committing page revision 1

author: linus <linus@berlin.ccc.de> 2019-05-07 13:44:16 +0000
committer: linus <linus@berlin.ccc.de> 2020-05-23 13:40:20 +0000
commit: 119c786d11550d67c9cfe06ae993f8ad5f8840b0 (patch)
tree: 94b2a061fa771fb76253410613b1b034299516c7 /updates/2019
parent: 76b15a3b9588fb9ff969ec4d1c67786340e20a16 (diff)
1 files changed, 122 insertions, 0 deletions
diff --git a/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md
new file mode 100644
index 00000000..0fb5acae
--- /dev/null
+++ b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md
@@ -0,0 +1,122 @@
+title: Update nicht verfügbar: Hersteller nicht zu erreichen
+date: 2019-05-07 13:44:16 
+updated: 2019-05-07 13:44:16 
+author: linus
+tags: 
+<li>Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet.</li>
+<li>Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen.</li>
+<li>Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.</li>
+<!-- TEASER_END -->
+Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller
+Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer
+Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in
+Überwachungskameras an einen deutschen Hersteller zu melden:
+-   **Hochkritisch:** CVE-2018-17558, Fixe Administrator-Benutzerkennung
+    mit Befehlsausführung
+-   **Kritisch:** CVE-2018-16739, Lese- und Schreibzugriff und
+    Befehlsausführung als root
+-   **Kritisch:** CVE-2018-17879, Direkte Ausführung von Nutzereingaben
+-   **Kritisch:** CVE-2018-17878, Code-Ausführung mittels Buffer
+    Overflow
+-   **Schwerwiegend:** CVE-2018-17559, Unautorisierter Zugriff auf
+    Video-Stream
+Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad
+„\@A2nkF\_“, Alexander "twink0r" Karl und Martin "maride" Dessauer. Sie
+betreffen netzwerkbasierte Überwachungskameras, die laut
+Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So
+weit, so gewöhnlich.
+Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der
+üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der
+Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der
+Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der
+Lage, diese zu beseitigen.
+Bei der Herstellung der Geräte kam ein Digital Signal Processor eines
+Drittanbieters zum Einsatz – es handelte sich also um sogenannte
+"Whitelabel"-Produkte.
+## **Updates nicht möglich**
+Zur Erstellung eines funktionierenden Updates wird eine
+Entwicklungsumgebung des taiwanesischen Produzenten *Grain Media*
+benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden.
+Der taiwanesische Produzent [hatte inzwischen die Besitzer
+gewechselt](http://www.grain-media.com) und konnte auch nicht mehr damit
+dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für
+automatische Updates bereitsteht, erschwert darüber hinaus eine
+effiziente und effektive Beseitigung der Schwachstellen.
+Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher
+nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht
+mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher
+entschieden, betroffenen Kunden ein "kostengünstiges Austauschprogramm"
+anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren
+kritischen Sicherheitslücken versehenen Geräte können gegen modernere
+Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine
+zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert.
+"Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten
+ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere
+Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den
+sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden
+ganz im Regen stehen lassen", sagte Linus Neumann, Sprecher des Chaos
+Computer Clubs.
+## Kein Einzelfall
+Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen
+politischen Forderungen Nachruck zu verleihen:
+1.  ***Hersteller-Haftung*** für einen fahrlässigen Umgang mit
+    Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten
+    führen. Insbesondere im IoT-Bereich ist "fire and forget" keine
+    nachhaltige Geschäftsstrategie.
+2.  ***Update-Zwang und Mindesthaltbarkeitsdatum*:** Mit dem Internet
+    verbundene Geräte sollten für einen garantierten Mindestzeitraum mit
+    Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der
+    IT-Security, sondern auch eine ökologische Frage.
+3.  ***Open Source Alternativen*:** Viele IoT-Geräte könnten technisch
+    problemlos mit moderner quelloffener Firmware sicherer betrieben
+    werden. Das Einspielen solcher Alternativen sollte für Konsumenten
+    zwingend möglich sein; insbesondere wenn der Hersteller das Produkt
+    nicht mehr mit Updates versorgt.
+Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen
+haben wir unter anderem bereits bei den Konsultationen zur "Technischen
+Richtlinie Router" des Bundesamts für Sicherheit in der
+Informationstechnik angebracht. (link ccc-PM) Leider fanden wir auch
+dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir, auch andere
+Hersteller an ihre Verantwortung und an drohende hohe Kosten zu
+erinnern.
+## Betroffene Geräte (Herstellerangabe)
+Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller
+die betroffene Firmware des Produzenten "Grain Media" einsetzen.
+Folgende Geräte des deutschen Herstellers ABUS sind betroffen.
+[Informationen zum Hersteller-Austauschprogramm gibt es
+hier](https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie).
