32C3: Automatisierte Sicherheitstests für das Internet der Dinge

Ein französisch-deutsches Forscherteam hat eine Emulationsumgebung entwickelt, mit der sich dynamische Penetrationstests von Firmware vernetzter Elektronikgeräte maschinell durchführen lassen. Erste Ergebnisse sprechen für sich.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
32C3: Automatisierte Sicherheitstests für das Internet der Dinge

Andrei Costin auf dem 32C3

Lesezeit: 4 Min.
Inhaltsverzeichnis

Wissenschaftler der französischen Hochschule Eurecom und der Ruhr-Universität Bochum haben ein Rahmenwerk geschaffen, um Sicherheitslücken im Internet der Dinge schneller im großen Stil ausfindig machen zu können. Bisher sei es für einschlägige Schwachstellenanalysen integrierter Systeme mit Webschnittstellen häufig nötig gewesen, die entsprechenden Geräte zu erwerben, aufzumachen und nachzuschauen, erläuterte der Eurecom-Forscher Andrei Costin am Dienstag auf dem 32. Chaos Communication Congress in Hamburg. Dies sei bei derzeit geschätzten 50 Millionen vernetzten Systemen aber keine tragfähige Option.

Das Team hat daher eine "virtuelle Maschine" auf Linux-Basis entwickelt, auf der in Frage kommende Firmware im Emulationsmodus läuft und so auf breiter Basis weitgehend automatisiert statisch und dynamisch auf Fehler und Schwachstellen hin abgeklopft werden kann. Es gebe Unmengen verborgener Lücken in Firmware, führte Costin aus. Daher sei eine derartige Sicherheitsanalyse großer Mengen entsprechender eingebetteter Software unabdingbar.

Für ihr Experiment, das in Grundzügen in einem im November veröffentlichen Aufsatz beschrieben wird, sammelten die Wissenschaftler zunächst Firmware-Dateien über eine öffentliche Webschnittstelle. Es kamen insgesamt 1925 Images zusammen, die sie prinzipiell auspacken, ausführen und in einer nativen Umgebung emulieren konnten. 1580 davon enthielten Code, der sich auf Webanwendungen wie HTML, JavaScript, Perl oder PHP bezog und so in Frage kam.

Parallel bauten die Analysten ihre Testumgebung auf Basis der freien virtuellen Maschine Qemu auf. Sie entschieden sich für einen Ansatz mit einem generischen System mit einer zur Firmware passenden zentralen Prozessorarchitektur. Mithilfe einer "Chroot"-Funktion wechselten sie auf das Rootverzeichnis für die jeweilige integrierte Grundsoftware und versuchten diese zum Laufen zu bringen, was in 488 Fällen gelang. 246 Mal schafften es die Tüftler zudem, die zugehörigen Webfunktionalitäten quasi zum Leben zu erwecken.

Für die eigentlichen Penetrationstests habe man dann die gängigen Hilfswerkzeuge Arachni, Zed Attack Proxy (Zap) und W3af eingesetzt, berichtete Costin. Der Ansatz lasse es aber auch zu, vergleichbare Software wie Tcpdump, Nmap, Metasploit oder Nessus zu verwenden. Die Testprogramme habe das Team dann quasi über Nacht laufen gelassen, wobei ein Durchlauf etwa mit Arachni 30 bis 60 Minuten beansprucht habe.

Heraus kam laut dem Sicherheitsexperten, dass 185 Firmware-Datensets von 13 Herstellern "sehr ernste" Schwachstellen aufwiesen. Mithilfe schneller Ähnlichkeitssuchen durch "Fuzzy Hashing" und spezieller Suchmaschinen für das Internet der Dinge wie Shodan sei auch rasch deutlich geworden, dass andere Produzenten Firmware ganz oder teilweise einfach übernähmen und nur ihr Logo oder rechtliche Hinweise veränderten. So vergrößere sich die Zahl der angreifbaren Geräte oft sehr schnell. Dies habe man etwa bei vernetzten Überwachungskameras oder SD-Karten festgestellt.

Die Gruppe führte auch einen statischen Test durch, um speziell die acht Prozent der PHP-Anwendungen in ihrem Datenset auf Angriffsmöglichkeiten hin zu untersuchen. Sie stießen dabei auf 145 einzelne Firmware-Pakete, die mindestens eine Sicherheitslücke aufwiesen und insgesamt 9046 Problemfelder wie Anfälligkeiten für Cross-Site Scripting, Dateimanipulationen, Befehlsausführung oder SQL-Injection.

Eigentlich habe das Team geplant gehabt, einige Zero-Day-Lücken etwa in Routern im Rahmen des Kongresses zu veröffentlichen, berichtete Costin. Man habe aber davon abgesehen, da einige Hersteller inzwischen doch die Ohren gespitzt und auf Warnhinweise der Forscher reagiert hätten. Die Sicherheitsmeldungen würden also wahrgenommen, auch wenn die Schwachstellen nicht auf den echten Geräten in ihrer normalen Einsatzumgebung nachgewiesen worden seien. (mho)