Durch das Internet der Dinge / Internet of Things werden immer mehr Geräte onlinefähig: Dazu zählen mittlerweile selbst einfache Haushaltsgeräte wie Kaffee- und Waschmaschinen oder Leuchtmittel. Gefährlich wird es, wenn Manipulationen durch Hacker drohnen und sogar Personen zu Schaden kommen könnten. Derlei Schwachstellen haben nun Sicherheitsforscher in automatisierten Waschanlagen gefunden, durch die Dritte über das Internet Zugriff erlangen könnten. Sollten dabei ferngesteuerte Tore, Roboterarme oder Hochdruck-Wasserstrahle missbraucht werden, wären sogar Personenschäden denkbar.
Als Beispiel zeigten die Experten Billy Rios und Dr. Jonathan Butts auf der Black Hat 2017, wie sich Infrarotsensoren so manipulieren lassen, dass etwa automatische Rolltore hinabsausen und Autos beschädigen oder im schlimmsten Fall Menschen verletzen könnten. Angegriffen wurden in den USA gängige, vollautomatische Wachstraßen des Typs PDQ LaserWash. Laut Rios ließe sich ein derartiger Angriff sogar in vielen Fällen über das Internet ausführen. Über 150 Waschstraßen seien laut Rios online und angreifbar. Der Internetzugang wurde wohl hergestellt, damit an die Betreiber Statusmeldungen und Analysen verschickt werden können.
Angreifbar sind die Anlagen, da das veraltete Windows CE verwendet wird, welches Sicherheitslücken und Bugs enthält und nicht mehr gewartet wird. Es se dann auch möglich etwa den Wasserstrahl umzulenken – um Autos zu beschädigen oder Personen zu attackieren. Ein Betreiber stellte seine Waschstraße für die Tests zur Verfügung und die Angriffe seien laut den Forschern gelungen. Videos durften sie aber nicht veröffentlichen, da der Betreiber jenes untersagte.
Bereits Anfang 2015 hatten die Sicherheitsforscher den Hersteller der Anlagen, PDQ, auf die Probleme aufmerksam gemacht. Es folgte keine Reaktion und erst bei Ankündigung des aktuellen Vortags meldete sich PDQ. Updates seien aber nicht geplant, um die Lücken zu schließen. Man empfiehlt den Betreibern der Anlagen lediglich die Steuerrechner über Firewalls abzusichern und voreingestellte Passwörter zu ändern. Sicherer wäre allerdings in die Hardware an sich Sicherheitsmechanismen zu integrieren.
Quelle: Heise
Ich frage mich immer, wieso solche Dinge permanent mit dem Internet verbunden sein müssen. Sollen sie Daten doch nach Ladenschluss übertragen und die Verbindung dann wieder dicht machen.
Hmm denken wir mal kurz darüber in diesem konkreten Fall darüber mal nach … Ein Auto mit Insassen bleibt stecken, der in der Tankstelle kriegt’s nicht mit (is ja nicht seine Anlage sondern outsourced …), es kommt niemand an dem Tag mehr der auch noch sein Auto waschen will und “nach Ladenschluss” soll der Besitzer dann feststellen “hey, da sitzt jemand fest?” Nein? Weil Polizei rufen? Na dann…
Es geht irgendein Mittel aus, weitere Kunden müssen vertröstet werden auf morgen und der Besitzer bekommt’s dann spät Abends mit … sagenhaft!
Das Problem ist nicht eine Anlage die permanent mit dem Internet verbunden ist, sondern der Stackoverflow “Solution Architect” beim Hersteller schreibt einen Wrapper welcher Port XY benötigt für den Zugriff (was schon mal ungünstig ist) und Kunde König will aber nur ein Programm auf dem Desktop anklicken damit er seine Anlage sieht …
Man könnte durchaus irgendwo eine Website laufen lassen wogegen sich der User Authentifizieren muss und die Anlage pusht die notwendigen Informationen zu dieser Site, Kombinationen aus “SSA” (siehe oben) und Kundenwünschen machen so einen Unsinn erst möglich.