Der Aufstand der Maschinen hat begonnen - mit Lego
Mittwoch, 20.1.2016, 09:21 > daMax
Vom "Internet of Things" habt ihr vielleicht schon mal gehört. Verkürzt ausgedrückt will uns dieser Kampfbegriff sagen, dass inzwischen immer mehr "Dinge" ans Internet angeschlossen werden (Webcams, Pulsmesser, Hausthermostate, Kühlschränke). Das führt natürlich zu paradiesischen Zuständen für Viren und Malware, da viele dieser Plastegeräte absolut unzureichend vor Angriffen geschützt sind.
Wie derbe sich das inzwischen in der Praxis auswirkt, ist neulich im Heise-Labor aufgefallen, als sich deren Lego-Mindstorms-Roboter mit einem Telnet-Wurm infizierten.
Ende September warnte uns unser Provider, dass aus dem Netz unserer Forschungseinrichtung ein Portscan durchgeführt wurde. Auf der Suche nach dem Verursacher stellte sich zu unserer Verwunderung heraus, dass die angegebenen IP-Adressen nicht zu einem Arbeitsplatzrechner gehörten, sondern zu den Steuereinheiten des Robotik-Baukastens Lego Mindstorms EV3 [..] Um der Sache auf den Grund zu gehen, richteten wir ein MacBook über die Internetfreigabe als Accesspoint ein und verbanden die EV3-Steuerungen damit. [...] Die Geräte scannten tatsächlich große IP-Adressbereiche auf Port 23, dem Standardport für Telnet. Da wir ausschließen konnten, dass diese Scans von unserem Code verursacht wurden, mussten wir ab diesem Zeitpunkt davon ausgehen, dass die Steuercomputer des dänischen Spielzeugherstellers mit einem Schädling befallen sind. [...] Es zeigte sich, dass auf den Geräten ein Telnet-Server läuft, an dem man sich als "root" anmelden kann – ganz ohne Passwort
Das wird noch lustig in nächster Zeit.
(Bild: RK Bentley [CC BY-NC-ND])
(via rzkoepke)
Artikel als RSS
Sicherheit von elektronischen Geräten wird überbewertet.
Jeder Admin weiß, dass jede Möglichekit, von außen auf ein Gerät zuzugreifen, ein potentielles Risiko darstellt und zum Schaden des Systems ausgenutzt wird, so nicht rechtzeitig Gegenmaßnahmen ergriffen werden.
Ist ein Fernzugriff unbedingt nötig, so muss dieser abgesichert werden, möglichst restriktiv.
Ist ein Fernzugriff nicht erforderlich, so muss dieser unterbunden werden.
Entsprechendes gilt für die Netzwerkanbindung an sich.
Aber da kann man sich ja den Mund fusselich reden, das interessiert die Schlipsträger nicht, alles muss von (seinem) zuhause erreichbar sein und am besten mit ohne Passwort oder so, weil ist ja anstrengend.
Surprise, anyone?
@JoyntSoft, 1
100% ACK.
Es gab mal Zeiten, so bis vor ca. 10-15 Jahren, da konnte man so grundsätzliche Wahrheiten auch in der c't lesen. Inzwischen hat sich die aktuelle Redaktion im Heise-Verlag vollends den Gadgets und dem Smart-$HASTENICHGESEHN hingegeben. Kritische technische und fundamentale Reflektion von IT und deren Betrieb in der Hoheit DER NUTZER ist aus der Mode. Stattdessen gibt es bestenfalls Consumer-Händchenhalten bei Softwareaktivierung und klickbaren Einstellungen.
Benutzergängelung und -entrechtung via Internetzwang, Datenausleitung, "Aktivierungpflicht", Einschränkungen in der Nutzbarkeit der Hardware (UEFI, SecureBoot), das wäre bis vor einer Weile von denen - zu Recht - in der Luft zerrissen worden. Tempi passati.
Und nun erfahren wir, daß sie von Dritten, ihrem Provider, darauf hingewiesen werden müssen, daß sie eigenmächtig agierende Software in ihren Spielzeugen am Start haben. Was ein Niedergang! Die machen sich nicht einmal mehr die Mühe, den ganzen Consumerkram aus Industriehand einzusperren und/oder zu beaufsichtigen.
Personal Note: Ich habe nach 30 Jahren Abo zum Jahreswechsel gekündigt und mit diesem blamablen Glanzstück im Hause Heise fühle ich mich vollends bestätigt. Ich glaube nicht, daß die mich in Sachen IT noch ernsthaft weiterbringen können. Viel Spaß noch mit dem Kühlschrank, der Spam verschickt, der Barbie, die die Kindergespräche zum Hersteller schickt und dem Auto, das selbsttätig Termine mit der Vertragswerkstatt bucht.
Nachtrag & Korrektur: Bei genauem Lesen des Artikels geht nirgendwo expressis verbis hervor, daß es sich um das Heise-Labor gehandelt hat.
@]v[ax: Dein Teaser ist diesbezüglich irreführend.
Der Kram liest sich eher so, als ob da jemand Drittes seine Erlebnisse via Heise ans Publikum bringt. Anyway, soviel Gottvertrauen in Consumer-IT ist mindestens mal grob fahrlässig. Und das in einem High-Tec Labor, wie der Autor mehrfach betont. Naja, das ist wohl symptomatisch für die Art von High-Tec, die uns überall aufgenötigt wird.
Meiner Bewertung der Heise-Publikationen hinsichtlich des sinkenden Niveaus nimmt das zwar eine Spitze, aber die beklagte Tendenz bleibt bestehen.
@OldFart: Is wohl Heise selbst:
"Ende September warnte uns unser Provider, dass aus dem Netz unserer Forschungseinrichtung ein Portscan durchgeführt wurde."
Auch aus dem weiteren Text lese ich das heraus.
Webcams, Pulsmesser, Hausthermostate, Kühlschränke ...Gehirne. Was kann DA schon schief gehen.