Tag Archives: internet of things

We are all doomed in the Internet of Things – and what we may can do to have a narrow escape.

IoT - Internet of Things Version 1.0

Dramatic headline. I know. First of all: don’t panic.

As it makes sense to act headless facing the more and more unsecure landscape of the Internet of Things. The Internet of Things is defect. It’s unsustainable by the fact of its technical, social and economical bugs in the system. And any effort trying to fix these bugs is waste of time and money.

I spent this year a lot of time on conferences discussing with developers and experts on how we can get more security into the Internet of Things. And I’ve heard honorable recommendations. From improving the quality in the supply chain, introducing certification, training developers and raising consumers awareness on trust and privacy. All this sounds reasonable and for sure these actions can increase security and privacy in the Internet of Things. But it will not remove the increasing security and privacy problems we rush into. Let me show the dilemma on three aspects:

Broken encryption chains:
Many threats we are facing in the Internet of Things are based upon insecure applications and protocol layers. Latest by heartbleed and blueborn the possibilities of broken cryptochains have raised dramatically. Even on chip level crypto and trust concepts are broken e.g. the RSA encryption of Intels TPM chipset hack or Zigbee AES_CMM attack. On a complex Internet of Things connected environment – with many different things connected – there is a high possibility to include unsecure broken encryption in the system. Furthermore, devices with unsecure chipsets cannot be patched and in absence of alternative solutions unsecure chipsets will be still build into products. In past and future broken encryption chains will be part of Internet of Things networks.

Society dilemma on “safty” vs. “strong encryption”:
Societies – especially national states – subjects to particular interests of their public stakeholders and citizens. Today proper encryption is an obstacle for intelligence and law enforcement. Which is a constrain this institutions goals to provide stable societies and advantages in nations competition. These superior goals are overriding the technical need of strong encrypted technical environments. Intelligences worldwide have been created a marketplace for Zero Date exploits. High economic incentives of intelligences by commercializing vulnerabilities is a blocker on fixing weak systems as fast as possible. Furthermore, today an arsenal of Zero Day Exploit is accumulated by institutions building advantages on their cyber weapons arsenals. That’s why in the past and in the future security holes will be seen as a necessary requirement to gain advantages in global competition. With weak encryption security is an illusion. There is no security in the Internet of Things. Shadow broker NSA hack has shown what will happen, when Exploits will be leaked from Institutions towards cyber criminals. Wannacry is a direct result of that dilemma.

Economy and cost savings do not like security:
You are not interested in a secure environment, even if you are a stakeholder in security industries. The insecure Internet of Things is a strong economic driver for security industries. What? May you think I am silly. But keep in mind that the IoT Mirai Botnet makers Anna-Senpai have a strong background on DDoS defence industries. On a certain point of competition, they decided that a powerful DDoS weapon is enabling multiple business opportunities. Once to convince customers to choose own DDoS protection services and second the ability to earn money as DDoS stresser service provider. But also, non-criminal business activities will lead into insecurity. It’s simply a fact, that security is an investment. In industrial production, a single product is a result of a complex supply chain with n-tier suppliers. On IoT products beginning from chipset manufacturers, microcontroller module providers up to App and Cloud software providers, all of them chained to a unique smart product. Each of them are in need of cost optimization. Each of them will keep an eye of cost effective security solutions on their particular business operation. There is no complete sight on security in the IoT supplier chain if the smart product is targeting cost sensitive markets as e.g. consumer goods.

We are doomed. What’s the consequence?

First of all, of course we should not stop working on sustainable solutions for the problems I’ve described above. But at all there are many facts that we should be pessimistic. So, our focus needs to be on how can we handle with insecurity than on trying to get rid of it. It’s a complete different attitude, when we accept that future Internet of Things eco system will be completely insecure and a privacy nightmare. Because by that we can strengthen our selves to manage.

We can face the challenges, for example by being be prepared that you (or your institution / company) can be pawnd any time over an Internet of Things attack. For that it’s better that you will rely your IT infrastructure on a compartment strategy – where you can shut off or isolate suspicious or harmful devices and services – without shutting off your complete smart environment and services. Next, it’s important to have a close eye on all ingoing and outgoing communication from your network and the connected devices. This must be possible under full control without dependencies of 3rd parties as ISPs. The dowse.eu project is one possible solution to provide such controlling and monitoring instance which can be operated independently, as you can run it in a small scale smart home or larger scale smart infrastructure as industry 4.0.

