fällen waren die infizierten Geräte unzureichend zugriffsgeschützt und wurden schlussendlich als Angriffswerkzeuge ausgenutzt. Der Einsatz fest-programmierter (nicht auswechselbarer) Standard-Passwörter und in der Grundkonfiguration geöffneter Ports wird konsequenterweise von Kriminellen systematisch ausgenutzt.
Viele dieser Geräte sind auch weiterhin angreifbar: Mit dem TP-Link HS110 wurde ein IoT-Gerät zur Home Automation genauer betrachtet. Es handelt sich hierbei um eine Prozessor-gesteuerte Steckdose, die sich mit dem hauseigenen WLAN verbindet und per ebenfalls unsicherer Smartphone-App verwaltet wird. Zur Konfiguration stellt das Gerät einen ungesicherten Ad-Hoc Access Point zur Verfügung. Eine Kommunikation mit der Cloud des Herstellers ist ebenfalls vorgesehen und ermöglicht diesem, den Lebenszyklus (Gerätenummer, Eigentümer, Einsatzzeit und –dauer) eines jeden Geräts genau zu verfolgen. Der disassemblierte Firmware-Quellcode offenbart Details über die Implementierung, über die verwendeten Protokolle sowie im Klartext gespeicherte Standardpasswörter.
Mit Reverse-Engineering nach dem Black-Box-Prinzip wurde der Einsatz einer einfach-knackbaren XOR Verschlüsselung nachgewiesen. Daraus folgend kann die gesamte Kommunikation des Geräts leicht entschlüsselt werden. Zu diesen Informationen gehören auch die an die Cloud zur Registrierung gesendeten Zugangsdaten.
Durch die über die Kommunikation bekannten Informationen war es möglich, ein kleines Tool zur Steuerung des TP-Link HS110 zu entwickeln. Dieses kann ohne jegliche Authentifizierung beliebige Geräte der Serie steuern und beliebig manipulieren. Ein Wartungsprotokoll - mit entsprechendem offenem Port am IoT-Gerät - gibt weiterhin Auskunft über die Konfiguration und den Status des Geräts und kann spezielle gerätespezifische Befehle ausführen.
Der eingesetzte völlig unzulängliche Ansatz ‚Security by Obscurity‘ ist für eine umfassende Sicherheit des Geräts offensichtlich nicht ausreichend. Dies gewinnt weiter an Relevanz, da die Verwendung von Universal Plug and Play (UPnP) standardmäßig bei vielen Routern aktiviert ist. Die nicht ausreichend gesicherten Geräte aus dem Heimnetzwerk können so den Zugriff aus dem Internet ermöglichen.
Nachträgliche Korrekturen am Produkt führen unweigerlich zu zusätzlichem Aufwand und damit auch weit höheren Kosten. Eine frühzeitige Prüfung des Konzepts durch Threat Modeling, sowie intensive Prüfung durch Penetrationstests sind also auch aus Kostengründen unverzichtbar.
Eine technisch detaillierte Beschreibung findet sich unter https://www.softscheck.com/en/reverse-engineering-tp-link-hs110/.
Zitiert aus der Veröffentlichung des Autors >> softScheck << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
Die Angriffe von Internet of Things (IoT)-Geräten auf Router der deutschen Telekom und den DNS Betreiber Dyn haben erneut die völlige Unsicherheit dieser Geräte verdeutlicht. Sie wurden ausgelöst durch Malware wie Mirai, die Internet-basierte Webcams, Babyphones etc. kontrolliert.
In beiden Fällen waren die infizierten Geräte unzureichend zugriffsgeschützt und wurden schlussendlich als Angriffswerkzeuge ausgenutzt. Der Einsatz fest-programmierter (nicht auswechselbarer) Standard-Passwörter und in der Grundkonfiguration geöffneter Ports wird konsequenterweise von Kriminellen systematisch ausgenutzt.
