Deutsche Sicherheitsexperten hacken Smart Home Server erstmals aus der Ferne

SicherheitSicherheitsmanagement
Smart Home Hacker (Bild: Shutterstock/Denys Prykhodov)

Der Angriff ist dem Unternehmen Antago aus Heppenheim gelungen. Es hat bereits früher Appliances für Penetrationstestes von Anlagen zur Heimautomatisierung vorgestellt. Bisher war aber für die diversen Angriffsmethoden immer der physische Zugriff auf die Anlage notwendig.

Der Firma Antago aus Heppenheim ist es gelungen, sich aus der Ferne unbefugt Zugriff zu Steuerungssystemen für die Gebäudeautomation zu verschaffen. Den Hackern zufolge ist dies der erste, bekannt gewordene, erfolgreiche Angriff dieser Art. Für ihn wurden allerdings nicht direkt Lücken in den Produkten selbst oder dem zu deren Steuerung vor Ort verwendeten KNX-Bus ausgenutzt. Vielmehr gelang es, die durch die weiterreichende Vernetzung und die damit verbundene Nutzung von IT-Technologie hinzugekommenen und offenbar von den Anbietern noch nicht völlig beherrschten Probleme IP-basierender Systeme auszunutzen.

Deutsche Sicherheitsexperten hacken Smart Home Server erstmals aus der Ferne(Bild: Shutterstock/Denys Prykhodov)

Bislang war stets physischer Zugriff erforderlich, um Systeme zur Haus- und Gebäudeautomatisierung erfolgreich anzugreifen. Dafür hat das Unternehmen bereits zwei Produkte namens Erebos und Thanatos vorgestellt, die Anbieter von Systemen, die mit EIB und KNX arbeiten, nutzen können, um Schwächen zu identifizieren. Da diese Systeme aber zunehmend nicht mehr, zumindest nicht mehr nur, von einer zentralen Steuereinheit im Gebäude, sondern auch via App oder Cloud verwaltet werden können, bieten sich neue Angriffspunkte. Die hat Antago nun mit seinem Hack aufgezeigt.

Dazu wurde exemplarisch ein Angebot der Firma GIRA aus Radevormwald untersucht. Die Experten betonen aber, dass es auch ein anderes System hätte sein können, sie sich dieses aber aufgrund seiner weiten Verbreitung ausgesucht haben. Ansatzpunkt für den Angriff war das Portal, über das Nutzer aus der Ferne auf ihr System zugreifen können. Dort kann man sich mittels eines selbst definierten Alias oder einer einzigartigen Seriennummer anmelden. Davon machen nicht nur Benutzer, sondern häufig auch mit Wartungen beauftragte Installateure Gebrauch.

GIRA aus Radevormwald geriet als einer der führenden Anbeiter im Bereich Hausautomatisierung ins Visier der Hacker. Die betonen aber, dass sich vergleichbare Schwachstellen vermutlich auch bei Mitbewerbern finden lassen (Bild: GIRA).
GIRA aus Radevormwald geriet als einer der führenden Anbeiter im Bereich Hausautomatisierung ins Visier der Hacker. Die betonen aber, dass sich vergleichbare Schwachstellen vermutlich auch bei Mitbewerbern finden lassen (Bild: GIRA).

“Wird nun entweder der Alias oder die einzigartige Seriennummer eingegeben, werden Sie auf Ihr Gebäude weitergeleitet. Dort bietet Ihr Home- oder Facility-Server eine Webseite für den Login an. Um diese Assoziation herzustellen, meldet sich Ihr Server in regelmäßigen Abständen bei dem Portal der Firma Gira, um kontinuierlich die aktuelle IP-Adresse zu übermitteln. Haben Sie sich erfolgreich weiterleiten lassen, können Sie sich mit
Ihren Zugangsdaten an Ihrem Server anmelden und diesen fernsteuern”, schildert Antago-Experten Alexander Dörsam in dem Whitepaper (PDF).

Für den Angriff wählte Antago die Möglichkeit, sich per Seriennummer anzumelden. Potenziell gültige Seriennummern leiteten die Sicherheitsexperten aus einer Rückrufaktion ab. Mit einer Auswahl dieser Nummern wurde im zweiten Schritt über verteilte Anfragen tausende Seriennummern innerhalb weniger Sekunden mit der jeweils zugehörigen IP-Adresse über das Web-Portal abgefragt.

Als problematisch sieht Dörsam hier die Vorhersagbarkeit der Seriennummern und die Möglichkeit, deren Gültigkeit und die aktuell zugeordneten IP-Adressen massenhaft abzufragen. Somit erhielten die Angreifer eine Liste aktiver Seriennummern und eine Übersicht über alle aktiven Home- und Facility-Server und deren IP-Adresse.

Diese Listen konnten sie dann nutzen, um mittels eines Brute-Force-Angriffs mit einer sogenannten Dictionary Attack (auch Wörterbuchangriff) Zugangsdaten zu ermitteln. Auch hier stießen sie eigenen Angaben zufolge kaum auf Hindernisses.

Eine relativ leicht einzurichtende Hürde, die berechtigten Nutzern zudem kaum Umstände bereiten würde, wäre es zum Beispiel, nach einer dreimal falsch eingegebenen Kombination der Zugangsdaten eine Zwangspause von einigen Minuten zu verordnen. Damit würden dann derartige Brute-Force-Attacken erheblich verlangsamt und die Möglichkeit geschaffen, sie rechtzeitig zu entdecken.

Auch der Zwang, starke Passwörter zu vergeben, würde helfen. Das gilt insbesondere deshalb, weil bei einem durch Installateure und Endkunden unterstützten, nachfolgenden Feldversuch festgestellt wurde, dass eine große Anzahl an Kunden, das Standardpasswort nie verändert hat.

Laut Antago wäre es mit dem beschriebenen Ansatz zum Beispiel möglich, Gebäude massenhaft auszuschalten oder zu blockieren, im Winter Heizungen abzuschalten oder Alarmsysteme zu deaktivieren und Schließsysteme zu manipulieren. Es sei auch keineswegs auszuschließen, dass das am Beispiel des Herstellers GIRA demonstrierte Verfahren nicht bei anderen Herstellern ebenso oder zumindest ähnlich funktioniert.

Der betroffene Hersteller sei über die Schwachstellen und mögliche Lösungsansätze im Juni umfassend informiert worden. Auf Anfrage von ITespresso gab er jedoch heute keine Stellungnahme dazu ab, inwiefern bereits Gegenmaßnahmen getroffen und als wie schwerwiegend die gezeigten Missbrauchsmöglichkeiten von ihm eingestuft werden.

Update 20. November 10:05: Das Unternehmen GIRA hat inzwischen mitgeteilt, dass ihm kein Fall bekannt ist, bei dem das in dem Whitepaper beschriebene Angriffsszenario im Feld tatsächlich ausgenutzt wurde. Das Problem mit der Passwortsicherheit sei bereits vor der Kontaktaufnahme durch Antago bekannt gewesen. Man habe Errichter und Installateure darauf hingewiesen. Diese Aufklärungsarbeit werde nun jedoch verstärkt fortgeführt. Die von Antago beschriebene Lücke durch die Weiterleitung sei diese Woche behoben worden. Auch darüber seien Errichter, Installationspartner und Kunden informiert worden.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen