Wie die Cloud-Sicherheit die IoT-Sicherheit beeinflusst

Ich finde immer wieder Sicherheitsprobleme bei den Cloud-Diensten von IoT-Anbietern, und das macht mich traurig. Deshalb bin ich zu Xebia gekommen, um mehr über Cloud-Sicherheit zu erfahren und IoT-Anbietern zu helfen, Sicherheitsprobleme in ihrer Cloud-Infrastruktur zu beheben. Die Standardsicherheit unserer IoT-Geräte wird immer besser. Die Cloud-Dienste hinter den Geräten sind es nicht. Diese Cloud-Dienste werden zur Steuerung der Geräte und zum Sammeln aller Daten verwendet, so dass die Sicherung dieser Dienste sehr wichtig ist. Lassen Sie uns also darüber sprechen, mit welchen Problemen Cloud-Systeme, die IoT-Geräte verwalten, konfrontiert sind und welche Lösungen es dafür gibt.

Als ich anfing, eingebettete und IoT-Geräte zu hacken, konzentrierte ich mich auf die Identifizierung von Problemen mit dem Gerät selbst. Diese reichten von offenen Debug-Ports bis hin zu Schwachstellen bei der Befehlsinjektion in der Webschnittstelle des Geräts. Die meisten der Schwachstellen, die ich zuvor identifiziert hatte, waren solche, die nur lokal oder innerhalb desselben Netzwerks angegriffen werden konnten. Als die Gerätehersteller mehr über die Sicherheit der Geräte lernten, konnten sie diese niedrig hängenden Schwachstellen auf den Geräten ausbessern oder entschärfen. Bei den Backend-Systemen, die diese Geräte überwachen und warten, wurden jedoch nicht dieselben Sicherheitsverbesserungen vorgenommen.

[caption id="attachment_56255" align="aligncenter" width="1024"] Ein typisches IoT-Gerätenetzwerk.[/caption]

Bildnachweis für das Router- und Backend-Symbol: onlinewebfonts.com

Mit zunehmender Erfahrung begann ich, nach Problemen zu suchen, die aus der Ferne und in großem Umfang ausgenutzt werden können. Diese normalerweise bedeutete, dass ich mir die Cloud-basierten Backend für die Verwaltung mehrerer IoT-Geräte. Aus Sicht der Benutzerfreundlichkeit war dies für Entwickler und Betreuer unglaublich. Sie sind nicht mehr auf manuelle Updates für Geräte angewiesen. Sie können Geräte von einem zentralen Punkt aus konfigurieren und sogar verwalten. Unter Sicherheitsaspekten war dies jedoch auch eine Goldgrube für Angreifer. Anstatt einzelne Geräte zu kompromittieren, konnten sie können das zentrale Überwachungs- und Verwaltungssystem kompromittieren, um darüber alle verwalteten Geräte zu kompromittieren. Wie schon bei der Anwendungssicherheit sehe ich, dass IoT-Entwickler die gleichen Fehler bei der Cloud und Backend-Sicherheit machen, für die es bekannte Lösungen gibt.

Eine kurze Hie Geschichte der vernetzten Geräte

Als die ersten Geräte mit dem Internet verbunden wurden, handelte es sich in der Regel um direkte Verbindungen zum Internet, ohne viel Verbindung zu einem zentralen Dienst des Herstellers. Wenn es Updates gab, wurden diese auf den Websites der Hersteller angeboten und die Benutzer mussten sie von dort herunterladen und manuell auf dem Gerät installieren. Dies war für Benutzer ohne technisches Know-how keine leichte Aufgabe. Außerdem konnten die Hersteller auf diese Weise nicht nachvollziehen, wie das Gerät funktionierte und nützliche Telemetriedaten gewinnen.

Später begannen die Hersteller, automatische Aktualisierungsmechanismen zu verwenden, bei denen der Benutzer nur noch auf die Aktualisierungsschaltfläche klicken muss, um die Benutzer zu entlasten, die ihre Systeme nicht manuell aktualisieren wollten oder konnten. Dazu benötigten sie einen zentralen Server, auf dem das Update (Binärdatei) gespeichert wurde und der sogar die Übermittlung einiger grundlegender Nutzungsdaten (Telemetrie) ermöglichte. Dieser Server wurde vom Hersteller gewartet und gepatcht und befand sich normalerweise in einem Rechenzentrum.

