Security: Embedded Devices mit eingebetteten Sicherheitslücken

Wer Embedded Devices öffnen will, muss kein Experte sein. Entwickler von Spielekonsolen, Fernsehern und Media-Centern begehen immer wieder typische Fehler. Hacker haben es damit leicht und Benutzer erlangen uneingeschränkte Kontrolle über ihre eigenen Geräte.

Artikel veröffentlicht am , Keywan Najafi Tonekaboni
Embedded Devices haben meist Sicherheitslücken, die sich einfach ausnutzen lassen.
Embedded Devices haben meist Sicherheitslücken, die sich einfach ausnutzen lassen. (Bild: Lakshmin/Public Domain)

Wer als Hacker berühmt werden wolle, der solle in Embedded Devices einbrechen, scherzte Sven Peter von der Gruppe fail0verflow auf der Sigint 2013 in Köln. Seinen Vortrag hatte er zwar mit Embedded Devices Security Nightmares betitelt. Ein Albtraum ist die Sicherheit von Embedded Devices jedoch nur für die Hersteller, für den Hacker hingegen traumhaft: Die Einstiegshürden seien überraschend gering, denn die meisten Embedded-Programmierer hätten keine Ahnung von Sicherheitskonzepten, sagte Peter.

Stellenmarkt
  1. IT-Systemadministrator (m/w/x)
    über grinnberg GmbH, Raum Neumünster
  2. Software Architekt / Software Architect (m/w/d)
    igus GmbH, Köln
Detailsuche

Es gibt, grob gesagt, zwei Arten von Embedded-Systemen: Firmware Marke Eigenbau und Linux-Systeme. Überraschenderweise sind Letztere laut Peter einfacher zu knacken. Denn hier nutzen Entwickler das beliebte Open-Source-System teilweise ohne genaueres Verständnis und sichern es nur unzureichend ab. Hinzu kämen veraltete Versionen des Kernels oder anderer Software. Sicherheit stehe oft nur am Ende des Entwicklungsprozesses. Selbstentwickelte Systeme seien dagegen besser abgesichert, da hier oft Sicherheit von Anfang an in die Konzeption des Systems einfließe. Als Beispiel für Linux-Unkenntnis nannte Peter einen Angriff per Symlinks. Die Dateimanager erlauben zwar nur Zugriffe auf bestimmte Verzeichnisse - etwa den Medienordner -, lesen aber auch Daten von Speicherkarten. Formatiert man diese mit Ext2 und legt an entsprechender Stelle einen Symlink auf das Wurzelverzeichnis, kann man das gesamte Dateisystem inklusive Firmware-Code auslesen. Ein Entwickler, der nur mit Fat32 arbeitet, erahnt kaum einen solchen Angriff.

Seriell in die Root-Shell

Bevor man versuche, mit Exploits ein Embedded Device anzugreifen, sollte zunächst die Platine aufmerksam begutachtet werden, empfahl Peter. Mit etwas Glück finde man einen seriellen Anschluss, der während der Entwicklung fürs Debugging verwendet wurde. Meist vergessen laut Peter die Entwickler, diesen Debugging-Zugang in der endgültigen Version zu deaktivieren. Der serielle Anschluss führt nicht selten zu einer Root-Shell ohne jegliche Authentifizierung - und wenn doch, dann mit einfachen Zugangsdaten wie root:root. Auch sonst riet Peter dazu, banale Angriffe nicht auszuschließen. Statt mühsam per Fuzzing nach Angriffsmöglichkeiten zu suchen, sollte man gründlich die einzelnen Syscalls durchgehen. Dort finden sich regelmäßig haarsträubende Fehler, die freien Eintritt verschaffen.

Mittlerweile überprüfen viele Geräte mittels Signatur die Bootloader und ausführbaren Code. Doch oft geschieht das nur einmalig, so bleibt ausreichend Zeit, später den eigenen Programmcode unterzujubeln. Peter berichtete von einem Update, das vor dem Einspielen ordentlich verifiziert wurde. Leider wurden die Dateien ins temporäre Verzeichnis (/tmp) entpackt, worauf jeder User Zugriff hat. Stattdessen hätte nur ein nicht offen lesbares Verzeichnis zum Zwischenspeichern verwendet werden müssen.

