Ob Kinderuhr oder Smart-TV: Big Brother kann bereits überall mithören

IoT hört mit - erlaubt und oftmals unerlaubt bis ins Kinderzimme

In der vergangenen Woche sorgte die Bundesnetzagentur für Schlagzeilen. Unter der Überschrift €žBundesnetzagentur geht gegen Kinderuhren mit Abhörfunktion vor€œ griff die Behörde mit Sitz in Bonn ein ebenso kritisches wie bis dahin in der Öffentlichkeit kaum bekanntes Problem auf. Dabei sind Kinderuhren mit Abhörfunktion nur die Spitze eines Eisbergs.

Internet of Things-Experte Mirko Ross: €žGenerell gehören IoT Geräte verboten, die die Aktivierung des eingebauten Mikrofons nicht deutlich anzeigen€œ.

Der 44-jährige Experte aus Stuttgart, der jüngst durch die EU zum beratenden Experten für Sicherheit der European Union Agency for Network and Information Security (ENISA) berufen wurde, sieht in den von der Bundesnetzagentur kritisierten Kinderuhren nur die Spitze eines Eisbergs. Diese Uhren verfügen über eine SIM-Karte und eine eingeschränkte Telefoniefunktion, die über eine App eingerichtet und gesteuert werden. Eine solche Abhörfunktion wird häufig als €žBabyphone€œ- oder €žMonitorfunktion€œ bezeichnet. Der App-Besitzer kann bestimmen, dass die Uhr unbemerkt vom Träger und dessen Umgebung eine beliebige Telefonnummer anruft. So wird er in die Lage versetzt, unbemerkt die Gespräche des Uhrenträgers und dessen Umfeld abzuhören. Eine derartige Abhörfunktion, die beispielsweise auch in der Schule zum Abhören von Lehrern benutzt werden kann, ist in Deutschland allerdings verboten. Die Bundesnetzagentur spricht hier von einer €žunerlaubten Sendeanlage€œ.

Ross: €žGeräte, die die Aktivierung eines eingebauten Mikrofons nicht anzeigen, gehören grundsätzlich verboten€œ.

Die Crux bestehe derzeit darin, dass diese Geräte zwar frei verkäuflich sind. Wer sie dann aber auch benutzt, beispielsweise in der Schule, der könne sich strafbar machen. Eltern sowie generell Konsumenten können folglich sehr schnell in die Falle tappen und im schlimmsten Fall vor Gericht landen.

Dabei sind die so genannten Smart Watches nur ein Teil der Gesamtproblematik. Smart-TV, diverse Haushaltsgeräte, Staubsauger-Roboter und viele Arten von elektronischem Kinderspielzeug bieten bereits heute Möglichkeiten zur Überwachung, von denen George Orwell in seinem legendären Buch €š1984€˜ (€žBig Brother is watching you€œ) nur träumen konnte.

Ross: €žWir müssen leider feststellen, dass das Abhören nicht mehr nur eine Sache von Staaten und Geheimdiensten ist. Potenzielle Wanzen sind heute in sehr vielen smarten Produkten enthalten. Manche Hersteller – oftmals aus Übersee – kümmern sich auch nicht um nationale Gesetze, die wie in Deutschland sehr strenge Regeln für das Überwachen per Mikrofon vorsehen. Und eindeutige länder- und grenzüberschreitende gesetzliche Regelungen sucht man vergebens.€œ

Die Bundesnetzagentur jedenfalls rät inzwischen Schulen, in den Klassenzimmern verstärkt auf Uhren mit Abhörfunktion zu achten. Käufer solcher Uhren fordert die Bundesnetzagentur auf, die Uhr zu vernichten und einen Nachweis hierüber an die Bundesnetzagentur zu senden.

Mirko Ross dazu: €žEin weiterer wichtiger und richtiger Schritt, nachdem bereits im Frühjahr die Spielzeugpuppe €šCayla€˜ verboten worden war, die ebenfalls über ein Mikrofon und eine Funkverbindung verfügte€œ.