Da es sich in der Regel um einen Server handelt, der von Entwicklern eingerichtet wurde, die sich in erster Linie auf eingebettete Geräte konzentrierten, gab es eine ganze Reihe von Fehlkonfigurationen und Sicherheitslücken. Auf einige dieser Schwachstellen gehen wir später ein. Es gibt immer noch einige wenige Gerätehersteller, die diesen Ansatz für die Speicherung von Konfiguration und Firmware für Geräte verwenden. Eine beträchtliche Anzahl von Entwicklern ist jedoch dazu übergegangen, ihre Backend-Dienste in der Cloud zu hosten. Zum Zeitpunkt der Umstellung gab es nicht viele Cloud-Anbieter, die spezielle IoT-Konnektivitätslösungen anboten. Das bedeutete, dass sich die meisten Hersteller dafür entschieden, eine virtuelle Maschineninstanz in der Cloud zu betreiben und diese dann für ihr Backend zu verwenden. Auch hier wurden Konfiguration und Wartung von den Herstellern oder in einigen Fällen von Vertragspartnern übernommen. Die Schwachstellen, die bei selbst gehosteten Lösungen vorhanden waren, sind auch hier zu finden.

In den letzten Jahren gab es mehrere Cloud-Service-Anbieter, die spezielle IoT-Dienste anbieten. Die IoT-Branche hat diese Dienste zwar angenommen, aber nicht jeder nutzt sie. Cloud-Anbieter sind besser in der Lage, Bedrohungen zu erkennen und darauf zu reagieren als die Hersteller, da sie sich im Laufe der Jahre um die Cloud- und Netzwerksicherheit kümmern mussten. Lassen Sie uns einige der verfügbaren Dienste im nächsten Beitrag besprechen.

Modell der Bedrohung

Welche Bedrohungen können durch ein mit dem Internet verbundenes Gerät entstehen? Welche Vermögenswerte sind im Spiel, wenn Sie den Umfang eines cloudbasierten Backends für IoT-Geräte in Betracht ziehen? Wer sind die Angreifer, gegen die Sie sich verteidigen müssen?

Dies sind alles Fragen, die sowohl den Cloud-Anbieter als auch den Hersteller des Geräts betreffen. Der beste Weg, diese Fragen zu beantworten, ist eine Bedrohungsmodellierung. Sie wissen nicht, wie man das macht? Hier ist ein guter Blog-Beitrag: Threat Modeling - Beginnen Sie mit bösen Personas

Benötigen Sie weitere Hilfe? Wir führen regelmäßig Workshops zu diesem Thema durch. Sprechen Sie uns an und wir können etwas speziell für Sie planen!

Vermögenswerte

Firmware-Image - Ein Angreifer, der Zugriff auf ein unverschlüsseltes Image hat, kann das Image zurückentwickeln, um Schwachstellen zu identifizieren.

Codeausführung auf dem Gerät - Die Möglichkeit, Code geräteübergreifend auszuführen, würde es Angreifern ermöglichen, Zugriff auf andere Assets auf dem Gerät zu erhalten oder Kryptominers auszuführen.

Telematik der Geräte - Informationen über den Gerätebetrieb können für Industriespionage genutzt werden

Die Möglichkeit, das Gerät zu konfigurieren - Ein falsch konfiguriertes Gerät kann ein gefährliches Gerät sein, insbesondere in Bereichen wie dem industriellen IoT.

Benutzerdaten/Personal Identifiable Information - Der Benutzer eines Geräts hat möglicherweise persönliche Informationen auf dem Gerät gespeichert, auf die der Angreifer zugreifen kann.

Vertrauliche Informationen des Unternehmens - Das Backend oder das Gerät könnte Informationen enthalten, die das Unternehmen vertraulich behandeln möchte. Zum Beispiel über ein kommendes Produkt, über das man noch nicht öffentlich sprechen möchte.

Verfügbarkeit - Die Erreichbarkeit des Dienstes ist für die Kundenzufriedenheit und Sicherheitsaktualisierungen sehr wichtig.

Bedrohungsagent

Böswilliger Gerätebenutzer - Der Endbenutzer eines Geräts könnte böswillig sein. Er könnte versuchen, die Sicherheit des Geräts oder des Backends zu umgehen, um freien Zugang zu Diensten zu erhalten.

Qualifizierter externer Angreifer - Ein Angreifer, der zwar qualifiziert ist, aber keinen Zugriff auf die Ressourcen hat, wenn er den Angriff beginnt.

Abtrünniger Mitarbeiter - Ein interner Mitarbeiter, der den ihm gewährten Zugriff missbraucht, um Assets zu verändern oder zu zerstören.

