Wenn Millionen von Servern, Routern, Switchern und Personalcomputern für einzelne Hacker offen sind, wie viel mehr können Regierungen oder Geheimdienste missbraucht werden? ⁃ TN Editor
Lucas Lundgren saß an seinem Schreibtisch und beobachtete, wie sich die Türen der Gefängniszellen Hunderte Meilen von ihm entfernt öffneten und schlossen.
Er konnte die verschiedenen Befehle im unverschlüsselten Klartext über seinen Bildschirm schweben sehen. „Ich könnte sogar Befehle erteilen wie ‚Alle Zellenblöcke öffnen‘“, sagte er letzte Woche in einem Telefonat. Ohne dort zu sein, konnte er nicht sicher wissen, ob seine Handlungen Konsequenzen für die reale Welt gehabt hätten.
„Ich würde es wahrscheinlich erst erfahren, wenn ich am nächsten Tag in der Zeitung darüber lese“, sagte Lundgren, ein leitender Sicherheitsberater bei IOActive, vor seinem Black-Hat-Vortrag letzte Woche in Las Vegas.
Das liegt daran, dass diese Zellentüren durch ein wenig bekanntes, aber beliebtes Open-Source-Messaging-Protokoll gesteuert werden bekannt als MQTTHiermit können Sensoren und intelligente Geräte mit geringem Stromverbrauch und Internetverbindung (IoT) und intelligenten Geräten mit geringer Bandbreite mit einem zentralen Server kommunizieren. So können Gefängniswärter die Schlösser einer Zellentür fernsteuern. Das Protokoll wird überall verwendet - von Hobbyisten zu Hause, aber auch in industriellen Systemen wie Messgeräten und Gerätesensoren, elektronischen Werbetafeln und sogar medizinischen Geräten.
Aber allzu oft sind die Server, die Geräte abhören und Befehle senden, nicht durch einen Benutzernamen oder ein Passwort geschützt, sodass laut Lundgrens Port-Scans jeder mit einer Internetverbindung Einblick in einen der 87,000 ungeschützten Server haben kann.
„Es ist eine beängstigende Situation“, sagte er. „Wir können die Daten nicht nur lesen – das ist schon schlimm genug –, sondern auch in die Daten schreiben.“
Lundgren habe Herzmonitore und Insulinpumpen gesehen, die die Daten über das Protokoll ständig aktualisieren, sodass ein Arzt sie aus der Ferne auf einer Webseite lesen und Änderungen vornehmen könne, sagte er. „Wenn ich böswillig sein wollte, könnte ich wahrscheinlich das Insulin oder so etwas ändern und sehen, was passiert“, sagte er.
Bei seinen Scans fand er Server auf der ganzen Welt, auf denen alles läuft, von Hausautomations- und Alarmsystemen bis hin zu Kernkraftwerken, einem Teilchenbeschleuniger und sogar einer Ölpipeline.