Keeping the control on data flows is the key not to be doomed.

Its better just to accept that the Internet of Things is unsecure and post privacy. Sounds hard, but if we focus on that we can work on better concepts to create secure and private spaces in an unsecure world.

Ob Kinderuhr oder Smart-TV: Big Brother kann bereits überall mithören

IoT hört mit - erlaubt und oftmals unerlaubt bis ins Kinderzimme

In der vergangenen Woche sorgte die Bundesnetzagentur für Schlagzeilen. Unter der Überschrift „Bundesnetzagentur geht gegen Kinderuhren mit Abhörfunktion vor“ griff die Behörde mit Sitz in Bonn ein ebenso kritisches wie bis dahin in der Öffentlichkeit kaum bekanntes Problem auf. Dabei sind Kinderuhren mit Abhörfunktion nur die Spitze eines Eisbergs.

Internet of Things-Experte Mirko Ross: „Generell gehören IoT Geräte verboten, die die Aktivierung des eingebauten Mikrofons nicht deutlich anzeigen“.

Der 44-jährige Experte aus Stuttgart, der jüngst durch die EU zum beratenden Experten für Sicherheit der European Union Agency for Network and Information Security (ENISA) berufen wurde, sieht in den von der Bundesnetzagentur kritisierten Kinderuhren nur die Spitze eines Eisbergs. Diese Uhren verfügen über eine SIM-Karte und eine eingeschränkte Telefoniefunktion, die über eine App eingerichtet und gesteuert werden. Eine solche Abhörfunktion wird häufig als „Babyphone“- oder „Monitorfunktion“ bezeichnet. Der App-Besitzer kann bestimmen, dass die Uhr unbemerkt vom Träger und dessen Umgebung eine beliebige Telefonnummer anruft. So wird er in die Lage versetzt, unbemerkt die Gespräche des Uhrenträgers und dessen Umfeld abzuhören. Eine derartige Abhörfunktion, die beispielsweise auch in der Schule zum Abhören von Lehrern benutzt werden kann, ist in Deutschland allerdings verboten. Die Bundesnetzagentur spricht hier von einer „unerlaubten Sendeanlage“.

Ross: „Geräte, die die Aktivierung eines eingebauten Mikrofons nicht anzeigen, gehören grundsätzlich verboten“.

Die Crux bestehe derzeit darin, dass diese Geräte zwar frei verkäuflich sind. Wer sie dann aber auch benutzt, beispielsweise in der Schule, der könne sich strafbar machen. Eltern sowie generell Konsumenten können folglich sehr schnell in die Falle tappen und im schlimmsten Fall vor Gericht landen.

Dabei sind die so genannten Smart Watches nur ein Teil der Gesamtproblematik. Smart-TV, diverse Haushaltsgeräte, Staubsauger-Roboter und viele Arten von elektronischem Kinderspielzeug bieten bereits heute Möglichkeiten zur Überwachung, von denen George Orwell in seinem legendären Buch ‚1984‘ („Big Brother is watching you“) nur träumen konnte.

Ross: „Wir müssen leider feststellen, dass das Abhören nicht mehr nur eine Sache von Staaten und Geheimdiensten ist. Potenzielle Wanzen sind heute in sehr vielen smarten Produkten enthalten. Manche Hersteller – oftmals aus Übersee – kümmern sich auch nicht um nationale Gesetze, die wie in Deutschland sehr strenge Regeln für das Überwachen per Mikrofon vorsehen. Und eindeutige länder- und grenzüberschreitende gesetzliche Regelungen sucht man vergebens.“

Die Bundesnetzagentur jedenfalls rät inzwischen Schulen, in den Klassenzimmern verstärkt auf Uhren mit Abhörfunktion zu achten. Käufer solcher Uhren fordert die Bundesnetzagentur auf, die Uhr zu vernichten und einen Nachweis hierüber an die Bundesnetzagentur zu senden.

