Menü
Security

ZigBee: Angriff der Killerbiene

vorlesen Drucken Kommentare lesen 38 Beiträge

Der Entwickler Joshua Wright will mit KillerBee demnächst eine Open-Source-Sammlung (PDF) von Linux-Tools veröffentlichen, die zum Testen der Sicherheit von Zigbee-Netzwerke gedacht sind. Laut Wright sind viele Zigbee-Implementationen "großer Mist"; er will mit den in Python programmierten Tools letztendlich für sicherere Produkte sorgen.

Wright führt an, dass Zigbee beispielsweise genutzt wird, um den Wasserfluss an Staudämmen zu kontrollieren oder an Ventilen zum Steuern von Erdgasleitungen. Außerdem sei die Technik bei der Gebäudeautomation sehr weit verbreitet. Im nagelneuen MGM City Center in Las Vegas seien beispielsweise mehrere zehntausend Zigbee-Geräte verbaut; die in den USA eingesetzten intelligenten Stromzähler kommunizieren untereinander teilweise ebenfalls per Zigbee in einem Mesh-Netzwerk.

Zigbee (IEEE 802.15.4) ist in den genannten Szenarien erheblich beliebter als beispielsweise Bluetooth, WLAN oder DECT, da es simpler zu implementieren ist – der komplette Stack belegt nur 120 KByte – und aufgrund der Funktechnik erheblich weniger Energie benötigt. Wright kommt aber zu dem Schluss, dass "die Sicherheit zu kurz kommt, wenn Einfachheit und niedrige Kosten im Vordergrund stehen."

Zu KillerBee gehören mehrere Tools, die allesamt den aus dem WLAN-Umfeld bekannten Angriffsprogrammen ähneln. Laut Wright erinnerten auch die Sicherheitsprobleme und deren zugrundeliegenden Fehler denen, die auch beim Design von WLAN passiert sind. So biete Zigbee keinerlei Schutz gegen Replay-Attacken, bei denen mitgeschnittene Pakete vom Angreifer später einfach wieder ins Netzwerk geschickt werden. Wrights lapidarer Kommentar: "Derselbe Fehler ist auch schon Wireless LAN zum Verhängnis geworden – allerdings vor zirka 15 Jahren."

Zu KillerBee gehört unter anderem eine Anwendung zum Aufspüren sämtlicher Zigbee-Geräte in der Umgebung (zbid), eine zum Mitschneiden der Datenströme des Funknetzes (zbdump) oder eine zum Injizieren mitgeschnittener Datenströme (zbreplay). Das Injizieren von Paketen könnte laut Wright beispielsweise im Zusammenhang mit per Zigbee vernetzten Türschlössern interessant sein: Der Angreifer muss nur die im Moment des Öffnens durch einen Berechtigten drahtlos vom Schloss zu einem im Gebäude befindlichen Kontrollserver übertragenen Daten mitschneiden. Schickt er diese Sequenz später wieder per Zigbee zum Server, dürfte das Schloss die Tür erneut freigeben.

KillerBee bringt auch ein Programm mit, das die in einem Zigbee-Gerät gespeicherten Schlüssel knackt. Nachdem etliche Formen von Zigbee-Hardware ohne Display oder Tastatur kommen, wird ihnen der zur Verschlüsselung notwendige Code bereits ab Werk im Flashspeicher mitgeben. Werden Schlüssel über die Luftschnittstelle (OTA, Over the Air) ausgetauscht, passiert das wiederum ohne jegliche Verschlüsselung und ist per zbdump leicht mitzuschneiden Die Mitschnitte lassen sich anschließend problemlos in Wireshark untersuchen.

Zum Knacken der gespeicherten Keys bedient sich das zbgoodfind getaufte Werkzeug einem Speicherauszug, der mit der von Travis Goodspeed entwickelten Sniffer-Hardware erstellt wurde. Wrights Tools arbeiten alle mit dem Zigbee-USB-Stick AVR RZ Raven zusammen, der für knapp 40 US-Dollar zu haben ist. Um Daten mitschneiden und gleichzeitig injizieren zu können, sind zwei dieser Sticks notwendig. Außerdem muss zum Injizieren die Firmware der Sticks überschrieben werden. Hierzu ist ein On-Chip-Debugger und -Programmer wie Atmels AVR JTAG ICE mkII nötig, der als Nachbau aber bereits ab 50 Euro zu haben ist. Wright verkauft bereits geflashte Sticks zwar nicht offiziell, hat im Gespräch mit heise security zwischen den Zeilen aber verlauten lassen, dass er in "Einzelfällen" sicherlich aushelfen könne.

Siehe dazu auch:

(Uli Ries) / (dab)