Google-Mitarbeiter David Tomaschik ist eher zufällig auf eine Sicherheitslücke gestoßen, die ihm das willkürliche Öffnen und Schließen elektronischer Schlösser erlaubte. Er konnte damit das Sicherheitssystem des Herstellers Software House umgehen, das die Google-Zentrale vor unbefugten Eindringlingen schützen sollte.
Dem Sicherheitsingenieur fielen nicht randomisierte verschlüsselte Nachrichten auf, die die Software-House-Geräte iStar Ultra und IP-ACM über das Firmennetzwerk schickten. Bei näherer Betrachtung entdeckte er, dass die Geräte einen fest programmierten Kodierungsschlüssel nutzen. Das erlaubte ihm, den Schlüssel zu replizieren und das Sicherheitssystem zu knacken, indem er präparierte Nachrichten über das Netzwerk schickte.
Das hatte zur Folge, dass selbst legitime Besucher oder Google-Mitarbeiter mit RFID-Schlüsselkarten vor verschlossenen Türen standen, wenn Tomaschik das so wollte. Umgekehrt konnte er für die Öffnung von Türen sorgen, die eigentlich geschlossen bleiben sollten.
Über seine Erfahrungen mit diesem Sicherheitsproblem berichtete er im letzten Monat im IoT Village der Konferenz DEF CON, das der mangelnden Sicherheit handelsüblicher IoT-Geräte gilt. Die als CVE-2017-17704 erfasste Schwachstelle könnte einem Angreifer mit Zugang zum Netzwerk erlauben, Türen ohne jeden Log-Eintrag zu öffnen. Google selbst hat Vorkehrungen dagegen getroffen mit einem segmentierten Netzwerk.
„Wir haben das Problem zusammen mit unseren Kunden addressiert“, erklärte gegenüber Forbes ein Sprecher von Johnson Controls, der Muttergesellschaft von Software House. Mit iStar v2 soll TLS-Verschlüsselung für mehr Sicherheit sorgen, setzt allerdings einen Austausch von Hardware im Sicherheitssystem von Kunden voraus.
Googles Sicherheitsexperte David Tomaschik weist darauf hin, dass die installierten Software-House-Systeme nicht über genug Speicher für das Aufspielen neuer Firmware verfügen. Er geht davon aus, dass die fehlerhafte Technik innerhalb wie außerhalb von Google breit eingesetzt wird, da nur wenige Unternehmen Produkte dieser Kategorie anbieten. Damit könnten nach wie vor viele Unternehmen auf hackbare elektronische Schlösser vertrauen.
[mit Material von Charlie Osborne, ZDNet.com]
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