€žWir brauchen ein Warnlabel wie auf Zigarettenschachteln€œ

IoT Warning Product Label

Zwei Tage lang konferierten Europas führende IT-Experten bei der Europol-ENISA IoT Security Conference im niederländischen Den Haag. Zum wiederholten Mal waren erhebliche Sicherheitsrisiken und Bedrohungen aus dem World Wide Web Thema der Spezialisten.

Für digital worx Geschäftsführer Mirko Ross  zeichnet sich aktuell ein düsteres Szenario ab, dem man nach Ansicht des Beraters für Cybersicherheit nur noch mit drastischen Maßnahmen begegnen kann. Ross:

€žSorgen Hersteller nicht für mehr Sicherheit in ihren Produkten, dann brauchen wir ein Warnlabel, so wie das bei Tabak-Erzeugnissen und auf Zigarettenschachteln bereits selbstverständlich ist€œ.

Der 44-jährige reagiert damit auf die aktuellsten Erkenntnisse der Sicherheitskonferenz in Den Haag. Internationale Experten diskutierten in den Niederlanden zwei Tage lang über Bedrohungen, die sich vor allem für die Industrie, aber auch für Privatanwender im Internet der Dinge (IoT €“ Internet of Things) ergeben. €žWieder einmal haben wir gesehen, dass selbst scheinbar sichere Produkte Gefahren in sich bergen€œ, berichtet Ross. So erhielten Chips des Herstellers Infineon die Zertifizierung durch das Bundesamt für IT-Sicherheit (BSI). Nun stellte sich heraus, dass die in Ausweisen, Laptops und Krypto-Hardware verwendeten Chips mit RSA-Verschlüsselung unsicher sind und nach Ansicht der Experten mit vergleichsweise überschaubarem Aufwand geknackt werden können. Die Crux: das BSI hatte zertifiziert und Infineon offensichtlich einen Fehler bei der Implementierung gemacht.

Ein folgenschwerer Lapsus, wie sich nun herausstellte. Der Stuttgarter IT-Experte weiter:

€žWenn also selbst die von einer staatlichen Behörde zertifizierten Produkte unsicher sein können €“ worauf sollen sich Wirtschaft und Verbraucher eigentlich noch verlassen?€œ

Man könne sich des Eindrucks nicht erwehren, so Mirko Ross, dass die rasanten Fortschritte und die enorme Dramatik im Internet der Dinge nahezu unkontrollierbare Risiken nach sich zögen. Und dies gelte für alle gängigen Bereiche €“ egal, ob es Industrieroboter oder die smarte Vernetzung im neuen Eigenheim betrifft. Zum jetzigen Zeitpunkt müsse daher vor allem an die Vorsicht der User appelliert werden, ist sich der Experte sicher. Ross:

€žWir alle kennen die Warnhinweise auf Zigarettenaschachteln, die es bereits seit 2003 gibt. Auf etwas Ähnliches werden wir im Internet der Dinge auf Dauer kaum verzichten können – sofern sich die Industrie nicht auf die Einhaltung von hohen Sicherheitsstandards verpflichtet.€œ

Das auf das Internet der Dinge spezialisierte Botnet Mirai hatte bereits 2016 exemplarisch vorgeführt, dass unzureichend geschützte Geräte wie beispielsweise IP-Cameras sehr einfach für Cyberangriffe missbraucht werden können. Mirai hatte dabei lediglich die 61 häufigsten Hersteller-Passwörter von weit verbreiteten internetfähigen Geräten abgefragt, um die Geräte unter eigene Kontrolle zu bekommen. Das Botnet wuchs schnell auf über 500.000 gekaperte Geräte. Für IT-Experte Ross liegen mögliche Konsequenzen auf der Hand:

€žIch halte Labels auf Produktverpackungen von Internet-Geräten für möglich, die klipp und klar die Risiken aufzeigen, also beispielsweise: >Warnung €“ dieses Produkt kann für Datendiebstahl verwendet werden>€œ.

 

Digitale Medien in der psychischen Versorgung?

Digitale Medien in der psychischen Versorgung (c) gewi-Institut für Gesundheitswirtschaft e.V.