+1.  *Kompaktkameras:\
+    *TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050,
+    TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000,
+    TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551,
+    TVIP11552
+2.  *Schwenk-/Neigekameras:\
+    *TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050,
+    TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552,
+    TVIP22500
+3.  *Innendome Kameras:\
+    *TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550,
+    TVIP31551, TVIP32500
+4.  *Boxkameras:\
+    *TVIP51500, TVIP51550
+5.  *Außendomekamera:\
+    *TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500
author	linus <linus@berlin.ccc.de>	2019-05-07 13:44:16 +0000
committer	linus <linus@berlin.ccc.de>	2020-05-23 13:40:20 +0000
commit	119c786d11550d67c9cfe06ae993f8ad5f8840b0 (patch)
tree	94b2a061fa771fb76253410613b1b034299516c7 /updates/2019
parent	76b15a3b9588fb9ff969ec4d1c67786340e20a16 (diff)

diff --git a/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md new file mode 100644 index 00000000..0fb5acae --- /dev/null +++ b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md
@@ -0,0 +1,122 @@
	1	title: Update nicht verfügbar: Hersteller nicht zu erreichen
	2	date: 2019-05-07 13:44:16
	3	updated: 2019-05-07 13:44:16
	4	author: linus
	5	tags:
	6
	7	<li>Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet.</li>
	8	<li>Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen.</li>
	9	<li>Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.</li>
	10
	11	<!-- TEASER_END -->
	12
	13	Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller
	14	Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer
	15	Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in
	16	Überwachungskameras an einen deutschen Hersteller zu melden:
	17
	18	- Hochkritisch: CVE-2018-17558, Fixe Administrator-Benutzerkennung
	19	mit Befehlsausführung
	20	- Kritisch: CVE-2018-16739, Lese- und Schreibzugriff und
	21	Befehlsausführung als root
	22	- Kritisch: CVE-2018-17879, Direkte Ausführung von Nutzereingaben
	23	- Kritisch: CVE-2018-17878, Code-Ausführung mittels Buffer
	24	Overflow
	25	- Schwerwiegend: CVE-2018-17559, Unautorisierter Zugriff auf
	26	Video-Stream
	27
	28	Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad
	29	„\@A2nkF\_“, Alexander "twink0r" Karl und Martin "maride" Dessauer. Sie
	30	betreffen netzwerkbasierte Überwachungskameras, die laut
	31	Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So
	32	weit, so gewöhnlich.
	33
	34	Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der
	35	üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der
	36	Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der
	37	Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der
	38	Lage, diese zu beseitigen.
	39
	40	Bei der Herstellung der Geräte kam ein Digital Signal Processor eines
	41	Drittanbieters zum Einsatz – es handelte sich also um sogenannte
	42	"Whitelabel"-Produkte.
	43
	44	## Updates nicht möglich
	45
	46	Zur Erstellung eines funktionierenden Updates wird eine
	47	Entwicklungsumgebung des taiwanesischen Produzenten Grain Media
	48	benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden.
	49	Der taiwanesische Produzent [hatte inzwischen die Besitzer
	50	gewechselt](http://www.grain-media.com) und konnte auch nicht mehr damit
	51	dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für
	52	automatische Updates bereitsteht, erschwert darüber hinaus eine
	53	effiziente und effektive Beseitigung der Schwachstellen.
	54
	55	Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher
	56	nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht
	57	mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher
	58	entschieden, betroffenen Kunden ein "kostengünstiges Austauschprogramm"
	59	anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren
	60	kritischen Sicherheitslücken versehenen Geräte können gegen modernere
	61	Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine
	62	zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert.
	63
	64	"Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten
	65	ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere
	66	Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den
	67	sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden
	68	ganz im Regen stehen lassen", sagte Linus Neumann, Sprecher des Chaos
	69	Computer Clubs.
	70
	71	## Kein Einzelfall
	72
	73	Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen
	74	politischen Forderungen Nachruck zu verleihen:
	75
	76	1. *Hersteller-Haftung* für einen fahrlässigen Umgang mit
	77	Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten
	78	führen. Insbesondere im IoT-Bereich ist "fire and forget" keine
	79	nachhaltige Geschäftsstrategie.
	80	2. **Update-Zwang und Mindesthaltbarkeitsdatum:** Mit dem Internet
	81	verbundene Geräte sollten für einen garantierten Mindestzeitraum mit
	82	Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der
	83	IT-Security, sondern auch eine ökologische Frage.
	84	3. **Open Source Alternativen:** Viele IoT-Geräte könnten technisch
	85	problemlos mit moderner quelloffener Firmware sicherer betrieben
	86	werden. Das Einspielen solcher Alternativen sollte für Konsumenten
	87	zwingend möglich sein; insbesondere wenn der Hersteller das Produkt
	88	nicht mehr mit Updates versorgt.
	89
	90	Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen
	91	haben wir unter anderem bereits bei den Konsultationen zur "Technischen
	92	Richtlinie Router" des Bundesamts für Sicherheit in der
	93	Informationstechnik angebracht. (link ccc-PM) Leider fanden wir auch
	94	dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir, auch andere
	95	Hersteller an ihre Verantwortung und an drohende hohe Kosten zu
	96	erinnern.
	97
	98	## Betroffene Geräte (Herstellerangabe)
	99
	100	Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller
	101	die betroffene Firmware des Produzenten "Grain Media" einsetzen.
	102
	103	Folgende Geräte des deutschen Herstellers ABUS sind betroffen.
	104	[Informationen zum Hersteller-Austauschprogramm gibt es
	105	hier](https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie).
	106
	107	1. *Kompaktkameras:\
	108	*TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050,
	109	TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000,
	110	TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551,
	111	TVIP11552
	112	2. *Schwenk-/Neigekameras:\
	113	*TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050,
	114	TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552,
	115	TVIP22500
	116	3. *Innendome Kameras:\
	117	*TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550,
	118	TVIP31551, TVIP32500
	119	4. *Boxkameras:\
	120	*TVIP51500, TVIP51550
	121	5. *Außendomekamera:\
	122	*TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500