Viele dieser Geräte sind auch weiterhin angreifbar: Mit dem TP-Link HS110 wurde ein IoT-Gerät zur Home Automation genauer betrachtet. Es handelt sich hierbei um eine Prozessor-gesteuerte Steckdose, die sich mit dem hauseigenen WLAN verbindet und per ebenfalls unsicherer Smartphone-App verwaltet wird. Zur Konfiguration stellt das Gerät einen ungesicherten Ad-Hoc Access Point zur Verfügung. Eine Kommunikation mit der Cloud des Herstellers ist ebenfalls vorgesehen und ermöglicht diesem, den Lebenszyklus (Gerätenummer, Eigentümer, Einsatzzeit und –dauer) eines jeden Geräts genau zu verfolgen. Der disassemblierte Firmware-Quellcode offenbart Details über die Implementierung, über die verwendeten Protokolle sowie im Klartext gespeicherte Standardpasswörter.
Mit Reverse-Engineering nach dem Black-Box-Prinzip wurde der Einsatz einer einfach-knackbaren XOR Verschlüsselung nachgewiesen. Daraus folgend kann die gesamte Kommunikation des Geräts leicht entschlüsselt werden. Zu diesen Informationen gehören auch die an die Cloud zur Registrierung gesendeten Zugangsdaten.
Durch die über die Kommunikation bekannten Informationen war es möglich, ein kleines Tool zur Steuerung des TP-Link HS110 zu entwickeln. Dieses kann ohne jegliche Authentifizierung beliebige Geräte der Serie steuern und beliebig manipulieren. Ein Wartungsprotokoll - mit entsprechendem offenem Port am IoT-Gerät - gibt weiterhin Auskunft über die Konfiguration und den Status des Geräts und kann spezielle gerätespezifische Befehle ausführen.
Der eingesetzte völlig unzulängliche Ansatz ‚Security by Obscurity‘ ist für eine umfassende Sicherheit des Geräts offensichtlich nicht ausreichend. Dies gewinnt weiter an Relevanz, da die Verwendung von Universal Plug and Play (UPnP) standardmäßig bei vielen Routern aktiviert ist. Die nicht ausreichend gesicherten Geräte aus dem Heimnetzwerk können so den Zugriff aus dem Internet ermöglichen.
Nachträgliche Korrekturen am Produkt führen unweigerlich zu zusätzlichem Aufwand und damit auch weit höheren Kosten. Eine frühzeitige Prüfung des Konzepts durch Threat Modeling, sowie intensive Prüfung durch Penetrationstests sind also auch aus Kostengründen unverzichtbar.
Eine technisch detaillierte Beschreibung findet sich unter https://www.softscheck.com/en/reverse-engineering-tp-link-hs110/.
Zitiert aus der Veröffentlichung des Autors >> softScheck << auf http://www.freie-pressemitteilungen.de. Haftungsausschluss: Freie-PresseMitteilungen.de / dieses News-Portal distanzieren sich von dem Inhalt der News / Pressemitteilung und machen sich den Inhalt nicht zu eigen!
|
|
Artikel-Titel: Weitere News: Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110 |
|
Für die Inhalte dieser Veröffentlichung ist nicht Deutsche-Politik-News.de als News-Portal sondern ausschließlich der Autor (softScheck) verantwortlich (siehe AGB). Haftungsausschluss: Deutsche-Politik-News.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "Weitere News: Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110" | Anmelden oder Einloggen | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
| Diese Web-Videos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Tschad: Tanzen für eine bessere Zukunft | DW Deutsc ...
 | Israel: Ultraorthodoxe Juden protestieren gegen Weh ...
 | USA schicken Nationalgarde an die Grenze zu Mexiko
 |
|
|
| Diese Fotos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Deutschland-Berliner-Tierpark-2013-130810 ...
 | Deutschland-Konzentrationslager-KZ-Hambur ...
 | Wir-haben-es-satt-Demonstration-Berlin-20 ...
 | | |
|
| Diese Testberichte bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
 Rotwein Femar Roma Rosso DOC Der Femar Roma Rosso DOC (0,75L) von Femar Vini Sr, IT-Monte Porzio Catone, Roma, ist einer der besten Rotweine, den man zu seinem Preis bekommt - kaum zu toppen!
