Der Wurm im Sensornetzwerk
Ein Sicherheitsforscher hat demonstriert, dass er Wurm-Code in ein Netz für drahtlose Sensoren einschleusen kann. Das hierzu verwendete Tool soll in Kürze zum Download bereit stehen und noch weitere Funktionen mitbringen.
- Uli Ries
- Daniel Bachfeld
Auf der letzte Woche zu Ende gegangenen Hacker-Konferenz Black Hat Europe zeigte der griechische IT-Sicherheitsexperte Thanassis Giannetsos das Tool Sensys zum Testen der Sicherheit von Sensornetzen. Es kann die Kommunikation ausspähen und sogar Schadcode in Sensormodule einschleusen.
Sensornetze finden sich zur Überwachung von Zuständen etwa im militärischen Umfeld, in Gebäuden, bei der Überwachung von Tieren oder im Rahmen kritischer Infrastrukturen wie dem Smart Grid. In erster Linie ist Sensys ein Sniffer, der alle umliegenden Netzwerk-Knoten erfasst und grafisch darstellt. Das Tool erkennt auch, welche Knoten in dem sich dynamisch verändernden Mesh-Netzwerken mit welchen anderen Knoten verbunden sind. Den Datenaustausch der Knoten schneidet die Software ebenfalls mit.
Für seine Live-Demonstration verwendete Giannetsos die "Wireless Personal Area Networks"-Sensormodule (WPAN) Tmote Sky des Herstellers Sentilla (baugleich mit TelosB von Crossbow). Wie der Sicherheitsexperte gegenüber heise Security erläuterte, erfasst Sensys jedoch auch andere Arten von Sensoren und deren Datentransfers, wie zum Beispiel per Zigbee kommunizierende Hardware.
Sensys kann jedoch nicht nur sniffen, es kann auch aktiv in die Netzwerke eingreifen und Pakete injizieren. Dafür sei es laut Giannetsos wichtig, dass das vom Netzwerk verwendete Routingprotokoll für die Routing-Kosten-Metrik Berechnungen zur Verbindungsqualität verwendet. Andere Arten von Routingprotokollen lassen sich laut Giannetsos aber ebenfalls leicht implementieren.
Ein mögliche Angriffsvariante: Die Software veranlasst die Sensoren, sich mit dem vom Angreifer kontrollierten Knoten zu verbinden ("Sinkhole-Attacke"). Dazu muss lediglich ein Sensor per USB mit dem Angreifer-Notebook gekoppelt werden. Dieser Sensor gaukelt den anderen Knoten vor, dass er den geringsten Abstand und somit die niedrigsten Kosten zur Basisstation oder einem direkt mit der Station verbundenen Knoten (Parent) hat und der beste Weg ist, um Daten an die Basis zu schicken. Replay- oder DoS-Attacken sind mit Sensys ebenfalls möglich.
Der Clou an Sensys ist jedoch seine Fähigkeit, Programm-Updates an die Sensoren per "Over the Air Programming" (OAP) zu schicken. Fehler im Speicherschutz lassen sich dann ausnutzen, um Code einzuschleusen und auszuführen, der nichts mit dem eigentlichen Softwareimage des Sensors zu tun hat.
Hierfür spielt es keine Rolle, welche Funktechnik das Netzwerk verwendet. Im Prinzip lassen sich demnach auch Zigbee-basierte Netze attackieren. Die zugrunde liegende Exploit-Technik hat der Sicherheitsspezialist für Sensormodule Travis Goodspeed am Tmote Sky bereits 2008 demonstriert (PDF). Sensys soll jedoch verschiedene Hardware-Plattformen unterstützen können.
Es sei dem Forscher gelungen, sich selbst verbreitenden Code auf den Sensor zu laden. Einmal ausgeführt, überträgt der Sensor den Schadcode auf alle umliegenden, mit ihm verbundenen Sensoren: ein Wurm im Sensornetzwerk. Wie Giannetsos im Gespräch mit heise Security bestätigte, wird er Senys in Kürze auf seiner Webseite zum Download anbieten.
Erst kürzlich hatte der Entwickler Joshua Wright angekündigt, die Open-Source-Sammlung KillerBee für Linux zu veröffentlichen, die zum Testen der Sicherheit von Zigbee-Netzwerke gedacht ist.
Siehe dazu auch:
(dab)