Im Rahmen der KölnBonner Woche für seelische Gesundheit sowie des Europäischen Monats der Cyber-Sicherheit fand am 11. Oktober 2017 die Veranstaltung “Digitale Medien in der psychischen Versorgung statt.

Die Regionalen Innovationsnetzwerke “IT-Sicherheit” (Institut für Internet-Sicherheit an der Westfälischen Hochschule) und “Gesundes Altern” (gewi-Institut für Gesundheitswirtschaft e.V.) luden ein, den Anstieg sowie die Chancen und Herausforderungen von Apps, Internetprogrammen, Wearables und Co im Einsatz in der psychischen Versorgung zu diskutieren.

Nach einer Begrüßung durch die Gastgeberin, Sabine Goetzke-Zimmermann, Verwaltungsleiterin der Tagesklinik Alteburger Straße gGmbH, führte Dr. Alexia Zurkuhlen, HRCB Projekt GmbH, in die Veranstaltung ein. Im Rahmen ihrer Moderation forderte sie die Teilnehmer auf, die Thematik stets kritisch aus zwei Blickwinkeln zu betrachten: aus der Versorgungsperspektive aber auch aus der Perspektive der Daten- und Internetsicherheit.

Mit einem Bericht aus der klinischen Versorgung nahm Frau Dr. Elisabeth Rohrbach die Teilnehmer sehr praxisnah in den Versorgungsalltag mit und beschrieb die Motivation, aus der heraus sie bzw. die Klinik sich dem Thema Digitalisierung annimmt. EDV-gestützte Kommunikation, Wissensvermittlung über vorhandene Online-Angebote, Selbstmanagement der Patienten sowie die Überbrückung von Wartezeiten bis zur Therapie sieht sie als Chance für Ihren eigenen Arbeitsalltag sowie für die Patientenversorgung. Die Datensicherheit ist dabei unbedingt zu gewährleisten, stellt aber auch eine anspruchsvolle Aufgabe an alle Beteiligten. Der Einsatz digitaler Medien sollte aber vor allem als Ergänzung zur Therapie herangezogen und therapieunterstützend eingesetzt werden. Der persönliche Kontakt zum Patienten sei besonders in ihrem Fachbereich das wichtigste Werkzeug der Therapie.

Spannende Einblicke in die Entwicklung und Erforschung aus der Perspektive eines Softwareentwicklers gewährte Mirko Ross, digital worx Stuttgart. Mit seinem provokanten Titel, dass Apps in der Therapie veraltet sind und es in der Entwicklung bereits um einen empathischen digitalen Assistenten geht, verdeutlichte er, inwiefern technische Lösungen heute schon in das Lebens- und Therapieumfeld eines Betroffenen integriert werden können. Erfahrungen aus vorangegangenen Projekten fließen nun in die aktuelle Arbeit im Projekt MITASSIST ein, welches vom Bundesministerium fuür Bildung und Forschung gefördert wird. €ž[€¦] interaktive körpernahe Medizintechnik [€¦] soll die Lücke zwischen stationärer Behandlung und ambulanter Therapie durch psychotherapeutische Feedbacks schließen.€œ )

Daran schloss sich der Vortrag von Matteo Cagnazzo, Institut für Internet-Sicherheit, an. Einleitend betonte er, dass der digitale Wandel in der Gesellschaft und eine generelle Technikbegeisterung in vielen Lebenslagen einen verantwortungsbewussten Umgang mit sensiblen Daten – privat und professionell – fordern. Beispiele von Hackerangriffen und Datendiebstählen belegen dies. Umso wichtiger sei die Entwicklung von vertrauenswürdiger Hard-und Software sowie die Weiterentwicklung verlässlicher Standards zum elektronischen Austausch von Daten zwischen Informationssystemen im Gesundheitswesen, welcher sich das Team des Instituts im Rahmen unterschiedlichster Projekte widmet.

