Wenn Millionen von Servern, Routern, Switchern und Personalcomputern für einzelne Hacker offen sind, wie viel mehr können Regierungen oder Geheimdienste missbraucht werden? ⁃ TN Editor
Lucas Lundgren saß an seinem Schreibtisch und beobachtete, wie sich die Türen der Gefängniszelle Hunderte von Meilen von ihm entfernt öffneten und schlossen.
Er konnte die verschiedenen Befehle in unverschlüsseltem Klartext über seinen Bildschirm schweben sehen. "Ich könnte sogar Befehle wie" Alle Zellenblöcke offen "ausgeben", sagte er in einem Telefonanruf letzte Woche. Ohne dort zu sein, konnte er nicht sicher wissen, ob seine Handlungen reale Konsequenzen gehabt hätten.
"Ich würde es wahrscheinlich erst am nächsten Tag in der Zeitung lesen", sagte Lundgren, ein leitender Sicherheitsberater bei IOActive, vor seinem Black Hat-Vortrag in Las Vegas letzte Woche.
Dies liegt daran, dass diese Zellentüren von einem wenig bekannten, aber beliebten Open-Source-Messaging-Protokoll gesteuert werden bekannt als MQTTHiermit können Sensoren und intelligente Geräte mit geringem Stromverbrauch und Internetverbindung (IoT) und intelligenten Geräten mit geringer Bandbreite mit einem zentralen Server kommunizieren. So können Gefängniswärter die Schlösser einer Zellentür fernsteuern. Das Protokoll wird überall verwendet - von Hobbyisten zu Hause, aber auch in industriellen Systemen wie Messgeräten und Gerätesensoren, elektronischen Werbetafeln und sogar medizinischen Geräten.
Aber allzu oft sind die Server, die Geräte abhören und Befehle senden, nicht mit einem Benutzernamen oder Passwort geschützt, sodass jeder mit einer Internetverbindung laut Lundgrens Port-Scans in einen der 87,000 ungeschützten Server schauen kann.
"Es ist eine beängstigende Situation", sagte er. "Wir können nicht nur die Daten lesen - das ist schon schlimm genug - sondern auch in die Daten schreiben."
Lundgren hat Herzmonitore und Insulinpumpen gesehen, die ständig Daten über das Protokoll aktualisieren, damit ein Arzt sie auf einer Webseite aus der Ferne lesen und Änderungen vornehmen kann, sagte er. "Wenn ich bösartig sein wollte, könnte ich wahrscheinlich das Insulin oder etwas anderes ändern und sehen, was passiert", sagte er.
Während seiner Scans fand er Server aus der ganzen Welt, die alles von Hausautomations- und Alarmsystemen über Kernkraftwerke bis hin zu Teilchenbeschleunigern und sogar Ölpipelines betrieben.
wpDiscuz