Kryptographie und Drogenkonsum

Golem Karrierewelt
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    08./09.09.2022, virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
Weitere IT-Trainings

Für Sven Peter sind selbstentwickelte Kryptographieverfahren so gefährlich wie selbstgekochtes Crystal Meth. Ein Verschlüsselungssystem mit einer Stromchiffre konnte angegriffen werden, indem lauter Nullen in den Speicher geschrieben wurden. Durch das verwendete XOR offenbarte es den geheimen Schlüssel. Grund: Die Entwickler hatten beim Erzeugen der Stromchiffre für das Nonce stets den gleichen Wert verwendet. Dabei sagt bereits der Name Number used only once, dass dies eine schlechte Idee ist. Peter gab den Tipp, auf Verdacht zwei unterschiedliche Updatedateien gegeneinander per XOR zu verknüpfen, um so eventuell an den Schlüssel zu kommen. Er machte mangelnde Kryptographiekenntnisse für solche Fehler verantwortlich.

Aber auch, wer bewährte Kryptographiealgorithmen einsetzt, ist nicht vor Fehlern gefeit. Nintendo implementierte einst RSA so unzulänglich, dass die Verschlüsselung untypisch einfach zu knacken war. Daher empfiehlt Peter, immer den Code zu durchwühlen, sonst würde man einiges verpassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


hackfin 10. Jul 2013

Im Artikel wurde zwar die serielle Schnittstelle/root shell angesprochen, aber nach...

0xDEADC0DE 09. Jul 2013

Außer dir scheint niemand zu verstehen, was du meinst. Ergo hast du nicht verstanden...

tundracomp 08. Jul 2013

:-D

Anonymer Nutzer 08. Jul 2013

Wenn man den Unterschied zwischen einem Treiber und einem Datasheet nicht kennt sollte...



Aktuell auf der Startseite von Golem.de
Tech-Branche
Microsofts Weg zum 10-Billionen-Dollar-Unternehmen

Wenn wir mehr über den Riesenkonzern in Redmond wissen, erfahren wir wertvolle Dinge zu Cloud-Infrastruktur, Start-up-Strategien und zur Zukunft der Software.
Eine Analyse von John Luttig

Tech-Branche: Microsofts Weg zum 10-Billionen-Dollar-Unternehmen
Artikel
  1. Karstadt und Kaufhof: Galeria erneuert seinen Onlineshop
    Karstadt und Kaufhof
    Galeria erneuert seinen Onlineshop

    Bisher konnten im Onlineshop Paketsendungen nicht zusammengefasst und Warenbestände von der Belegschaft nicht überall eingesehen werden. Das soll sich nun ändern.

  2. Vitali Klitschko: Zweifel an Giffeys Deepfake-These
    Vitali Klitschko
    Zweifel an Giffeys Deepfake-These

    Die Berliner Staatskanzlei spricht von einem Deepfake beim Gespräch zwischen Bürgermeisterin Franziska Giffey und dem falschen Klitschko. Nun gibt es eine neue These.

  3. IT-Angriffe: Ransomware-Gruppen verzichten wohl auf Verschlüsselung
    IT-Angriffe
    Ransomware-Gruppen verzichten wohl auf Verschlüsselung

    Für eine erfolgreiche Erpressung reicht es inzwischen offenbar auch aus, Daten zu erbeuten und mit Veröffentlichung zu drohen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung SSD 1TB mit Kühlkörper (PS5-komp.) günstig wie nie: 127,73€ • MSI 32" WQHD 165 Hz günstig wie nie: 399€ • Saturn-Fundgrube: Restposten zu Top-Preisen • MindStar (AMD Ryzen 9 5900X 375€, Gigabyte RX 6900 XT 895€) • Samsung Galaxy Watch 4 Classic 46 mm 205€ [Werbung]
    •  /