Als Ärztin für Medizinische Informatik schlug Frau Dr. Czeschik, Serapion Beratung & Fachredaktion, im Anschluss die Brücke zwischen Versorgung, Entwicklung und Forschung hin zu der Rolle der Patienten. €žGebt mir meine Daten!€œ verdeutlicht den wachsenden Einfluss der e-Patienten-Bewegung. Kritisch hinterfragte sie, auch mit Blick auf Finanzierung und Patientenrechte, die Rolle der Patienten, Leistungserbringer und Unternehmen bei der Aufbereitung und Analyse der Daten. Neue Möglichkeiten der Teilhabe können meist aber wegen technischer Unzulänglichkeiten noch nicht umfänglich genutzt werden. Abschließend erläuterte sie ganz praktisch das Konzept der Blockchain, welche zur Verbesserung der Transaktionssicherheit beitragen kann.

Im Anschluss an die Vorträge stellten sich die Referenten in einer Podiumsdiskussion den Fragen der Moderatorin sowie der Teilnehmer: Woher kommt der Boom im Bereich der digitalen Medien in der psychischen Versorgung? In der Frage waren sich die Referenten einig, dass dies durch verschiedene Faktoren bedingt wird, sei es Entwicklermotiviert, woraus sich aber auch durch ein positives Feedback der Patienten eine Nachfrage ergibt, sei es gefördert durch die systemische Ebene von Seiten der Ministerien oder der Berufsverbände der Psychologen, Psychotherapeuten und Psychiater.

Eine Frage aus dem Publikum nach der Verantwortung für eine vertrauenswürdige Lösung für z.B. Kliniken wird seitens des Podiums bestätigt. Technische Lösungen würden häufig nicht kundenorientiert, und damit nicht dem Klinikalltag entsprechend, entwickelt.
Die Frage auf das Recht der Datenhoheit beim Patienten stellt sich aus ärztlicher Perspektive, besonders im Bereich der Psychiatrie aufgrund von teilweise fehlender Kompetenz der Einordnung sowie des Ziels der Dokumentation als schwierig dar.
Über die Frage, ob eine Künstliche Intelligenz (KI) den Therapeuten ersetzen kann entsteht eine rege Diskussion auf dem Podium. Eine KI hat den Vorteil, dass sie unabhängig von persönlichen Befindlichkeiten eine neutrale Rolle einnehmen kann und ihr damit u.U. auch mehr anvertraut wird. Problematisch wird dies, wenn die KI ökonomisch motiviert agiert. Außerdem kritisch aus ärztlicher Sicht stellt sich bei einer KI die fehlende empathische Ebene eines menschlichen Therapeuten dar, welche eines der zentralen Mittel in der Therapeut-Patient-Beziehung ist.

Vermieden werden muss beim Einsatz digitaler Medien unbedingt eine Diskriminierung von Patienten aufgrund z.B. ihres Alters oder ihrer Vorbildung. Bei der Etablierung neuer Medien in den Versorgungsalltag kommt Multiplikatoren, die Möglichkeiten aufzeigen und Medienkompetenz vermitteln, eine zentrale Rolle zu.

  • Den Sprachgebrauch anpassen,
  • €žÜbersetzen€œ von Fachinformationen,
  • Lösungen einfacher gestalten,
  • mehr finanzielle Ressourcen aufbringen,
  • Vermeiden zusätzlicher Bürokratisierung,
  • Daten- und IT-Sicherheit gewährleisten
  • und vor allem eine hohe Benutzerfreundlichkeit schaffen

diese Forderungen und To-dos resümieren die Referenten abschließend in einem Ausblick an alle Akteure, sodass sich Diagnostik, Behandlung und Therapie in der (psychischen) Versorgung verlässlich und sicher auf digitale Medien stützen können.

Ein Beitrag von Hannah Muranko, M.Sc. Wissenschaftliche Mitarbeiterin gewi-Institut für Gesundheitswirtschaft e.V.

Die unterschätzte Gefahr : wenn Hacker das Kinderzimmer unsicher machen.

Hacker : Gefahrim Kinderzimmer

Das FBI hat Eltern jetzt eine €žGebrauchsanweisung€œ gegeben, wie sie ihre Kinder vor Hackern schützen können. Was zunächst kurios wirkt, hat einen sehr ernsten Hintergrund: Kinder, die sich mit elektronischen Geräten im Internet bewegen, werden immer häufiger Opfer von Hackerangriffen.

