• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Der Lego Digital Designer ist endgültig tot *Updat ...

von Carsten Dobschat

Next Story
Sennheiser Ambeo soll Audio für Virtual Reality op ...

von Mika Baumeister

Attacke per Lego – Vollzugriff aufs Netzwerk über IoT-Spielzeug

von Carsten Dobschat am 21. Januar 2016
  • Email
  • @dobschat

Die Lego-Roboter greifen an? Klingt dramatischer als es ist, wobei es andererseits dann doch dramatischer ist, als man beim Stichwort Lego glauben könnte. Denn bei dem Angriff handelt es sich nun nicht um Attacken von aus den Plastik-Klötzchen gebauten Killermaschinen, sondern um einen Netzwerkangriff durch den Steuercomputer Lego Mindstorms EV3. Dieses kleine Kästchen ermöglicht es Mindstorms Modelle zu steuern und zu programmieren. Mit Hilfe von Lego Mindstorms wurden schon einige beeindruckende Roboter gebaut.

Dieser Steuercomputer enthält einen ARM-Prozessor, 64MB RAM und läuft mit einem Embedded Linux. Mit einem USB-WLAN-Stick lässt er sich auch ins Netz bringen und hier beginnt dann das Problem, denn die Entwickler bei Lego haben diese Möglichkeit offensichtlich nicht in Betracht gezogen oder schlicht und ergreifend ignoriert. Anders ist es nicht zu erklären, dass auf dem Rechner ein Telnet-Server läuft. Ohne Passwort. Mit root-Rechten. Wem das alles nichts sagt: root ist quasi Gott in einem Linux-System (ja, es gibt Möglichkeiten auch den User root einzuschränken, aber das würde jetzt hier zu weit führen und diese Möglichkeiten hat Lego auch nicht genutzt), wer root auf einem Linux-Server ist, der hat die volle Kontrolle über die Maschine. Telnet nun wiederum ist eine sehr alte, und nicht verschlüsselte Möglichkeit sich auf Kommandozeilenebene mit einem System zu verbinden. Wer heute einen Linux-Server betreibt und hier Telnet-Zugang gewährt, der gehört an sich geschlagen. Wirklich. Wenn man diese beiden Zutaten nimmt und das mit einem nicht gesetzten Passwort für den User root kombiniert, dann hat man den Super-GAU in Sachen Systemsicherheit.

Da kann doch nichts passieren, ist doch nur Spielzeug

Es sollte sich inzwischen eigentlich herumgesprochen haben, dass es sich dabei kaum noch um ein Spielzeug handelt, zu komplex sind die Möglichkeiten. Im bei heise dokumentierten Fall sieht man auch recht deutlich, dass die Sache gefährlicher ist als man denkt. Beschrieben wird die Verseuchung von EV3 Computern durch einen Telnet-Wurm in einer Forschungseinrichtung. Dort wird Lego Mindstorm eben nicht in der Kindertagesstätte (so es eine gibt) eingesetzt, sondern tatsächlich in wissenschaftlichen Projekten. Es bietet sich ja auch an, der Aufbau von Robotern mit Lego ist trotz der Komplexität von Mindstorms recht simpel und günstig machbar.

Aber offensichtlich dachte man dort genau so wenig wie bei Lego in Dänemark an die Möglichkeit eines externen Angriffs und so wurde man dort erst nach einer Warnung durch den Provider auf das Problem aufmerksam. Zwar mag der Angriff in diesem Fall glimpflich verlaufen sein, aber Tatsache bleibt: Es wurden Rechner im internen Netz kompromittiert. Und da man in Dänemark bei Lego erst einmal beschlossen hat zu schweigen, nachdem man das Problem immerhine eingestanden hat und eine Lösung suchen wollte, kann man jedem Lego Mindstorm Nutzer nur dringend raten, den EV3 ausschließlich hinter einer Firewall zu betreiben, die den Zugriff streng reglementiert.

Vorsicht vor Löchern im Smart-Home

Und auch jeder andere sollte sich so seine Gedanken machen: Denn das viel gepriesene „Internet of Things“ und die „Versmartung“ von immer mehr Lebensbereichen bringt auch Gefahren für jeden von uns. Es mag zwar noch harmlos sein, wenn der Nachbar mal eben seine Musik auf die eigene Stereoanlage streamt, spätestens wenn er dann aber anfängt am Thermostat rumzuspielen kommt man ins Schwitzen (oder man friert). Fernseher, diverse Streaming-Boxen- und Sticks, Stereoanlage, Steckdosen, Lampen, Rauchmelder, Kameras… die Zahl der Geräte und Sensoren, die in so einem „Smart-Home“ am Netz hängen wird immer größer. Und natürlich ist es auch ungemein bequem dem Handy zu sagen „Ich gehe ins Bett“, worauf der Fernseher im Wohnzimmer aus- und der im Schlafzimmer eingeschaltet wird, in Zeiten längerer Abwesenheit per Google Kalender ein bisschen Light-Show in der Wohnung zu machen, damit man von aussen denkt, es wäre jemand im Haus oder die Beleuchtungsfarbe via IFTTT zu ändern wenn eine neue Mail eingeht.

Die Möglichkeiten sind schier unbegrenzt, die Vernetzung schafft großartige Möglichkeiten und da immer mehr dieser Geräte direkt im WLAN hängen, steigt die Zahl möglicher Einfallstore über Sicherheitslücken natürlich auch. Es müssen ja nicht immer grobe Designfehler sein, wie im Fall von Lego.

P.S.: Ja, streng genommen handelt es sich bei den beiden Figuren im Beitragsbild nicht um Roboter, sondern einmal um die Hulkbuster-Rüstung von Iron Man und einen Sentinel. Wobei es im Marvel-Universum auch Roboter-Varianten des Mutanten-Jägers gab, die ohne menschliche Besatzung agierten.

Internet of Things Security
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
3. Februar 2022
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
21. Januar 2022
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
Neueste Tests
8.6
Wer sich einmal für die Body+ entschieden hat, kann sich auf eine gut verarbeitete und zuverlässige ...
Withings Body+ im Test: Interessante Einblicke in den eigenen Körper
29. März 2021
Withings Body+ im Test: Interessante Einblicke in den eigenen Körper
8.5
Der Xiaomi Flower Care eignet sich perfekt für Zimmerpflanzen, aber selbst im Garten stellt der Sens ...
Xiaomi Flower Care Smart Sensor im Test: Grüner Daumen dank Technik
26. Juni 2019
Xiaomi Flower Care Smart Sensor im Test: Grüner Daumen dank Technik
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
7.4
Ihr wundert euch vielleicht, aber obwohl ich so viele Probleme damit hatte, die Tado nach meinen Wün ...
Tado Smart AC Test: So wird eure alte Klimaanlage smart
28. September 2017
Tado Smart AC Test: So wird eure alte Klimaanlage smart

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing