Videomitschnitt des Vortrags

Vortrag verpasst?
Kein Problem mit CCC-Media!

Der Live-Vortrag am 28.12.2018 wurde vom CCC aufgenommen und wird nun im Internet gestreamt. Der Vortrag wurde simultan übersetzt, sodass die Videoaufzeichnung in den Sprachen deutsch, englisch und spanisch zur Verfügung steht.

Unter media.ccc.de haben Sie auch die Möglichkeit weitere spannende Vorträge auch aus den letzten Jahren des Chaos Communication Congress anzusehen.

Vortrag auf der 35C3 in Leipzig

Wenn smarte Lampen dumm aussehen

Unter dem Titel „Smart Home – Smart Hack; Wie der Weg ins digitale Zuhause zum Spaziergang wird“ offenbart Michael Steigerwald, einer der Gründer der VTRUST-GmbH, Ende Dezember auf dem diesjährigen Chaos Communication Congress (35C3) heikle Entdeckungen, die in immer mehr Haushalten zum Thema werden. Gelten Sprachassistenten und vernetzte Beleuchtung als Renner im Weihnachtsgeschäft, wird nur selten über deren Auswirkungen auf die digitale Privatsphäre ihrer Nutzer gesprochen.

Nachfolgend finden Sie alle wichtigen Informationen zum Vortrag sowie im Nachgang das Review, bestehend aus den gewonnenen Erkenntnissen, Ergebnissen und der vorgestellten Lösungen.

Wie der Weg ins digitale Zuhause zum Spaziergang wird

Mehr als 10.000 Device-Hersteller aus aller Welt verwenden die Basis-Plattform (WIFI-Modul, Cloud, App) eines einzigen Unternehmens zur technischen Umsetzung ihrer Smart-Home-Produkte. Die Analyse dieser Basis zeigt erhebliche Sicherheitsmängel auch konzeptioneller Natur und somit diverse Angriffspunkte, von denen Millionenen Smart Devices betroffen sind.

Der Vortrag stellt die Funktionsweise smarter Geräte im Zusammenhang mit der genannten Basis-Plattform dar, zeigt das Ausmaß der Sicherheitslücken anhand diverser Angriffsszenarien und bietet der Community eine Lösung für die sichere Nutzung der betroffenen Geräte.

Für die dem Vortrag zu Grunde liegenden Tests wurden verschiedenste Glühbirnen und Steckdosen verschiedener Hersteller online bestellt und untersucht. Dabei fiel sofort auf, dass sehr oft ein ESP8266 (sehr kostengünstiger 32-Bit-Mikrocontroller mit integriertem 802.11 b/g/n Wi-Fi) der chinesischen Firma espressif verwendet wird.

Weitere Untersuchungen zeigten, dass neben dem verwendeten WIFI-Modul, unabhängig vom aufgedruckten Hersteller der Smart-Devices, auch dieselbe Cloud, sowie die gleiche Basis-App eines chinesischen IoT-Modul-Herstellers verwendet wird. Diese Basis-Plattform ermöglicht somit jedem weltweit in kürzester Zeit selbst zum Reseller von bereits fertigen Produkten, wie „Smart Bulbs“ und „Smart Plugs“ zu werden, oder seine ganz eigenen Smart-Devices auf den Markt zu bringen, auch ohne den Besitz tieferer technischer Kenntnisse bezüglich IoT oder IT-Sicherheit. Die Analyse der “Smart”-Devices, die diese Basis-Plattform verwenden, ist allgemein erschreckend. Einfachste Sicherheitsregeln werden nicht befolgt und es gibt gravierende systematische und konzeptionelle Mängel, die stark zu Lasten der Sicherheit der Endanwender gehen.

Aufgrund der einfachen Möglichkeit des Bezugs und Inverkehrbringens solcher Smart-Devices sind ganz neuartige kriminelle Konzepte denkbar, die auch ohne großes Experten-Hacker-Wissen in die Tat umgesetzt werden könnten. Der Vortrag stellt die Funktionsweise der untersuchten smarten Geräte im Zusammenhang mit der verwendeten Basis-Plattform dar und zeigt das Ausmaß der Sicherheitslücken anhand diverser Angriffsszenarien. Abschließend wird eine Lösung des Sicherheitsdilemmas bei der Verwendung betroffener Smart-Devices angeboten, welche die sichere Nutzung dieser Geräte im eigenen Zuhause, auch für Nichtexperten, möglich macht.

Folge auf Twitter

Aktuelles zum Vortrag:

@ms_vtrust

Ergebnisse und Review des Vortrags

Wie im Vortrag versprochen, veröffentlichen wir hier im Nachgang die Ergebnisse des Vortrags in Form der Vortragsfolien im PDF-Format, der verwendeten Skripte sowie eine Anleitung zur sicheren Nutzung verschiedener betroffener Devices.

In Zusammenarbeit mit der C’t-Redaktion wurden die verwendeten Skripte entsprechend aufbereitet und die Anleitung für das Verwenden der Devices ohne die Hersteller-Cloud entwickelt.

Speaker

Michael Steigerwald

Geschäftsführender Gesellschafter VTRUST GmbH
Dipl. Ing. Elektro- und Informationstechnik

Schon während seines Studiums zum Dipl. Ing. Elektro- und Informatiostechnik, war Michael Steigerwald Consultant für kleine und mittelständige Unternehmen im Bereich Netzwerktechnik und -sicherheit, bevor er unter anderem für Pay-TV Anbieter im Bereich Hard- und Software für Reverse-Engineering und Sicherheitsevaluierung tätig war.
Seit Jahren beschäftigt er sich mit dem Thema Smart Home und setzt dieses auch privat in großem Umfang ein. Die Aufgabe der Sicherstellung der IT-Sicherheit im Zuhause ist ihm somit bestens bekannt.

Was ist der Chaos Communication Congress 35C3?

Der 35C3, die jährliche Fachkonferenz und Hackerparty des Chaos Computer Clubs (CCC), findet dieses Jahr vom 27. bis zum 30. Dezember im CCL in Leipzig bereits zum 35. mal statt. Der mit über 15.000 Teilnehmern größte Hacker-Kongress Europas unter dem diesjährigen Motto „35C3: Refreshing Memories“ betrachtet vor allem die Themenschwerpunkte Informationstechnologie, Netze, Computersicherheit sowie die Make-Szene, beschäftigt sich darüber hinaus aber auch mit dem kritisch-schöpferischen Umgang mit Technologie und deren Auswirkungen auf unsere Gesellschaft.

Was ist der CCC?

Der Chaos Computer Club e. V. (CCC) ist die größte europäische Hackervereinigung und seit über dreißig Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen. Der Club besteht aus dezentralen lokalen Vereinen und Gruppen, welche regelmäßige Veranstaltungen und Treffen in vielen deutschsprachigen Städten organisieren. Die Aktivitäten des CCC reichen von technischer Forschung, Kampagnen, Veranstaltungen, Politikberatung, Pressemitteilungen und Publikationen bis zum Betrieb von Anonymisierungsdiensten und Kommunikationsmitteln.

Wir haben Ihr Interesse geweckt?

Bleiben Sie auf dem Laufenden und melden Sie sich gleich für den kostenlosen VTRUST-Newsletter an.

Die aktuelle Datenschutzerklärung finden Sie hier.
Sie können sich jederzeit unter dem in jedem Newsletter angegebenen Link vom Newsletter abmelden.