IoT Inspector – eine kurze Geschichte: Sicherheit für das Internet der Dinge seit 2015

Seit ihrer Entwicklung im Jahr 2015 hat die Firmware Analyse Plattform IoT Inspector zehntausende Firmware Images auf Schwachstellen und Complianceverletzungen untersucht. Dabei wurden nicht nur unzählige Konfigurationsschwächen und bekannte Sicherheitslücken entdeckt, sondern auch viele bis dato noch völlig unbekannte Schwachstellen identifiziert. 

Wachsende Sicherheitsrisiken dank zunehmender Konnektivität 

Mehr als 25 Milliarden Geräte sind Schätzungen zufolge bereits mit dem Internet verbunden – Tendenz steigend. Mit zunehmender Konnektivität wächst jedoch auch das Sicherheitsrisiko: Laut einer aktuellen Studie des Telekommunikationsherstellers Nokia machten IoT Geräte 2020 bereits ein Drittel aller von Sicherheitsschwachstellen betroffenen Geräte aus. Zum Vergleich: 2019 waren es erst 16 Prozent 

Wer beim Internet der Dinge nur an Smart Homes oder persönliche Gadgets wie Hobbydrohnen oder Fitnesstracker denkt, irrt: In mehr als zwei Drittel aller Unternehmen übersteigt die Anzahl der IoT Geräte inzwischen die Anzahl der traditionellen Endpoints wie etwa Notebooks, Server oder Desktopsysteme. Fast ebenso viele Unternehmen (67 Prozent) gaben in einer Umfrage an, bereits Sicherheitszwischenfälle in Verbindung mit ihreIoT Komponenten erlebt zu haben.  

Automatisierte Analysetools für effizientere Security Checks 

Diese Zahlen sind erschreckend, wenn auch wenig überraschend: Die große Mehrheit von IoT Devices operiert unter fragwürdigen Sicherheitsstandards. So sind “57 Prozent der IoT-Geräte (…) anfällig für Angriffe mit mittleren oder hohen Schäden als Folge, und 41 Prozent der Angriffe nutzen Schwachstellen von Geräten aus.”  

SEC Consult hat die rasant wachsende Problematik unsicherer IoT Geräte früh erkannt, und die Erfolgsgeschichte von IoT Inspector bereits 2015 ins Rollen gebracht: Mit steigender Nachfrage nach Produkttests von IoT bzw. Embedded Devices (u.a. aufgrund von strengeren regulatorischen Anforderungen) erkannten die Security Berater schon damals den Bedarf an einer automatisierten Lösung zur Unterstützung entsprechender Sicherheitschecks. Der Grundstein für IoT Inspector war gelegt 

Copy Of Ads 480 120 (1)

Recycelte Sicherheitsschlüssel und schwarze Witwen 

Noch im gleichen Jahr erfolgte das erste, großangelegte Forschungsprojekt: Der Security Researcher Stefan Viehböck entwickelte im Projekt „Large Scale Firmware Analysis“ eine Analysesoftware, mit der er die Firmware Images von mehr als 4.000 verschiedenen Produkten von über siebzig Herstellern untersuchteEines der Ergebnisse: House of Keys. 580 Security Keys wurden wiederverwendet und in einer Vielzahl von Geräten gefunden – was deren Verschlüsselung somit obsolet macht und zahlreiche Geräte einem erhöhten Sicherheitsrisiko aussetzt.  

Erstmalig unter eigenem Namen kam IoT Inspector 2016 zum Einsatz, als ein gravierendes Backdoor in gleich mehreren Geräten des amerikanischen Konferenzraumausstatters AMX – dessen Produkte damals u.a. im Weißen Haus verwendet wurden – aufgedeckt werden konnte: Die Geräte waren mit geheimen Zugangsdaten (Deckname: Black Widowversehen, mit denen sich der Hersteller (und vielleicht auch andere?) potentiell leicht Zugriff auf die Geräte verschaffen und seine Kunden ausspionieren kannDieses Backdoor wurde bei einer manuellen Analyse entdeckt und anschließend in die Datenbank von IoT Inspector aufgenommen. Spannend und erwähnenswert ist auch, dass der Hersteller im Zuge eines Security Updates versichert hat, das Backdoor entfernt zu haben. Eine erneute Analyse von IoT Inspector zeigte jedoch, dass das Backdoor nicht entfernt, sondern nur umbenannt wurde…   

Im gleichen Jahr konnte ein weiterer großer Erfolg verzeichnet werden: Viele Unternehmen nutzen Kameras, um ihre Räumlichkeiten zu überwachen und sich vor Eindringlingen zu schützen. Dabei sind es paradoxerweise teilweise die Kameras selbst, die nicht ausreichend vor Angriffen von außen gesichert sind. So konnte in der IPELA Engine IP Serie von Sony ein Backdoor entdeckt werden, welches es potentiellen Angreifern ermöglichte, willkürlichen Code auf die betroffenen Geräte zu spielen. Dadurch hätten sich Angreifer Zugriff zum betroffenen Unternehmensnetzwerk verschaffen, die Kameras ausschalten bzw. manipulieren, sie an ein Botnet anschließen, oder einfach den Eigentümer ausspionieren können. An diesem Beispiel wird auch das große Potential von unentdeckten Sicherheitslücken ersichtlich: Viele Firmware Komponenten werden in verschiedenen Geräten eingesetzt. Im Falle Sony konnten durch IoT Inspector automatisiert mehr als 80 weitere Modelle identifiziert werden, die von dieser kritischen Schwachstelle betroffen waren (die inzwischen glücklicherweise behoben wurde). 

Eine Schwachstelle von noch größerem Ausmaß wurde 2018 im Zuge von Research rund um die automatisierte Erkennung von Management Protokollen und unterstützen Cloud Backends in IoT Firmware beim chinesischen OEM Hersteller Xiongmai entdecktDessen White Label Komponenten kommen in Produkten rund um den Globus zum Einsatz. Dementsprechend waren über 9 Millionen Kameras mit einem standardmäßig aktivierten Fernüberwachungsfeature (“XMEye P2P cloud”) ausgestattet, das von kritischen Sicherheitslücken betroffen war. Selbstverständlich können seitdem neben dutzenden anderen Management Protokollen auch verwundbare Anbindungen an die XMEye P2P Cloud automatisiert durch IoT Inspector erkannt werden. 

IoT Inspector im Einsatz – eine Übersicht 

Auf alle Findings im Detail einzugehen würde hier den Rahmen sprengen, doch so viel sei gesagt: Das Research Team von SEC Consult ist stets sehr ambitioniert in seinem Kampf für mehr Cyber Security. 

IoT Inspector Advisory Timeline

Um die Analysekapazitäten von IoT Inspector laufend weiterzuentwickeln arbeiten wir mit etablierten Security Experten wie Red Alert Labs, QGroup, TÜV Rheinland, TÜV Hessen und VDE-Cert zusammen. Unsere Analyseplattform unterstützt die Sicherheitsforschung unserer Research Partner, und Erkenntnisse aus deren manuellen Sicherheitsanalysen wandern wiederum in die Schwachstellenmodule von IoT Inspector ein. Wenn auch Sie an einer Research Partnerschaft interessiert sind, freuen wir uns auf Ihre Kontaktaufnahme 

#makeIoTsecure – IoT Sicherheit auch für Ihr Unternehmen  

Unsere Mission ist es, das Internet der Dinge sicherer zu machen. Deshalb haben wir IoT Inspector entwickelt – die führende europäische Lösung für automatische Firmware Security Analysen und Compliance Checks. Um unsere Technologie einer möglichst breiten Zielgruppe zugänglich zu machen, erfolgte im Juni 2020 die vollständige Loslösung von der SEC Consult Gruppe (Anm.: SEC Consult wurde 2020 von Atos akquiriert) 

IoT Inspector ist seitdem ein eigenständiges Unternehmen mit Sitz in Bad Homburg bei Frankfurt am Main. Im September 2020 folgte eine erste Finanzierungsrunde durch die deutsche Venture Capital Gesellschaft eCAPITAL. Ein Team hochmotivierter Security Experten aus sechs Ländern ist damit beschäftigt, die Analysekapazitäten der Plattform fortlaufend auszubauen und zu verbessern.  

IoT Inspector – so einfach geht’s

  • Hochladen der Firmware auf die IoT Inspector Web Plattform 
  • Automatische Überprüfung der IoT Firmware auf Sicherheitslücken und Complianceverstöße  
  • Nach kurzer Zeit erhalten Sie übersichtliche Reports und detaillierte Analysen über alle Schwachstellen und Compliance-Verstöße 

Egal ob Sie selbst IoT Produkte herstellen, diese vertreiben (z.B. als Telekommunikationsdienstleister), ob Sie Sicherheitsüberprüfungen für Ihre Kunden durchführen, Geräte zertifizieren, oder ob diese bei Ihnen im Unternehmen zum Einsatz kommen: Nehmen Sie die Sicherheit Ihrer IoT Geräte nicht auf die leichte Schulter, und fordern Sie noch heute einen kostenlosen und unverbindlichen Demo Account an. 

Unser Advisory Archiv

2015
2016
2017
2018
2019
2020