Mirko Ross dazu: „Ein weiterer wichtiger und richtiger Schritt, nachdem bereits im Frühjahr die Spielzeugpuppe ‚Cayla‘ verboten worden war, die ebenfalls über ein Mikrofon und eine Funkverbindung verfügte“.

„Wir brauchen ein Warnlabel wie auf Zigarettenschachteln“

IoT Warning Product Label

Zwei Tage lang konferierten Europas führende IT-Experten bei der Europol-ENISA IoT Security Conference im niederländischen Den Haag. Zum wiederholten Mal waren erhebliche Sicherheitsrisiken und Bedrohungen aus dem World Wide Web Thema der Spezialisten.

Für digital worx Geschäftsführer Mirko Ross  zeichnet sich aktuell ein düsteres Szenario ab, dem man nach Ansicht des Beraters für Cybersicherheit nur noch mit drastischen Maßnahmen begegnen kann. Ross:

„Sorgen Hersteller nicht für mehr Sicherheit in ihren Produkten, dann brauchen wir ein Warnlabel, so wie das bei Tabak-Erzeugnissen und auf Zigarettenschachteln bereits selbstverständlich ist“.

Der 44-jährige reagiert damit auf die aktuellsten Erkenntnisse der Sicherheitskonferenz in Den Haag. Internationale Experten diskutierten in den Niederlanden zwei Tage lang über Bedrohungen, die sich vor allem für die Industrie, aber auch für Privatanwender im Internet der Dinge (IoT – Internet of Things) ergeben. „Wieder einmal haben wir gesehen, dass selbst scheinbar sichere Produkte Gefahren in sich bergen“, berichtet Ross. So erhielten Chips des Herstellers Infineon die Zertifizierung durch das Bundesamt für IT-Sicherheit (BSI). Nun stellte sich heraus, dass die in Ausweisen, Laptops und Krypto-Hardware verwendeten Chips mit RSA-Verschlüsselung unsicher sind und nach Ansicht der Experten mit vergleichsweise überschaubarem Aufwand geknackt werden können. Die Crux: das BSI hatte zertifiziert und Infineon offensichtlich einen Fehler bei der Implementierung gemacht.

Ein folgenschwerer Lapsus, wie sich nun herausstellte. Der Stuttgarter IT-Experte weiter:

„Wenn also selbst die von einer staatlichen Behörde zertifizierten Produkte unsicher sein können – worauf sollen sich Wirtschaft und Verbraucher eigentlich noch verlassen?“

Man könne sich des Eindrucks nicht erwehren, so Mirko Ross, dass die rasanten Fortschritte und die enorme Dramatik im Internet der Dinge nahezu unkontrollierbare Risiken nach sich zögen. Und dies gelte für alle gängigen Bereiche – egal, ob es Industrieroboter oder die smarte Vernetzung im neuen Eigenheim betrifft. Zum jetzigen Zeitpunkt müsse daher vor allem an die Vorsicht der User appelliert werden, ist sich der Experte sicher. Ross:

„Wir alle kennen die Warnhinweise auf Zigarettenaschachteln, die es bereits seit 2003 gibt. Auf etwas Ähnliches werden wir im Internet der Dinge auf Dauer kaum verzichten können – sofern sich die Industrie nicht auf die Einhaltung von hohen Sicherheitsstandards verpflichtet.“

Das auf das Internet der Dinge spezialisierte Botnet Mirai hatte bereits 2016 exemplarisch vorgeführt, dass unzureichend geschützte Geräte wie beispielsweise IP-Cameras sehr einfach für Cyberangriffe missbraucht werden können. Mirai hatte dabei lediglich die 61 häufigsten Hersteller-Passwörter von weit verbreiteten internetfähigen Geräten abgefragt, um die Geräte unter eigene Kontrolle zu bekommen. Das Botnet wuchs schnell auf über 500.000 gekaperte Geräte. Für IT-Experte Ross liegen mögliche Konsequenzen auf der Hand:

„Ich halte Labels auf Produktverpackungen von Internet-Geräten für möglich, die klipp und klar die Risiken aufzeigen, also beispielsweise: >Warnung – dieses Produkt kann für Datendiebstahl verwendet werden>“.

 

Mirko Ross berät die ENISA

Stuttgarter IT-Experte in Top-Gremium der Europäischen Union berufen.