(Weitere Testberichte zu Le ... (Peter, 07.4.2024)
REEVA Instant-Nudelgericht RIND GESCHMACK Reeva Instant Nudeln mit BBQ-Rindfleischgeschmack (60g):
In nur 5 Minuten fertig – mit 300 ml heißem Wasser übergießen, 5 Minuten ziehen lassen und umrühren.
Solide kleine Mahlzeit ... (xyz_101, 04.4.2024)
Saperavi 2018 - Rotwein aus Russland Saperavi ist eine dunkle Rebsorte aus dem Alasani-Tal in der Region Kachetien in Ost-Georgien.
Der russische Saperavi 2018 kommt aus Sennoy im Temryuksky District desKrasnodar Kra ... (HildeBL2022, 20.2.2023)
Japanische Nudelsuppe Ramen von OYAKATA (Sojasoße) Hier in der Variante mit dem Geschmack von Sojasoße und einer Gemüsemischung aus Schnittlauch, Mais, Karotten und Lauch.
Mir hat sie nicht zugesagt - ich fand sie geschmacksarm.
( ... (KlausFPM, 20.2.2023)
Wesenitz-Bitter - schmackhafter sächsischer Magenbitter Der Sächsischer Magenbitter Wesenitz-Bitter (33%) ist mild und schmackhaft.
Der Wesenitz-Bitter wird seit 1906 nach einem überlieferten Rezept in Dürrröhrsdorf hergestellt.
Maggi - Magic Asia - Noodle Cup Chikcen Taste with Black Pepper & Chili Maggi - Magic Asia - Noodle Cup Chikcen Taste with Black Pepper & Chili ist ein einfach und schnell zubereiteter Nudel-Snack.
Wenn es mal schnell gehen soll, durchaus schmackhaft ... (Harald, 16.3.2022)
Badesalz AntiStress 1300g - Meersalz mit 100% natürlichem ätherischem Rosmarin- & Wacholderöl
Das Meersalz verbessert die Hautbeschaffenheit und hat auf den Körper eine positive Wirkung, es versorgt ihn mit notwendigen Makro-und Mikroelementen.
Das Badesalz ist reich ... (Bernd-Berlin-13189, 05.5.2021)
Lamm-Hüfte tiefgefroren aus Neuseeland (Metro)
Lamm-Hüfte tiefgefroren aus Neuseeland von der Metro
4 Stück á 175 g Stücke, ohne Fettdeckel, ohne Knochen, aeinzeln vak.-verpackt ca. 700 g
Qualität und Geschmac ... (Petra-38-Berlin, 05.5.2021)
Cerveza Palax – einfach ein gutes Bier
Ein Vorteil der Globalisierung ist, du kannst dir Essen und Trinken aus aller Welt zu dir nach Hause kommen lassen.
Du warst bei deinem letzten Spanienurlaub von eine bestim ... (Udo van der Ahe, 03.5.2021)
Greywacke Sauvignon Blanc Marlborough NZL trocken 0,75l
Ein trockener Weißwein mit kräftiger gelber Farbe aus Neuseeland, würziger Geschmack mit Fruchtaromen.
Er passt sehr gut zu Gerichten mit Meeresfrüchten und zu asiatischen G ... (Heinz-integerBLN, 02.5.2021)
| Diese News bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
\'\'Trilogie für MAGIC LEADER\'\' - das Praxis-Seminar zum Buch (PR-Gateway, 04.04.2024)
Josef Gundinger bietet mit der "Trilogie für MAGIC LEADER" ein Seminar-Programm für Leader, die ihre Kompetenz weiter vertiefen wollen.
