IoT-Hacking: Firmware- und Netzwerksicherheit verbessern

Software in Embedded Devices bietet viele Angriffspunkte. Ein systematisches Vorgehen beim Absichern und automatisiertes Scannen von Sicherheitslücken hilft.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Alexander Poth
Inhaltsverzeichnis
Mehr zur industriellen IT (IIoT-Hacking):

Wie lässt sich IoT-Software sicher implementieren? Embedded-Firmware enthält oft sensible Daten. Das gilt auch für Images, die man zum Aktualisieren der Firmware herunterlädt. Wer deren Daten extrahiert, kann damit im Zweifelsfall exponierte Webservices, Datenbanken, Datei- oder Terminaldienste ausnutzen, um weitere Informationen zu ergaunern oder zu manipulieren.

Die Methoden zur Absicherung von Speicherbausteinen stellen zwar eine Hürde, aber keine vollständige Absicherung gegen Zugriffe auf den Speicherinhalt dar. Nahezu vollständig kann man das nur mit dem Verschlüsseln sämtlicher Inhalte erreichen. Allerdings ist hier auf die richtige Implementierung zu achten. Erfahrungsgemäß ist oft wichtiges Schlüsselmaterial wie Private Keys ungesichert, also im Klartext abgelegt. Erbeutet ein Angreifer den Schlüssel, kann er die Firmware ohne große Schwierigkeiten entschlüsseln.

Damit ein Angreifer den Speicherinhalt respektive die Firmware nicht manipulieren kann, ist die eingesetzte Firmware zu signieren. Nur so lässt sich die Quelle als vertrauenswürdig verifizieren. Besonderes Augenmerk sollte dabei dem Bootloader gelten. Oft gelingt es einem Angreifer, den Bootprozess so zu manipulieren, dass er nachgelagerte Signaturen des Kernels oder des Dateisystems nicht berücksichtigt oder ein alternatives Betriebssystem startet. Deshalb ist bereits die Authentizität des Bootloaders zu prüfen, um die nachfolgenden Prozesse zu sichern.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 12,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+