Abtrünniger IoT-Hersteller - Ein IoT-Hersteller, der den zur Verfügung gestellten Zugang nutzen möchte, um sich Zugang zu den Daten anderer Kunden zu verschaffen/zu verändern, kostenlosen Zugang zu Diensten zu erhalten oder bereitgestellte Dienste zu missbrauchen.

Bedrohungen

Offenlegung von Informationen über Kunden - Da die Kundendaten über den Server laufen, können sie von Angreifern abgefangen und gestohlen werden.

Denial of Service - Ein Angreifer kann den Dienst lahmlegen und den Zugriff darauf von der Geräteseite aus einschränken.

Durchsickern von Firmware-Daten - Firmware-Daten können aus dem Dienst durchsickern, was zu Reverse Engineering und der Identifizierung von Schwachstellen führen kann.

Modifizierung von Firmware-Daten - Ein Angreifer könnte das vom Backend-Dienst stammende Update modifizieren, um die Firmware des Geräts zu hintergehen.

Willkürliche Codeausführung auf dem Gerät - Ein Angreifer könnte eine Kombination aus Sicherheitslücken auf dem Gerät und im Backend nutzen, um Code auf dem Gerät auszuführen.

Herausforderungen für die Sicherheit

Die Sicherheitsherausforderungen, die mit einem Cloud-basierten Backend für solche Geräte verbunden sind, lassen sich mit ein paar Fragen beschreiben:

1. Wie funktioniert die Authentifizierung?

Im Idealfall hat jedes Gerät eindeutige Anmeldedaten. Einige Geräte verwenden ein X.509-Zertifikat zur Authentifizierung, während andere über abgeleitete Anmeldedaten verfügen, die auf eindeutigen Geräteeigenschaften wie MAC-Adressen basieren. Wenn Sie eine Authentifizierung ohne Zertifikat verwenden, ist es wichtig, dass die Anmeldeinformationen von Angreifern nicht erraten werden können.

2. Ist der anonyme Zugriff aktiviert?

Kann ein nicht-authentifizierter Benutzer auf Informationen des Dienstes zugreifen? Dies geschieht in der Regel aufgrund einer Fehlkonfiguration der Dienste wie MQTT-Broker oder einer falsch konzipierten API. Versuchen Sie, den anonymen Zugriff auf den Dienst nach Möglichkeit zu vermeiden.

3. Kann ein Gerät auf die Daten eines anderen zugreifen?

Wenn die Authentifizierung korrekt durchgeführt wird, welche Art von Zugriff ermöglichen die Anmeldedaten eines Geräts? Es gab schon Situationen, in denen ein Gerät die Daten aller anderen Geräte sehen konnte, die die Backend-Dienste nutzen. Schränken Sie den Zugriff auf Gerätebasis ein.

4. Wie werden die Daten in dem Dienst gespeichert?

Werden die Daten beim Löschen des Kontos gelöscht? Kann ein Benutzer alte Geräte kaufen und historische Daten aus den Backend-Diensten wiederherstellen? Dies könnte Auswirkungen auf den Datenschutz und die GDPR haben.

5. Wird der Zugriff auf Backend-Dienste überwacht?

Ist das System in der Lage, böswillige Zugriffe zu erkennen und entsprechend zu reagieren? Kann es den Unterschied zwischen einem Gerät, das einen API-Zugriff aufgrund einer unterbrochenen Verbindung erneut versucht, und einem Angreifer, der einen Bruteforce-Angriff durchführt, erkennen? Auch hier können die Lehren aus den Anfängen der Cloud-Sicherheit angewendet werden. Die Verwendung von Web Application Firewalls und Überwachungssystemen ist für diese Systeme immer noch gültig, unabhängig von der beabsichtigten Verwendung der API.

6. Gibt es ein Verfahren zur Reaktion auf Vorfälle?

Ist es getestet? Was geschieht, wenn ein Alarm ausgelöst wird? Gibt es ein spezielles Überwachungsteam? Können Sie einen Vorfall isolieren und das schuldige Gerät identifizieren?

Fazit

Kurzum, es hat sich gezeigt, dass die Backend-Sicherheit für solche Geräte keine triviale Angelegenheit ist. Es gibt Lektionen, die man von der Anwendungs- und Cloud-Sicherheit lernen kann. Gleichzeitig gibt es einige IoT-spezifische Herausforderungen, die es zu bewältigen gilt. Im nächsten Teil des Blogbeitrags werden wir uns einige Angebote der großen Cloud-Anbieter in diesem Bereich ansehen und deren Sicherheitsfunktionen vergleichen.