Auch Geschäftsführer Mirko Ross vom Stuttgarter Software-Dienstleister digital worx, der kürzlichdurch die EU zum beratenden Experten für Sicherheit im Internet der Dinge der European Union Agency for Network and Information Security (ENISA) berufen wurde, warnt vor den Gefahren, wenn sich Kinder unkontrolliert im World Wide Web bewegen.

Nahezu vorbei sind die Zeiten, als sich Kinder ausschließlich mit Bauklötzchen und dem Errichten von Sandburgen beschäftigten. Selbst die Kleinsten verfügen heute über Smartphones. Und via Tablets und Computern im Haushalt können sie auf das Internet zugreifen. Viele Eltern sind sich nicht darüber im Klaren, dass gerade mit Spielzeug über Internet-Schnittstellen auch Kinder und Jugendliche vermehrt Ziele von bösartigen Hackerangriffen werden können. ENISA-Berater Mirko Ross (44) warnt daher vor einer unkontrollierten Nutzung von neuem Spielzeug mit Internet-Schnittstellen durch Minderjährige.

Unterstützung erhält der Stuttgarter IT-Experte von prominenter Seite. Ganz aktuell hat das FBI, die zentrale Sicherheitsbehörde der Vereinigten Staaten von Amerika, eine Art €žGebrauchsanweisung€œ für Eltern herausgegeben, deren Kinder sich oft im Internet bewegen. So könnten scheinbar harmlose Spiele als Eingangstor für Hacker genutzt werden, warnt das FBI.

Die Tipps des FBI reichen von der Kontrolle der Internet- und Geräteverbindungssicherheitsmaßnahmen eines  Spielzeugs über die Authentifizierung, wenn ein Gerät mit Bluetooth verwendet wird, bis hin zur Verschlüsselung bei der Übermittlung von Daten vom Spielzeug zum Wi-Fi-Zugangspunkt und zum Server. Daneben gelten natürlich sämtliche Sicherheitsmaßnahmen, die man grundsätzlich beim Surfen im Internet beachten sollte.

Mirko Ross: €žVerwenden Sie beim Erstellen von Benutzerkonten starke und eindeutige Anmeldepasswörter mit Groß-und Kleinbuchstaben, Ziffern und Sonderzeichen. Geben Sie nur das an, was bei der Eingabe von Informationen für Benutzerkonten minimal erforderlich ist. Beispielsweise bieten einige Dienste zusätzliche Funktionen an, wenn Geburtstage oder Informationen über die Einstellungen eines Kindes bereitgestellt werden. Bereits hier ist große Vorsicht geboten.€œ

Intelligente Spielsachen und Unterhaltungsgeräte für Kinder integrieren zunehmend Technologien, die ihre Verhaltensweisen auf der Grundlage von Benutzerinteraktionen lernen und anpassen. Diese Spielsachen enthalten typischerweise Sensoren, Mikrofone, Kameras, Datenspeicherkomponenten und andere Multimedia-Funktionen einschließlich Spracherkennung und GPS-Optionen. Diese Merkmale könnten die Privatsphäre und die Sicherheit der Kinder gefährden aufgrund der großen Menge an persönlichen Informationen, die unwissentlich offenbart werden.

€žEltern sollten Mikrofone und Kameras daher mit Klebestreifen überdecken und diese nur beim notwendigen Gebrauch entfernen” so Ross.

