summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
-rw-r--r--updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md122
1 files changed, 122 insertions, 0 deletions
diff --git a/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md
new file mode 100644
index 00000000..0fb5acae
--- /dev/null
+++ b/updates/2019/update-nicht-verfugbar-hersteller-nicht-zu-erreichen.md
@@ -0,0 +1,122 @@
1title: Update nicht verfügbar: Hersteller nicht zu erreichen
2date: 2019-05-07 13:44:16
3updated: 2019-05-07 13:44:16
4author: linus
5tags:
6
7<li>Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet.</li>
8<li>Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen.</li>
9<li>Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.</li>
10
11<!-- TEASER_END -->
12
13Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller
14Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer
15Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in
16Überwachungskameras an einen deutschen Hersteller zu melden:
17
18- **Hochkritisch:** CVE-2018-17558, Fixe Administrator-Benutzerkennung
19 mit Befehlsausführung
20- **Kritisch:** CVE-2018-16739, Lese- und Schreibzugriff und
21 Befehlsausführung als root
22- **Kritisch:** CVE-2018-17879, Direkte Ausführung von Nutzereingaben
23- **Kritisch:** CVE-2018-17878, Code-Ausführung mittels Buffer
24 Overflow
25- **Schwerwiegend:** CVE-2018-17559, Unautorisierter Zugriff auf
26 Video-Stream
27
28Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad
29„\@A2nkF\_“, Alexander "twink0r" Karl und Martin "maride" Dessauer. Sie
30betreffen netzwerkbasierte Überwachungskameras, die laut
31Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So
32weit, so gewöhnlich.
33
34Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der
35üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der
36Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der
37Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der
38Lage, diese zu beseitigen.
39
40Bei der Herstellung der Geräte kam ein Digital Signal Processor eines
41Drittanbieters zum Einsatz – es handelte sich also um sogenannte
42"Whitelabel"-Produkte.
43
44## **Updates nicht möglich**
45
46Zur Erstellung eines funktionierenden Updates wird eine
47Entwicklungsumgebung des taiwanesischen Produzenten *Grain Media*
48benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden.
49Der taiwanesische Produzent [hatte inzwischen die Besitzer
50gewechselt](http://www.grain-media.com) und konnte auch nicht mehr damit
51dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für
52automatische Updates bereitsteht, erschwert darüber hinaus eine
53effiziente und effektive Beseitigung der Schwachstellen.
54
55Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher
56nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht
57mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher
58entschieden, betroffenen Kunden ein "kostengünstiges Austauschprogramm"
59anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren
60kritischen Sicherheitslücken versehenen Geräte können gegen modernere
61Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine
62zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert.
63
64"Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten
65ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere
66Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den
67sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden
68ganz im Regen stehen lassen", sagte Linus Neumann, Sprecher des Chaos
69Computer Clubs.
70
71## Kein Einzelfall
72
73Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen
74politischen Forderungen Nachruck zu verleihen:
75
761. ***Hersteller-Haftung*** für einen fahrlässigen Umgang mit
77 Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten
78 führen. Insbesondere im IoT-Bereich ist "fire and forget" keine
79 nachhaltige Geschäftsstrategie.
802. ***Update-Zwang und Mindesthaltbarkeitsdatum*:** Mit dem Internet
81 verbundene Geräte sollten für einen garantierten Mindestzeitraum mit
82 Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der
83 IT-Security, sondern auch eine ökologische Frage.
843. ***Open Source Alternativen*:** Viele IoT-Geräte könnten technisch
85 problemlos mit moderner quelloffener Firmware sicherer betrieben
86 werden. Das Einspielen solcher Alternativen sollte für Konsumenten
87 zwingend möglich sein; insbesondere wenn der Hersteller das Produkt
88 nicht mehr mit Updates versorgt.
89
90Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen
91haben wir unter anderem bereits bei den Konsultationen zur "Technischen
92Richtlinie Router" des Bundesamts für Sicherheit in der
93Informationstechnik angebracht. (link ccc-PM) Leider fanden wir auch
94dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir, auch andere
95Hersteller an ihre Verantwortung und an drohende hohe Kosten zu
96erinnern.
97
98## Betroffene Geräte (Herstellerangabe)
99
100Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller
101die betroffene Firmware des Produzenten "Grain Media" einsetzen.
102
103Folgende Geräte des deutschen Herstellers ABUS sind betroffen.
104[Informationen zum Hersteller-Austauschprogramm gibt es
105hier](https://www.abus-sc.de/DE/Ueber-uns/Infopages/Austauschprogramm-fuer-Kameraserie).
106
1071. *Kompaktkameras:\
108 *TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050,
109 TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000,
110 TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551,
111 TVIP11552
1122. *Schwenk-/Neigekameras:\
113 *TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050,
114 TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552,
115 TVIP22500
1163. *Innendome Kameras:\
117 *TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550,
118 TVIP31551, TVIP32500
1194. *Boxkameras:\
120 *TVIP51500, TVIP51550
1215. *Außendomekamera:\
122 *TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500