From 119c786d11550d67c9cfe06ae993f8ad5f8840b0 Mon Sep 17 00:00:00 2001 From: linus Date: Tue, 7 May 2019 13:44:16 +0000 Subject: committing page revision 1 --- ...icht-verfugbar-hersteller-nicht-zu-erreichen.md | 122 +++++++++++++++++++++ 1 file changed, 122 insertions(+) create mode 100644 updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md (limited to 'updates/2019') diff --git a/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md new file mode 100644 index 00000000..0fb5acae --- /dev/null +++ b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md @@ -0,0 +1,122 @@ +title: Update nicht verfügbar: Hersteller nicht zu erreichen +date: 2019-05-07 13:44:16 +updated: 2019-05-07 13:44:16 +author: linus +tags: + +
  • Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet.
    • +
  • Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen.
    • +
  • Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.
    • + + + +Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller +Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer +Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in +Überwachungskameras an einen deutschen Hersteller zu melden: + +- **Hochkritisch:** CVE-2018-17558, Fixe Administrator-Benutzerkennung + mit Befehlsausführung +- **Kritisch:** CVE-2018-16739, Lese- und Schreibzugriff und + Befehlsausführung als root +- **Kritisch:** CVE-2018-17879, Direkte Ausführung von Nutzereingaben +- **Kritisch:** CVE-2018-17878, Code-Ausführung mittels Buffer + Overflow +- **Schwerwiegend:** CVE-2018-17559, Unautorisierter Zugriff auf + Video-Stream + +Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad +„\@A2nkF\_“, Alexander "twink0r" Karl und Martin "maride" Dessauer. Sie +betreffen netzwerkbasierte Überwachungskameras, die laut +Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So +weit, so gewöhnlich. + +Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der +üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der +Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der +Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der +Lage, diese zu beseitigen. + +Bei der Herstellung der Geräte kam ein Digital Signal Processor eines +Drittanbieters zum Einsatz – es handelte sich also um sogenannte +"Whitelabel"-Produkte. + +## **Updates nicht möglich** + +Zur Erstellung eines funktionierenden Updates wird eine +Entwicklungsumgebung des taiwanesischen Produzenten *Grain Media* +benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden. +Der taiwanesische Produzent [hatte inzwischen die Besitzer +gewechselt](http://www.grain-media.com) und konnte auch nicht mehr damit +dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für +automatische Updates bereitsteht, erschwert darüber hinaus eine +effiziente und effektive Beseitigung der Schwachstellen. + +Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher +nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht +mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher +entschieden, betroffenen Kunden ein "kostengünstiges Austauschprogramm" +anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren +kritischen Sicherheitslücken versehenen Geräte können gegen modernere +Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine +zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert. + +"Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten +ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere +Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den +sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden +ganz im Regen stehen lassen", sagte Linus Neumann, Sprecher des Chaos +Computer Clubs. + +## Kein Einzelfall + +Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen +politischen Forderungen Nachruck zu verleihen: + +1. ***Hersteller-Haftung*** für einen fahrlässigen Umgang mit + Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten + führen. Insbesondere im IoT-Bereich ist "fire and forget" keine + nachhaltige Geschäftsstrategie. +2. ***Update-Zwang und Mindesthaltbarkeitsdatum*:** Mit dem Internet + verbundene Geräte sollten für einen garantierten Mindestzeitraum mit + Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der + IT-Security, sondern auch eine ökologische Frage. +3. ***Open Source Alternativen*:** Viele IoT-Geräte könnten technisch + problemlos mit moderner quelloffener Firmware sicherer betrieben + werden. Das Einspielen solcher Alternativen sollte für Konsumenten + zwingend möglich sein; insbesondere wenn der Hersteller das Produkt + nicht mehr mit Updates versorgt. + +Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen +haben wir unter anderem bereits bei den Konsultationen zur "Technischen +Richtlinie Router" des Bundesamts für Sicherheit in der +Informationstechnik angebracht. (link ccc-PM) Leider fanden wir auch +dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir, auch andere +Hersteller an ihre Verantwortung und an drohende hohe Kosten zu +erinnern. + +## Betroffene Geräte (Herstellerangabe) + +Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller +die betroffene Firmware des Produzenten "Grain Media" einsetzen. + +Folgende Geräte des deutschen Herstellers ABUS sind betroffen. +[Informationen zum Hersteller-Austauschprogramm gibt es +hier](https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie). + +1. *Kompaktkameras:\ + *TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050, + TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000, + TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551, + TVIP11552 +2. *Schwenk-/Neigekameras:\ + *TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050, + TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552, + TVIP22500 +3. *Innendome Kameras:\ + *TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550, + TVIP31551, TVIP32500 +4. *Boxkameras:\ + *TVIP51500, TVIP51550 +5. *Außendomekamera:\ + *TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500 -- cgit v1.2.3