Im Visier von Hackern und Datendieben

Linux auf IoT-Geräten: Schützen Sie den Pinguin!

| Redakteur: Franz Graser

Die Angriffsfläche des Systems reduzieren

Ein weiterer Punkt ist es, die Angriffsfläche der Gerätesoftware so klein wie möglich zu halten. Damit ist laut Matthias Welwarsky von SYSGO „die strikte Reduzierung der Konfiguration und der Software-Ausstattung auf das absolut Notwendige“ gemeint.

Darüber hinaus rät Welwarsky zu einem anforderungsbasierten Ansatz beim Design der Systemsoftware: „Dies setzt eine gezielte Auseinandersetzung mit der Systemstruktur und dem geplanten Einsatzzweck voraus, die dann in die Aufstellung von verfolgbaren Requirements mündet, gegen die das gesamte System verifiziert sein muss. Diese Requirements müssen den Ansatz des notwendigen Minimums zum Ziel haben und alle Systemkomponenten überprüfbar abdecken.“

Konkret bedeutet das, dass zwischen den Anforderungen und den im System implementierten Funktionen eine Wechselbeziehung besteht. Eine Funktion sollte nur implementiert werden, wenn sie tatsächlich im (auf das absolut Notwendige beschränkten) Anforderungskatalog steht. Darüber hinaus muss über den gesamten Entwicklungsprozess klar und transparent nachvollziehbar sein, welche Systemkomponente welche Anforderung erfüllt.

Um IoT-Systeme auf Linux-Basis zu härten, empfiehlt Jan Altenberg zudem einen „Bottom-Up-Ansatz“. Dieser basiert darauf, zuerst alle einfachen Methoden auszunutzen, so etwa die bereits erwähnte Rechtevergabe für die Prozesse und das Dateisystem, dann die sichere Netzwerkdienste sowie eine Firewall einzurichten.

Softwareschwächen von IoT-Geräten sind jedoch nicht nur auf Lücken im Betriebssystem zurückzuführen. Jan Altenberg von Linutronix weist deshalb darauf hin, dass Probleme auch in zugekauften oder quelloffenen Systemkomponenten schlummern können: „Das bekannteste Beispiel der letzten Jahre dürfte die Heartbleed-Lücke im [Verschlüsselungsmechanismus] OpenSSL sein.“

Deswegen rät Linux-Experte Altenberg dazu, nicht nur die eigene Implementierung abzusichern, sondern auch zugekaufte oder Open-Source-Komponenten einem ausführlichen Security-Monitoring zu unterziehen. Werden Linux-Distributionen wie Debian verwendet, dann kann man auch vom Security-Monitoring der jeweiligen Distribution profitieren. Darüber hinaus hat Debian ein umfangreiches Handbuch zur Absicherung der Systemsoftware veröffentlicht, das auch in deutscher Sprache vorliegt. „Wichtig ist es, rechtzeitig mitzubekommen, dass ein Gerät von einer Lücke betroffen sein könnte, um rechtzeitig ein Update erstellen zu können“, betont Altenberg.

Ohne Updates geht es nicht

Dies führt geradewegs zum nächsten Punkt: „Neben dem Monitoring ist auch die Möglichkeit eines Updates sehr wichtig. Netzwerkkomponenten ohne die Möglichkeit eines Updates zu betreiben, ist grob fahrlässig“, mahnt der Linutronix-Mann nachdrücklich. Auch SYSGO-Entwicklungsleiter Matthias Welwarsky betont die Wichtigkeit, bei kritischen Bugs automatisch zeitnahe Aktualisierungen einspielen zu können sowie die Fernwartbarkeit über sichere Schnittstellen zu ermöglichen.

Welwarsky rät darüber hinaus, sich bereits vorab Klarheit über die möglichen Angriffsvektoren zu verschaffen Dazu zählen: „Angriffe auf Basis der Verarbeitung von unkontrollierten Eingaben beliebiger Benutzer in die Applikationen, Angriffe auf die Fernwartungs-Schnittstelle, Angriffe auf den Systemkern, zum Beispiel den Netzwerk-Stack selbst.“

Last but not least muss noch ein kapitaler Fehler erwähnt werden, den insbesondere Botnetze immer wieder ausnutzen, nämlich die Verwendung der werkseitig eingestellten Standardpasswörter. Gerade weit verbreitete IoT-Geräte können sehr einfach gekapert werden, wenn sie nicht auf ein individuelles Passwort umgestellt werden, sobald sie zum Einsatz kommen. Da die Dokumentation solcher Geräte sehr häufig im Netz eingesehen werden kann, ist es für die Hacker ein Leichtes, an diese Standardpasswörter zu kommen.

Linux in vernetzten Geräten gerät immer mehr ins Malware-Fadenkreuz

Schadsoftware

Linux in vernetzten Geräten gerät immer mehr ins Malware-Fadenkreuz

17.02.17 - Ein Report des Anti-Malware-Spezialisten Sophos Labs zeigt auf, dass zunehmend Linux-Systeme im Internet der Dinge ins Visier der Schadsoftware-Programmierern geraten. Nach wie vor zielen aber die meisten Software-Schädlinge auf Windows. lesen

Sicherheitsmodelle für das Internet der Dinge

Gegen Gefahren im IoT

Sicherheitsmodelle für das Internet der Dinge

09.11.16 - Spätestens seit dem großen DDoS-Angriff auf den DNS-Dienst Dyn.com wird viel über die Sicherheit im Internet der Dinge (IoT) geredet. Das Internet of Things stellt eine extrem breite Angriffsfläche dar, für die es dringend einen gemeinsamen Sicherheits-Ansatz braucht. lesen

Sieben Jahre alte Lücke im Linux-Kernel gefunden

DoS und Rechteausweitung möglich

Sieben Jahre alte Lücke im Linux-Kernel gefunden

27.03.17 - Im Linux-Kernel wurde eine Sicherheitslücke gefunden, die einen lokalen DoS (Denial of Service) oder die Einräumung administrativer Rechte ermöglicht. Das Problem ist seit 2009 in Linux enthalten. Große Distributionen liefern inzwischen Updates. Gefährdet sind IoT-Geräte und möglicherweise Docker-Hosts. lesen

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44606254 / Safety & Security)