diff options
author | linus <linus@berlin.ccc.de> | 2019-05-07 13:44:16 +0000 |
---|---|---|
committer | linus <linus@berlin.ccc.de> | 2020-05-23 13:40:20 +0000 |
commit | 119c786d11550d67c9cfe06ae993f8ad5f8840b0 (patch) | |
tree | 94b2a061fa771fb76253410613b1b034299516c7 | |
parent | 76b15a3b9588fb9ff969ec4d1c67786340e20a16 (diff) |
committing page revision 1
-rw-r--r-- | updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md | 122 |
1 files changed, 122 insertions, 0 deletions
diff --git a/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md new file mode 100644 index 00000000..0fb5acae --- /dev/null +++ b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md | |||
@@ -0,0 +1,122 @@ | |||
1 | title: Update nicht verfügbar: Hersteller nicht zu erreichen | ||
2 | date: 2019-05-07 13:44:16 | ||
3 | updated: 2019-05-07 13:44:16 | ||
4 | author: linus | ||
5 | tags: | ||
6 | |||
7 | <li>Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet.</li> | ||
8 | <li>Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen.</li> | ||
9 | <li>Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.</li> | ||
10 | |||
11 | <!-- TEASER_END --> | ||
12 | |||
13 | Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller | ||
14 | Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer | ||
15 | Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in | ||
16 | Überwachungskameras an einen deutschen Hersteller zu melden: | ||
17 | |||
18 | - **Hochkritisch:** CVE-2018-17558, Fixe Administrator-Benutzerkennung | ||
19 | mit Befehlsausführung | ||
20 | - **Kritisch:** CVE-2018-16739, Lese- und Schreibzugriff und | ||
21 | Befehlsausführung als root | ||
22 | - **Kritisch:** CVE-2018-17879, Direkte Ausführung von Nutzereingaben | ||
23 | - **Kritisch:** CVE-2018-17878, Code-Ausführung mittels Buffer | ||
24 | Overflow | ||
25 | - **Schwerwiegend:** CVE-2018-17559, Unautorisierter Zugriff auf | ||
26 | Video-Stream | ||
27 | |||
28 | Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad | ||
29 | „\@A2nkF\_“, Alexander "twink0r" Karl und Martin "maride" Dessauer. Sie | ||
30 | betreffen netzwerkbasierte Überwachungskameras, die laut | ||
31 | Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So | ||
32 | weit, so gewöhnlich. | ||
33 | |||
34 | Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der | ||
35 | üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der | ||
36 | Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der | ||
37 | Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der | ||
38 | Lage, diese zu beseitigen. | ||
39 | |||
40 | Bei der Herstellung der Geräte kam ein Digital Signal Processor eines | ||
41 | Drittanbieters zum Einsatz – es handelte sich also um sogenannte | ||
42 | "Whitelabel"-Produkte. | ||
43 | |||
44 | ## **Updates nicht möglich** | ||
45 | |||
46 | Zur Erstellung eines funktionierenden Updates wird eine | ||
47 | Entwicklungsumgebung des taiwanesischen Produzenten *Grain Media* | ||
48 | benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden. | ||
49 | Der taiwanesische Produzent [hatte inzwischen die Besitzer | ||
50 | gewechselt](http://www.grain-media.com) und konnte auch nicht mehr damit | ||
51 | dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für | ||
52 | automatische Updates bereitsteht, erschwert darüber hinaus eine | ||
53 | effiziente und effektive Beseitigung der Schwachstellen. | ||
54 | |||
55 | Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher | ||
56 | nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht | ||
57 | mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher | ||
58 | entschieden, betroffenen Kunden ein "kostengünstiges Austauschprogramm" | ||
59 | anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren | ||
60 | kritischen Sicherheitslücken versehenen Geräte können gegen modernere | ||
61 | Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine | ||
62 | zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert. | ||
63 | |||
64 | "Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten | ||
65 | ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere | ||
66 | Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den | ||
67 | sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden | ||
68 | ganz im Regen stehen lassen", sagte Linus Neumann, Sprecher des Chaos | ||
69 | Computer Clubs. | ||
70 | |||
71 | ## Kein Einzelfall | ||
72 | |||
73 | Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen | ||
74 | politischen Forderungen Nachruck zu verleihen: | ||
75 | |||
76 | 1. ***Hersteller-Haftung*** für einen fahrlässigen Umgang mit | ||
77 | Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten | ||
78 | führen. Insbesondere im IoT-Bereich ist "fire and forget" keine | ||
79 | nachhaltige Geschäftsstrategie. | ||
80 | 2. ***Update-Zwang und Mindesthaltbarkeitsdatum*:** Mit dem Internet | ||
81 | verbundene Geräte sollten für einen garantierten Mindestzeitraum mit | ||
82 | Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der | ||
83 | IT-Security, sondern auch eine ökologische Frage. | ||
84 | 3. ***Open Source Alternativen*:** Viele IoT-Geräte könnten technisch | ||
85 | problemlos mit moderner quelloffener Firmware sicherer betrieben | ||
86 | werden. Das Einspielen solcher Alternativen sollte für Konsumenten | ||
87 | zwingend möglich sein; insbesondere wenn der Hersteller das Produkt | ||
88 | nicht mehr mit Updates versorgt. | ||
89 | |||
90 | Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen | ||
91 | haben wir unter anderem bereits bei den Konsultationen zur "Technischen | ||
92 | Richtlinie Router" des Bundesamts für Sicherheit in der | ||
93 | Informationstechnik angebracht. (link ccc-PM) Leider fanden wir auch | ||
94 | dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir, auch andere | ||
95 | Hersteller an ihre Verantwortung und an drohende hohe Kosten zu | ||
96 | erinnern. | ||
97 | |||
98 | ## Betroffene Geräte (Herstellerangabe) | ||
99 | |||
100 | Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller | ||
101 | die betroffene Firmware des Produzenten "Grain Media" einsetzen. | ||
102 | |||
103 | Folgende Geräte des deutschen Herstellers ABUS sind betroffen. | ||
104 | [Informationen zum Hersteller-Austauschprogramm gibt es | ||
105 | hier](https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie). | ||
106 | |||
107 | 1. *Kompaktkameras:\ | ||
108 | *TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050, | ||
109 | TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000, | ||
110 | TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551, | ||
111 | TVIP11552 | ||
112 | 2. *Schwenk-/Neigekameras:\ | ||
113 | *TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050, | ||
114 | TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552, | ||
115 | TVIP22500 | ||
116 | 3. *Innendome Kameras:\ | ||
117 | *TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550, | ||
118 | TVIP31551, TVIP32500 | ||
119 | 4. *Boxkameras:\ | ||
120 | *TVIP51500, TVIP51550 | ||
121 | 5. *Außendomekamera:\ | ||
122 | *TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500 | ||