Die Sicherheit von IoT-Firmware wird nach wie vor stark vernachlässigt, obwohl bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Mit der Analyseplattform IoT Inspector steht Herstellern und Anwendern ein hilfreiches Werkzeug zur Verfügung, um die Firmware von IoT-Geräten automatisiert auf potenzielle Schwachstellen und Sicherheitslücken zu untersuchen. Wie schnell, effektiv und gründlich diese Analyse erfolgt, erklären die IoT.Inspector-Experten auf der diesjährigen it-sa am Exclusive-Networks-Partnerstand #316 in Halle 9.
Erst vor wenigen Wochen konnte das Forscher-Team rund um den IoT Inspector die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen: Auf mehreren Zyxel-WLAN-Access-Points der Serie NWA, NAP und WAC identifizierte der automatisierte Scan einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort. Diese Anmeldedaten können von Unbefugten dazu verwendet werden, sich in den FTP-Server des Access-Points einzuloggen und die gesamte WLAN-Konfiguration, d.h. alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.
„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, so Rainer M. Richter, Director Channel beim IoT Inspector. „Dafür ist letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem IoT Inspector nötig. Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwendiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout. Diese Rechnung sollten sich die Hersteller stets vor Augen halten.“
Bei Live-Präsentationen am Exclusive-Networks-Partnerstand (Halle 9, #316) können sich die it-sa-Besucher selbst überzeugen, wie effektiv und nutzerfreundlich der Einsatz der Plattform ist, und bei Interesse sogar eine Demo-Lizenz für das Testen einer IoT-Firmware im eigenen Unternehmen mitnehmen.
#Netzpalaver #IoTInspector