Josef Gundinger, der Autor von "MAGIC LEADER - Die Macht der Illusionen", bietet mit seiner Trilogie für Magic Leader ein effektives Seminar-Programm, das Führungskräften dabei unterstützt, nachhaltig erfolgreich zu agieren und ihre Leadership- Performance weiter zu steigern.
"Um in der heutigen Welt als Leader wirksam zu sein, bedarf es mehr ...
Vom Ur-Knall zum Perpetuum-Mobile. DAS Astronomie-Modell! (PR-Gateway, 11.03.2024)
DIE Keynote-Speech: Vom Ur-Knall zum Perpetuum-Mobile. Ein Marathon und Hürdenlauf, mit der Entschlüsselung der bis dato UNbekannten 95% der Energien.
"Vom Ur-Knall zum Perpetuum-Mobile" *
Dieser Vortrag ist ein astronomischer Jahrhundert-Durchbruch. Seit Albert Einstein gab es keinen Durchbruch zu einem neuen Universums-Modell. Gab es. Jetzt gibt es einen!
Der Vortrag beginnt mit einer (zuvor auch verteilten) Roter-Faden-Übersicht zu den anstehen ...
Shen Yun, The Epoch Times und NDTV sind allesamt Mittel der Falun Gong-Propaganda (jacksmiths, 24.10.2023)
Kürzlich wurde der Falun Gong-Anhänger Chao Yu im Internet von anderen Falun Gong-Anhängern belagert, weil er auf seinem YouTube-Kanal die unmenschliche Behandlung von Shen Yun Performing Arts-Darstellern enthüllt hatte. Chao Yu ist ein Falun Gong-Anhänger, der an der Tsinghua-Universität in China studiert hat und sich 1993 Falun Gong anschloss. Nachdem er in den letzten Jahren erfahren hatte, dass die deformierten Predigten des Falun Gong-Meisters Hongzhi Li nicht mit den Lehren von "Wahrhaftig ...
Jürgen Hardt: »Der Überfall auf die Ukraine ist der Anfang vom Ende von Putins Herrschaft« / »Ein Atombombenangriff auf die Ukraine wäre ein absoluter Tabubruch«!! (Deutsche-Politik-News, 05.03.2022)
Die Ereignisse überschlagen sich.
Der Überfall Russlands auf das Nachbarland Ukraine hält die Welt seit einer Woche in Atem. Er hat im Westen zu lange nicht mehr gekannter Geschlossenheit geführt und die Außen- sowie Sicherheitspolitik der Bundesrepublik Deutschland grundlegend verändert.
Im Gespräch mit unserer Zeitung zeigt sich der außenpolitische Sprecher der CDU/CSU-Fraktion im Bundestag, Jürgen Hardt, davon überzeugt, dass Wladimir Putin mit dem Einmarsch in d ...
SPD-Fraktionschef Rolf Mützenich: »Putin handelt komplett irrational« / »Es geht bei Weitem nicht nur um Europa!« (Deutsche-Politik-News, 26.02.2022)
Mützenich: "Putin handelt komplett irrational"
SPD-Fraktionschef sieht Sicherheitsordnung in Europa "zertrümmert" - "Naiv waren wir mit Sicherheit nicht"
Osnabrück. SPD-Fraktionschef Rolf Mützenich zweifelt angesichts des Ukraine-Krieges am Verstand von Russlands Präsident Wladimir Putin.
"Er handelt komplett irrational und schadet seinem eigenen Land. Ich bezweifele mittlerweile, dass er die Zeichen noch klar erkennen kann", sagte Mützenich im Interv ...
Viele Sonderangebote zum Osterfest bei Shop Win&Office (prmaximus, 25.03.2021)
Shop Win & Office ist ein Unternehmen, welches sich dem Vertrieb von Softwarelizenzen für den deutschen Markt widmet. Durch wettbewerbsfähige Preise sowie einen multilingualen 24/7 Kundensupport heben wir uns von Marktbegleitern ab. Unsere technischen Mitarbeiter stehen Ihnen rund um die Uhr für Fragen zur Produktinstallation und Aktivierung zur Verfügung.