Große Ehre für Geschäftsführer Mirko Ross vom Stuttgarter Software-Dienstleister digital worx: der 44-jährige wurde durch die EU zum beratenden Experten für Sicherheit im Internet der Dinge berufen. Er gehört künftig einem internationalen Gremium der European Union Agency for Network and Information Security (ENISA) an; der zentralen EU-Agentur für Cyber-Sicherheit.

Computerviren in der Hand von Terroristen oder international agierenden Banden: ein Schreckensszenario, das in den vergangenen Jahren mehr und mehr als reale Bedrohung wahrgenommen wird. Die mögliche Manipulation von Märkten, Wahlen oder militärischen Einrichtungen beschäftigt weltweit die Experten. Bereits im Jahr 2004 wurde zur Abwehr derartiger Bedrohungen die Agentur der Europäischen Union für Netzwerk- und Informationssicherheit (ENISA) gegründet.

ENISA ist ein Kompetenzzentrum für die Cyber-Sicherheit in Europa. Sie befindet sich in Griechenland mit Sitz in Heraklion (Kreta) und einem operativen Büro in Athen. Die ENISA wurde ins Leben gerufen, um die Netzwerk- und Informationssicherheit (network and information security / NIS) zu stabilisieren und damit zu einem ordnungsgemäßen Funktionieren des Binnenmarktes beizutragen. Die Agentur arbeitet eng mit den Mitgliedstaaten der EU und dem privaten Sektor zusammen, um Beratung und Lösungsvorschläge zu erbringen. Dazu gehören europaweite Cyber-Security-Übungen, die Entwicklung nationaler Cyber- Security-Strategien, die Zusammenarbeit und der Aufbau von Kapazitäten ebenso wie Studien über die sichere Cloud- Adoption, die sich mit Fragen des Datenschutzes befassen. Das Schützen der Privatsphäre bei neuen Technologien und die Identifizierung der Cyber-Bedrohungslandschaft sind weitere zentrale Aufgaben der Agentur.

„Ich freue mich sehr auf die Zusammenarbeit mit den international führenden Experten für Cyber-Sicherheit“, so Mirko Ross heute in Stuttgart.

Mirko Ross

Mirko Ross

Mirko Ross ist Gründungsgesellschafter und CEO der digital worx GmbH, einer mobilen Software Developing Company mit Sitz in Stuttgart-Vaihingen. 1998 gründete er sein erstes Unternehmen im Technologiebereich. Seit 2012 unterrichtet er Web Engineering und mobile Softwareentwicklung an der Hochschule Heilbronn.

Der 44-Jährige ist an öffentlichen und privaten Forschungsaktivitäten für offene Standards im Internet der Dinge beteiligt. Er ist Mitglied des Internet Of Things Council, einem weltweiten IoT Think Tank.

Im Rahmen des Internet- Programms der Europäischen Kommission unterstützt er Start- ups in den Bereichen eHealth und Industrial IoT.

Ransomware is not the biggest threat in the Internet of Things

data debates Berlin

No doubt, ransomware is a serious problem. And operators of critical infrastructures are doing well, to keep their system infrastructure up to date to prevent them from being high jacked of ransomware. Because the damage could be high, as we have seen when UK hospitals have been hit by Locky and Wannacry ramsomware.

I had the pleasure to listen to Francesco de Meo, CEO of Germany’s biggest private healthcare and clinic enterprise at the data debates event in Berlin. He pointed out that ransomware is one of the biggest security threat for hospitals and that IT security is highly aware to protect against it.

(c) Robbert van der Steeg / Flickr

(c) Robbert van der Steeg / Flickr

For sure he is wrong. Ransomware is a big threat, but also easy to defend. All you need is a proper implemented update process for you IT Systems.

The biggest threat for Hospitals are cyber weapons

In the past Hospitals have been always targets on warfare – irrespective of the Geneva Protocol or Hague Conventions. Even today we see hospitals hit in Syria by conventional weapons, with more over than 1000 airstrikes on 117 hospitals in 2016.

But if hospitals are a target on conventional warfare, what does it mean for cyber war?

