Der ChaosComputerClub hat Schwachstellen in einer Reihe von Überwachungskameras festgestellt. Der Hersteller ASUS reagiert – aber nicht mit Updates, sondern mit einem Austauschprogramm:

https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie

Die gefundenen Schwachstellen wurden kategorisiert als:

  • Hochkritisch: CVE-2018-17558, Fixe Administrator-Benutzerkennung mit Befehlsausführung
  • Kritisch: CVE-2018-16739, Lese- und Schreibzugriff und Befehlsausführung als root
  • Kritisch: CVE-2018-17879, Direkte Ausführung von Nutzereingaben
  • Kritisch: CVE-2018-17878, Code-Ausführung mittels Buffer Overflow
  • Schwerwiegend: CVE-2018-17559, Unautorisierter Zugriff auf Video-Stream

Wie und wann würden Sie als Betroffener diesen Hack bemerken?

Die Frage, wie man merkt, ob man gehackt wurde, ist nicht so einfach zu beantworten. Wenn ein guter Hacker am Werk ist, merkt man es eigentlich nicht: Protokolle, die Beweise liefern können, sind gelöscht. Schaffen es Hacker den Einbruch in ein System zunächst geheim zu halten, kann das Opfer möglichst lange ausgenutzt werden, bevor es gegen den Befall vorgeht. Für kompromittierte Systeme, deren Einbrüche erst sehr spät entdeckt wurden, gibt es zahlreiche Beispiele. Wer feststellen will, ob er gehackt wurde, muss wachsam sein und auch aktiv Maßnahmen ergreifen! Dabei helfen wir von der siplan gmbh gerne.

Für die ASUS-Gerätebesitzer bedeutet der Fehler, dass “Jeder” sich als Administrator anmelden kann und damit alle Einstellungen, Protokolle und Bilder für sich verwenden kann. Besonders tragisch ist das, wenn die Kameras im Internet erreichbar sind. Betroffen sind mehrere Reihen von Geräten mit Produktionsdatum zwischen 2010 und 2014. Die Schwachstellen hätten sich alle durch ein Softwareupdate beseitigen lassen. Es besteht aber – wie bei vielen IoT-Geräten – kein Prozess für automatische Updates. Deshalb fordert der CCC:

  1. Hersteller-Haftung für einen fahrlässigen Umgang mit Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten führen. Insbesondere im IoT-Bereich ist „fire and forget“ keine nachhaltige Geschäftsstrategie.
  2. Update-Zwang und MindesthaltbarkeitsdatumMit dem Internet verbundene Geräte sollten für einen garantierten Mindestzeitraum mit Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der IT-Security, sondern auch eine ökologische Frage.
  3. Open-Source-Alternativen: Viele IoT-Geräte könnten technisch problemlos mit moderner quelloffener Firmware sicherer betrieben werden. Das Einspielen solcher Alternativen sollte für Konsumenten zwingend möglich sein; insbesondere wenn der Hersteller das Produkt nicht mehr mit Updates versorgt.

Sicherheitsplanung kümmert sich um den Schutz Ihrer Werte und setzt voraus, dass es auch “Werte” zu schützen gibt. Wenn es Ihnen egal ist, ob hausinterne Videobilder weltweit verfügbar sind oder im Falle eines Einbruchs keine Daten zur Verfügung stehen, gibt es keinen Handlungsbedarf. In allen anderen Fällen schon.