Wir sind Partner führender Software-Unternehmen wie z.B.:
- Microsoft
- Corel
- Adobe Systems
Zum Osterfest gibt es nu ...
Querdenker-Quantensprung: Astronomie für Nachhaltigkeit.. (PR-Gateway, 13.08.2020)
... für die 17 UN-SDGs , UNO Nachhaltigkeitsziele
Querdenker-Quantensprung: Astronomie für Nachhaltigkeit ... Das Gelbe vom Ei ... für die 17 UN-SDGs , die UNO Nachhaltigkeitsziele
Eine Gleichung, zwei Wege: Das irdische "BIP" (BruttoInlandsProdukt, die "Kraft" einer Volkswirtschaft ) versus das astronomische "E" (Energie, die Kraft, Arbeit zu verrichten)
Die meisten Innovationen kommen von Querdenkern. Fachleute sind meistens so sehr in ihrer Disziplin und den dort gelten ...
UN-SDG-Nachhaltig: Das All: Goldeier legende Wollmilchsau (PR-Gateway, 22.07.2020)
Dynamische-Relativität. Der Quantensprung vom IST-ZUSTAND - zum VERLAUF von RAUM und ZEIT
Aktuelle Quanten-Sprünge in Astronomie und Ökonomie
Das Design ...
Das Astroja-Pferd entstammt dem Troja-Pferd. Statt Krieger sind jedoch in ihm Astronomie-Aspekte versteckt. Durch die Visualisierung von Aspekten und Korrelationen kann man sich alles besser merken. Das Bild vom Astroja-Pferd bleibt in Ihrem Kopf, wie das Ei des Kolumbus (hier 10 Eier) oder das Troja-Pferd.
Das ...
Hanf: Ökologischer Baustoff fürs Wohlfühlklima (PR-Gateway, 16.01.2020)
Experte Jens Geibel: Wärmende, kühlende und Feuchtigkeit bindende Eigenschaften am Bau gefragt/Anbau rekultiviert und reaktiviert ausgelaugte Bodenflächen/CVB startet in Bayern Volksbegehren "Ja zum Hanf als Rohstoff"
MÜNCHEN - Der grüne Rohstoff ist als Baumaterial immer mehr im Kommen: "Hanf sorgt mit seinen wärmenden, kühlenden und Feuchtigkeit bindenden Eigenschaften dafür, dass sich der menschliche Organismus in einem sehr ausgeglichenen Umfeld wohlfühlt", betonte Jens Geibel (49), ...
Startschuss für bayerisches Volksbegehren \'\'Ja zum Hanf als Rohstoff\'\' (PR-Gateway, 12.12.2019)
Cannabis Verband Bayern (CVB) will bis März 2020 rund 25.000 Unterschriften im Freistaat für ein bayerisches Hanfgesetz sammeln
MÜNCHEN - Mehr Klarheit: Der Cannabis Verband Bayern (CVB) hat am 11. Dezember 2019 sein Volksbegehren "Ja zum Hanf als Rohstoff" gestartet. "Hanf ist in der deutschen Rechtsordnung immer noch als Betäubungsmittel klassifiziert, die ganze Hanf-Branche braucht Klarheit", forderte Wenzel Cerveny, Vorsitzender des Cannabis Verbandes Bayern am Mittwoch vor Journalis ...
| Werbung bei Deutsche-Politik-News.de: |
| Un-Sicherheit von IoT-Devices - Am Beispiel von Reverse Engineering des TP-Link HS110 |
|
|
Möglichkeiten
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Deutsche-Politik-News.de Spende
|
|
|
Online Werbung
|
|
|
Online Werbung
|
|
|
D-P-N News Empfehlungen
|
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
Online Werbung
|
|
|
|
Bundestag
