Forum: Offtopic Philips Smartes Glühobst gehackt

Da bekommt der Spruch 'Da ist wohl der Wurm drin' wieder mal eine 
erweiterte Bedeutung :-P
Nette Sache. Manchmal muss man sich doch fragen, ob die Anwender und 
Konstrukteure solcher Dinge, die die Welt nicht braucht, nicht einen an 
der Waffel haben.

das gibt zur Weihnachtszeit sicher interessante neue 
Beleuchtungsvarianten in den Fenstern. :-) :-)
wenn man einen Laptop bei hat

Das Problem ist... tja, wo soll man da anfangen...

Sicherheit ist ein schwieriges Thema. Merk ich gerade selbst, da ich 
IT-Sicherheit an der Uni Bochum studiere.

Sicherheit ist nicht gerade ein Pflichtmodul in den 
Ingenieursstudiengaengen. Generell kam das Thema (IT-)Sicherheit die 
letzten 20 Jahre (gerade in Deutschland) mehr als zu kurz:
Es war schlicht nicht existent.

Ein Grund, weshalb solche Dinge immer und immer wieder passieren ist die 
Tatsache, dass man Sicherheit von Anfang in den Entwicklungsvorgang 
einbeziehen muss. Dass passiert aber nicht.
Es wird etwas entwickelt und wenn es fertig ist stellt man fest: Oh, wir 
sollten da noch was fuer die Sicherheit tun.
Also wird "Sicherheit" angeflanscht, was ziemliche gruetze ist.
Ein gutes Beispiel dafuer: die ganzen Messanger.
Die Daten werden VOR der Verschluesselung/NACH der Entschluesslung 
abgegriffen. Da hilft die Transportverschluesselung, die (teilweise) 
nachtraeglich angeflanscht wurde, herzlich wenig.

Abgesehen davon fehlt den Menschen (sowohl den Entwicklern als auch den 
Nutzern) das Bewusstsein dafuer was da passieren kann und was das fuer 
Auswirkungen haben kann.


Als ich vor 2 Monaten nachts, an einem Wochenende, an einem S-Bahnhof in 
Berlin stand konnte ich eine Gruppe junger Mensche (nicht aelter als 20 
Jahre) belauschen, 2 Maedels, 3 Typen...

Ein Maedel sagte: "Warum soll ich denn die Kamera am Laptop abkleben? 
Dann sieht man mich halt mal nackt, mein Gott. Wenn mich einer stalken 
will soll er doch machen. Wenn er sonst nichts zu tun hat."

Darauf ein Typ: "Also bei meinem Mac Book geht ja ne Lampe an, wenn die 
Kamera eingeschaltet wird. Das geht gar nicht, dass ich das nicht merken 
wuerde."

Die Menschen haben schlicht keine Ahnung (und offenbar auch nicht 
ausreichend Vorstellungskraft) um die Probleme zu sehen. Oder sie wollen 
es einfach nicht. Die Augen vor der realitaet zu verschliessen ist halt 
viel einfacher,...

Und deswegen gibt es nicht nur Wuermer fuer Smartes Gluehobst, sonder 
auch Heizungen, die von einem DDoS-Angriff lahmgelegt werden:

Finnland: DDoS-Attacke auf Heizungssteuerung
https://www.heise.de/security/meldung/Finnland-DDoS-Attacke-auf-Heizungssteuerung-3459730.html

[ironie]
Also, was soll denn schon schlimmes bei so ein paar Lampen passieren?
Davon wird die Welt schon nicht untergehen...
[/ironie]

jetzt wird nicht mehr die Festplatte verschlüsselt, sondern Samsatg ab 
1700 das Licht verschlüsselt. Wer nicht zahlt, sitzt im Dunkeln :-)))

vernetzt man schön jeden Furz, damit alles schön smart wird.

Over the air update
Http-Server läuft (oder soll laufen) in jedem 5-Euro-WALN-Modul

Bernd G. schrieb:
> DDR-Entwicklerfolklore:
> "Müssen wir denn wirklich in jeden Pisstopf einen Prozessor einbauen?".
>
> Vielleicht sollte man dann und wann darüber nachdenken.

Das hätte ich durchaus gern. Die zu verneinende Frage ist für mich eher, 
ob jeder Topf eine weltweit eindeutige IP-Adresse benötigt und auch 
entsprechend ansprechbar sein sollte.

die Firmware ist eben nicht in ASM Programmiert ;-)

lol

Kaj G. schrieb:
> Ein Grund, weshalb solche Dinge immer und immer wieder passieren ist die
> Tatsache, dass man Sicherheit von Anfang in den Entwicklungsvorgang
> einbeziehen muss. Dass passiert aber nicht.

Vorher muss man aber das Bedrohungsszenario definieren.

Für nicht-smarte Geräte gilt: Ohne physischen Zugriff ist kein Angriff 
möglich, und wenn der Angreifer hat, hat man ohnehin verloren, also ist 
das kein relevantes Szenario. Schutz vor physischem Zugriff muss dann 
extern sichergestellt werden.

Das eigentliche Problem ist nicht, dass man "Sicherheit" nachträglich 
ranflanscht, sondern dass man "Vernetzung" nachträglich ranflanscht, 
ohne das Bedrohungsszenario zu aktualisieren.

Philips hätte ja auch etwas nicht transparentes nehmen können. Dann 
hätten sie die Prbleme nicht. Aber das kostet ja wieder viel zu viel.

Stephan H. schrieb:
> Philips hätte ja auch etwas nicht transparentes nehmen können. Dann
> hätten sie die Prbleme nicht.

Aber dann könnte man doch das schöne Licht nicht sehen.

Eigentlich schon etwas beängstigend, wenn selbst eine
Weihnachtsbeleuchtung gehackt werden kann...

Also ein ZSS - ziemlich smarter Scheiß?


Sind wir wirklich auf dem Weg zur absoluten Abhängigkeit und
Angreifbarkeit, selbst bei Beleuchtungen?


I wonder me...

Mani W. schrieb:
> Sind wir wirklich auf dem Weg zur absoluten Abhängigkeit und
> Angreifbarkeit, selbst bei Beleuchtungen?

Aber der Angegriffene ist nicht das Problem. Der hat das Problem. Das 
Problem ist der Angreifer. Wenn es den nicht gäbe, bräuchte sich niemand 
Gedanken machen, ob einem das Licht ausgeschaltet wird.
An die Angreifer haben wir uns nur zu sehr gewöhnt.

Thomas E. schrieb:
> Das
> Problem ist der Angreifer. Wenn es den nicht gäbe, bräuchte sich niemand
> Gedanken machen, ob einem das Licht ausgeschaltet wird.

Außer, man hat hat die Stromrechnung übersehen...


> An die Angreifer haben wir uns nur zu sehr gewöhnt.

Und darum vertrauen wir dann doch dem Netz samt Schutzprogrammen,
die doch wieder mal gehackt werden und dann kommt wieder das
große Entsetzen und Staunen...