Kommentar: Internet of Toilets

Aktuell ist das Internet of (Things|Toilets, so oder so kurz IoT) wieder mal in der Presse. Dieses mal geht es darum, dass ein Sicherheitsforscher in einem bisher nicht bekannten Maß durch eine DDoS-Attacke lahmgelegt wurde. Jetzt wird wieder geschriehen, dass das Internet of Toilets…äh Things das freie Netz gefährden würde.

Unabhängig davon, wie sinnvoll man das IoT erachtet ist es hier nicht per se ein Problem der Plattform. Viel mehr ist es ein Problem der Ausstattung. „Smarte“ Geräte werden mit einem zumeinst internetfähigen Stack versehen, der aber so abgespeckt wird, um auf kleinstmöglicher Hardware arbeiten zu können. Sei das jetzt Linux/ Unix oder irgendetwas anderes. Das tut nichts zur Sache. Um Ressourcen sparen zu können, wird verzichtet – oft auch auf Sicherheitsfeatures. Hauptsache schnell ins Wifi hängen.

Zusätzlich erschwert wird das Ganze, wenn lasche Admin-Passwörter per Default gesetzt werden, „kaperfähige“ Services nicht abgeschaltet werden können oder zum Betrieb der Plattform müssen die Geräte sogar aus dem Netz erreichbar sein. Oder es wird irgendeine gerade so auf einem Microchip lauffähige Firmware gebastelt, die sich überhaupt nicht steuern lässt. Wenn man solche Stacks einsetzt, ist es kein Wunder, wenn Gerätschaften früher oder später ein Eigenleben entwicklen und dann böse Dinge tun.

Man kann von einem Nutzer nicht erwarten, dass er sich mit dem OSI-Stack oder technischen Details auskennt. Daher müssen die Hersteller einfach lernen, die Geräte abzusichern oder diese absicherbar zu machen. Und wenn es erst einmal zufällige Standardpasswörter anstelle von admin/admin sind. Das wäre zumindest ein erster Schritt.

Sicher müssten zur effektiven Vermeidung viele Ansätze von IoT überdacht werden. Gerätschaften, die sich (aufgrund abgespeckter Stacks und „zugebombter“ Konfigurationen) nicht wirklich absichern lassen, gehören einfach nicht ins Internet/ bzw. sollen aus diesem nicht erreichbar sein.

Sonst passiert das, was immer wieder mit Überwachungskameras passiert. Dann kann sich der halbe Planet wieder auf die hausinterne Hardware aufschalten.

Ungesichertes IoT ist in etwa so, als würde man sein Auto auf offener Straße nicht absperren. Macht man auch nicht, oder?

Ein weiterer Punkt ist, dass viele IoT-Geräte nach der Auslieferung bzw. initialien Konfiguration softwareseitig nicht mehr aktuell gehalten werden. So gibt es z. B. Überwachungskameras, die mit uralten 2.x-Kerneln (keine besonderen Branches, einfach nur alt) ausgeliefert werden und selbst die Patches sich nur um irgendwelche mit proprietärem „Mist“ gefüllte Weboberflächen kümmern, aber der Kernel bleibt ungepatcht. Auch hier muss man sich auf Dauer über gar nichts wundern.


Bild: https://stocksnap.io/photo/MN5EQHVAIW