It’s a serious consequence that they are priority targets for cyber weapons. As far we know from cyber weapons – their attacking vectors are much sophisticated. Using zero date exploits to intrude unnoticed by security guards, operating as sleeping agents waiting for remote commands and cover their tracks of attacker’s origin.

So how an ordinary hospital IT security infrastructure can prevent from being a target of cyber weapons?

They can’t.

Cyber commands worldwide are paying millions of dollars to acquire zero day exploits from black hat hacker markets. Cyber weapon carrier will not disclosure this exploits as are the “warheads” of cyber-attacks, providing a military advantage.

As long governmental programs will foster the undisclosure of zero day exploits, we are running into an unsecure internet infrastructure. That’s why the biggest threats for hospital is not ransomware. It’s military and intelligence attackers. No critical infrastructure can prevent from being hit unless we define a worldwide proscription of cyber weapons.

KATANA Bootcamp 08.07. in Stuttgart

The 100 best Start Up Companies out of more than 500 application for KATANA will meet at the KATANA Bootcamp in Stuttgart.

KATANA Bootcamp: 08.07. Stuttgart

KATANA Bootcamp: 08.07. Stuttgart

digital worx supports the winner and contributes to coaching sessions on Internet of Things – IoT for Agriculture Business. It’s our goal to form and find the best 10 Teams in KATANA, which can receive up to 100.000 Euro each!

Let’s prepare ideas and business to go for market at the KATANA Bootcamp 08.07. in Stuttgart!

More information about KATANA: www.katanaproject.eu

Vom Kuhstall ab in den online Shop

Beim Thema Landwirtschaft haben Viele noch das Bild vom idyllischen Hof und dem fleißigen Bauern im Kopf, der mit purer Muskelkraft Land und Vieh bearbeitet. Die moderne Agrarwirtschaft hat damit aber nicht mehr viel zu tun.

Schon längst haben technische Helfer Einzug gehalten, werden Arbeitsabläufe per Computer genau analysiert und das Stichwort Smart Farming macht die Runde – alles, um die größtmögliche Effizienz zu erreichen. Das EU-Projekt KATANA fördert innovative Ansätze auf dem Weg zur Agrartechnologie der Zukunft. Partner des Programms ist digital worx, Stuttgarter Softwareanbieter für webbasierte und mobile Anwendungen.

KATANA Storefront of IoT Platform to support selling of agrifood products

KATANA Storefront of IoT Platform to support vendors of agrifood products

digital worx hat bereits etliche Projekte rund um das Internet of Things (IoT) umgesetzt. Das Thema Landwirtschaft ist aber auch für die Stuttgarter neu, wie Geschäftsführer Mirko Ross berichte. Seitdem ist digital worx Partner des EU-Projekts KATANA und verantwortlich für den Aufbau einer IoT-Plattform für die Vermarktung von Agrarprodukten. Wie das konkret aussehen kann? „Hofläden können beispielsweise zukünftig Ihre Produkte über eigene Online-Shops, Apps und sogar im Auto verkaufen“ erklärt Ross.

Neben Lösungsangeboten wie der IoT-Plattform von digital worx läuft beim KATANA-Förderprojekt parallel ein Ideenwettbewerb. Die besten Ideen von Unternehmen und Start-Ups gesucht, die mit insgesamt 1,2 Millionen Euro gefördert werden. Darüber hinaus gibt es Coaching-Unterstützung, verschiedene Veranstaltungen sowie ein internationales Investmentforum, bei dem die Teilnehmer ihre Ideen potenziellen Partnern präsentieren können.

Weitere Informationen unter www.katanaproject.eu

Smart City Stuttgart kommt!

Was in Amsterdam innerhalb weniger Tage klappte, sollte in Stuttgart doch auch problemlos möglich sein – das dachten wir uns von digital worx und bringen „The Things Network“ zusammen mit bridging IT nach Deutschland.

Stuttgart - digital worx

digital worx bringt das The Things Network nach Stuttgart

Stuttgart ist die erste deutsche Stadt, die das unabhängige, freie und nur per Crowdfunding finanzierte Internet-of-Things-Netzwerk aufbaut.