Viele Hersteller von IoT-Geräten geben zudem immer noch der Schnelligkeit, ein neues Spiel auf den Markt zu bringen, Vorrang vor der Sicherheit der Benutzer. Um Konkurrenz zu unterbieten, werden auch billige, aber unsichere Komponenten bei der Herstellung genutzt. Geräte, die in Fernost hergestellt werden, sind oft die am meisten gefährdeten und werden am häufigsten gehackt. Der größte bislang bekannte Hack, der Kinderspielzeug betraf, war der des Hongkong-basierten VTech, der die Daten von 6,4 Millionen Kindern ausspähte. Bei diesem Vorfall wurden aus den Kinder-Profilen Namen, Geschlecht und Geburtsdatum ausgelesen. Noch befremdlicher wirkt ein aktuelles Beispiel aus den USA: Dort war jüngst ein Teddy-Bär mit Internet-Schnittstelle durch einen Datendiebstahl betroffen. Hacker drangen in den Server des Anbieters CloudPets ein, stahlen über 800.000 Kundendaten und hatten Einblick in persönliche Sprachnachrichten zwischen Eltern und Kindern.

Mirko Ross berät die ENISA

Stuttgarter IT-Experte in Top-Gremium der Europäischen Union berufen.

Große Ehre für Geschäftsführer Mirko Ross vom Stuttgarter Software-Dienstleister digital worx: der 44-jährige wurde durch die EU zum beratenden Experten für Sicherheit im Internet der Dinge berufen. Er gehört künftig einem internationalen Gremium der European Union Agency for Network and Information Security (ENISA) an; der zentralen EU-Agentur für Cyber-Sicherheit.

Computerviren in der Hand von Terroristen oder international agierenden Banden: ein Schreckensszenario, das in den vergangenen Jahren mehr und mehr als reale Bedrohung wahrgenommen wird. Die mögliche Manipulation von Märkten, Wahlen oder militärischen Einrichtungen beschäftigt weltweit die Experten. Bereits im Jahr 2004 wurde zur Abwehr derartiger Bedrohungen die Agentur der Europäischen Union für Netzwerk- und Informationssicherheit (ENISA) gegründet.

ENISA ist ein Kompetenzzentrum für die Cyber-Sicherheit in Europa. Sie befindet sich in Griechenland mit Sitz in Heraklion (Kreta) und einem operativen Büro in Athen. Die ENISA wurde ins Leben gerufen, um die Netzwerk- und Informationssicherheit (network and information security / NIS) zu stabilisieren und damit zu einem ordnungsgemäßen Funktionieren des Binnenmarktes beizutragen. Die Agentur arbeitet eng mit den Mitgliedstaaten der EU und dem privaten Sektor zusammen, um Beratung und Lösungsvorschläge zu erbringen. Dazu gehören europaweite Cyber-Security-Übungen, die Entwicklung nationaler Cyber- Security-Strategien, die Zusammenarbeit und der Aufbau von Kapazitäten ebenso wie Studien über die sichere Cloud- Adoption, die sich mit Fragen des Datenschutzes befassen. Das Schützen der Privatsphäre bei neuen Technologien und die Identifizierung der Cyber-Bedrohungslandschaft sind weitere zentrale Aufgaben der Agentur.

€žIch freue mich sehr auf die Zusammenarbeit mit den international führenden Experten für Cyber-Sicherheit€œ, so Mirko Ross heute in Stuttgart.

Mirko Ross

Mirko Ross

Mirko Ross ist Gründungsgesellschafter und CEO der digital worx GmbH, einer mobilen Software Developing Company mit Sitz in Stuttgart-Vaihingen. 1998 gründete er sein erstes Unternehmen im Technologiebereich. Seit 2012 unterrichtet er Web Engineering und mobile Softwareentwicklung an der Hochschule Heilbronn.

Der 44-Jährige ist an öffentlichen und privaten Forschungsaktivitäten für offene Standards im Internet der Dinge beteiligt. Er ist Mitglied des Internet Of Things Council, einem weltweiten IoT Think Tank.

Im Rahmen des Internet- Programms der Europäischen Kommission unterstützt er Start- ups in den Bereichen eHealth und Industrial IoT.

Ransomware is not the biggest threat in the Internet of Things

data debates Berlin

No doubt, ransomware is a serious problem. And operators of critical infrastructures are doing well, to keep their system infrastructure up to date to prevent them from being high jacked of ransomware. Because the damage could be high, as we have seen when UK hospitals have been hit by Locky and Wannacry ramsomware.