Das Netzwerk macht sich eine neue kabellose Open-data-Verbindung namens LoRaWAN (Long Range Wide-area network) zunutze: Sie zeichnet sich durch einen niedrigen Energieverbrauch, eine geringe Bandbreite und einen Radius aus, der locker 10 km umfasst. Ein Anbieter ist nicht notwendig, die Verbindung funktioniert ohne 3G, WiFi oder Bluetooth.

Von Amsterdam aus erobert The Things Network die ganze Welt: Innerhalb kürzester Zeit reagierte die Internet-of-Things-Gemeinde auf den Impuls. Gruppen und Unternehmen aus São Paulo, London, Paris, Sydney, Boston oder Manchester schlossen sich an – und eben auch als erste Stadt in Deutschland nun Stuttgart. Sie begannen, eigene LoRaWAN-Projekte ins Leben zu rufen, die auf der The-Things-Network-Technologie basieren.

„Wir bauen gemeinsam das größte weltumspannende Netzwerk, um Gegenstände und Dinge mit dem Internet zu verbinden. Das Ganze im Geist echter Internet-Pioniere: frei zugänglich und auf Basis von Open-Source-Software. Es ist wunderbar, dass wir gemeinsam mit unserem Partner Bridging IT das The Things Network nach Stuttgart bringen können“ ,so Mirko Ross, Geschäftsführer von digital worx.

Die große Resonanz war für die Initiatoren, Wienke Giezeman und Johan Stokking aus Amsterdam, der endgültige Beweis, dass ein offenes, weltumspannendes und per Crowdfunding finanziertes Internet-of-Things-Netzwerk möglich ist – und das innerhalb kürzester Zeit.

Knappe drei Wochen vor Ende der Crowdfunding-Initiative bei Kickstarter hat das The Things Network das anvisierte Finanzierungsziel von 150.000 Euro erreicht – innerhalb der ersten 24 Stunden war die Hälft der angepeilten Summe bereits zusammengekommen. Schon jetzt hat das Netzwerk über 500 Unterstützer und zählt zu den erfolgreichsten Kickstarter-Kampagnen.

„Der Einstieg in The Things Network ist für begeisterte Selbstbauer schon unter 200 Euro möglich. Benötigt wird ein kleiner Arduino-Rechner und eine LoraWan-Funkkarte. Durch Kickstarter wird es möglich, die Hardware in Zukunft zu einem Viertel dieses Preises und für den Betrieb fertig konfiguriert zu erwerben“, so Ross.

Soft- wie auch Hardware des Netzwerks folgen dem Open-Source-Prinzip. Die über Kickstarter finanzierte Hardware soll ab Juli 2016 erhältlich sein.

The Things Network - Stuttgart - digital worxHierbei werden Lösungen zu erschwinglichen Preisen zwischen 60 und 200 Euro entwickelt, wie zum Beispiel The Things Gateway: Der Router mit einer Reichweite von rund 10 km ist recht kompakt und sehr einfach und ohne Tüftlerkenntnisse zu installieren.

Er kann bis zu 10.000 Knotenpunkte bedienen und ist wie alle Hardware-Komponenten auf Sicherheit ausgelegt: LoRaWAN verwendet eine 128-bit-AES-Verschlüsselung auf beiden Seiten. Die Netzwerkschlüssel sind zudem einzigartig pro Knotenpunkt.

Die Einsatzmöglichkeiten für das The Things Network sind breit gefächert, von der smarten Türklingel über das Sicherheitssystem bis hin zu anderen praktischen Alltagshelfern.

Bisher bereits umgesetzte Projekte sind zum Beispiel: Der Tracker für das Fahrrad – das Device wird einfach am Fahrrad befestigt, per App lässt sich der Standort überprüfen oder zum Beispiel ein Alarm einstellen, sollte das Rad bewegt werden. Innovativ ist auch die Umsetzung im Tierschutz: Meist haben Anti-Wilderer-Einheiten in Simbabwe keine Möglichkeit, einander sofort und effektiv über Vorfälle zu informieren. Mittels einer informativen Online-Karte können wichtige Informationen sofort markiert werden, die einzelnen Teams können schneller eingreifen und im Nachgang lassen sich Muster der Wilderer analysieren.

Weitere Informationen gibt es hier:
http://thethingsnetwork.org/c/stuttgart

Die Crowdfunding-Aktion läuft noch bis 20. November bei Kickstarter:

1 2