I had the pleasure to listen to Francesco de Meo, CEO of Germany€™s biggest private healthcare and clinic enterprise at the data debates event in Berlin. He pointed out that ransomware is one of the biggest security threat for hospitals and that IT security is highly aware to protect against it.

(c) Robbert van der Steeg / Flickr

(c) Robbert van der Steeg / Flickr

For sure he is wrong. Ransomware is a big threat, but also easy to defend. All you need is a proper implemented update process for you IT Systems.

The biggest threat for Hospitals are cyber weapons

In the past Hospitals have been always targets on warfare €“ irrespective of the Geneva Protocol or Hague Conventions. Even today we see hospitals hit in Syria by conventional weapons, with more over than 1000 airstrikes on 117 hospitals in 2016.

But if hospitals are a target on conventional warfare, what does it mean for cyber war?

It€™s a serious consequence that they are priority targets for cyber weapons. As far we know from cyber weapons €“ their attacking vectors are much sophisticated. Using zero date exploits to intrude unnoticed by security guards, operating as sleeping agents waiting for remote commands and cover their tracks of attacker€™s origin.

So how an ordinary hospital IT security infrastructure can prevent from being a target of cyber weapons?

They can€™t.

Cyber commands worldwide are paying millions of dollars to acquire zero day exploits from black hat hacker markets. Cyber weapon carrier will not disclosure this exploits as are the €œwarheads€ of cyber-attacks, providing a military advantage.

As long governmental programs will foster the undisclosure of zero day exploits, we are running into an unsecure internet infrastructure. That€™s why the biggest threats for hospital is not ransomware. It€™s military and intelligence attackers. No critical infrastructure can prevent from being hit unless we define a worldwide proscription of cyber weapons.

The Lessons of WannaCry for IoT

Moreover than 230.000 computers in 150 countries had been infected by the ransomware WannaCry. This figures sounds like a success. But compared to former ransomware cyberattacks WannaCry failed. In 2016 the ransomware locky was taking the world in storm. In its peak locky infected about 90.000 computers per day.

IoT securit risks

IoT security risks by automatically attacks

Locky infected its victims by fake E-Mail Attachment. This attack uses €œhuman fail€ as vector. While WannaCry was using a €œwormable€ security exploit, which allowed to infect systems automatically. From a technical level the WannaCry attack is high dangerous, as it allows compromising systems automatically, while locky is always depending on user interaction. But the automatically attack vectors also allows to defend easily by patching the security holes in the affected systems.

It€™s the patch, stupid!

WannaCry attack is based on a SMB exploit published by Shadow Broker Hacking Group. One month later Microsoft was publishing security patches for all Windows Versions with long term support. And most systems worldwide had been successful patched, when WannaCry stepped into world. So the WannaCry worm did not found enough unpatched systems to get feed fat. WannaCry€™s automatically attacks starved.

But what if we get wormable IoT exploits?

For IoT devices the WannaCry attack vector is a nightmare. Automatically attacks are a reasonable way to highjack IoT devices as we will have billions of connected micro controllers which are running in the background. If you want to attack them, you can€™t rely on user interactions to infect them as most of them will never require interfaces for direct users interaction. Keep in mind all the sensor nodes and gateways to collect environmental or industrial data for running smart cities, smart home and industry 4.0 applications. So attackers are relied on €œwormable€ exploits to infect those IoT systems by mass.

Feeding the worms in IoT

And they will find feed for such exploits in IoT world. Patching IoT systems is a nightmare compared to a Windows Systems ecosystem. In IoT there is no well-organized patching infrastructure in behind, which will provide security patches in a reasonable time and has the ability to deliver them worldwide to system administrators.

The IoT world is splitted in many vendors. Providing often low cost components, where maintenance is not part of the system concept or business model. By that the number of unpatchable IoT components is increasing every day dramatically. It€™s in your smart city, smart home and industry.

All what attackers need is a common automatically security exploit to run a successful infection campaign. As most IoT systems are based upon embedded software there will be a plenty of options to attack. For example, the SMB exploit of WannaCry also affects LINUX Samba SMB services and makes some of them vulnerable for remote execution.

So, when did you patched your IoT system?

1 2 3 4 5 6 57