Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimFühren Sie eingebettete Penetrationstests ein, um die Sicherheit von IoT-Geräten zu gewährleisten
Angesichts der zunehmenden Verbreitung von IoT und vernetzten Geräten müssen sich Unternehmen auf die Sicherheit ihrer eingebetteten Systeme konzentrieren.
Während viele Unternehmen regelmäßig Anwendungs- und Netzwerkpenetrationstests durchführen, vergessen sie oft, angeschlossene Geräte auf Schwachstellen zu prüfen. Integrierte Pen-Tests analysieren angeschlossene Geräte, einschließlich IoT-Produkte, auf mögliche Schwachstellen.
Um Sicherheitsteams und interessierten Einzelpersonen dabei zu helfen, ordnungsgemäße eingebettete Pentests durchzuführen, hat Jean-Georges Valle „Practical Hardware Pentesting“ geschrieben. Im Laufe seiner Karriere war Valle in den Bereichen eingebettete Pentests, Sicherheitsarchitektur und Risikomanagement tätig. Derzeit ist er Senior Vice President bei Kroll, einem Beratungsunternehmen für Cyberrisiken und Finanzdienstleistungen.
Das Buch, derzeit in der zweiten Auflage, zeigt den Lesern, wie man offensive Techniken anwendet, um eingebettete Geräte auf Schwachstellen und Schwachstellen zu testen.
Das Ziel ist zwar das gleiche wie beim Software-Pen-Test, für den Tester ist es jedoch eine andere Erfahrung. „Es ist eine praktische Aktivität“, sagte Valle. „Sie interagieren physisch mit den Geräten: Sie löten, öffnen Teile und entwickeln ein physisches Gerät zurück.“
In einem Interview sprach Valle über die Herausforderungen bei der Sicherheit eingebetteter Systeme, eingebettete Pen-Tests und wie er einen Pen-Test durchführt.
Sehen Sie sich einen Auszug aus Kapitel 10 an, in dem erläutert wird, wie dynamisches Reverse Engineering während eingebetteter Pen-Tests durchgeführt wird.
Anmerkung des Herausgebers: Das folgende Interview wurde aus Gründen der Klarheit und Länge bearbeitet.
Was ist die größte Schwachstelle bei der Sicherheit eingebetteter Systeme, die Unternehmen besser berücksichtigen müssen?
Jean-Georges Valle: Die größte Schwäche besteht darin, dass eingebettete Systeme nie für sich allein existieren. Sie interagieren immer mit etwas im Backend und mit anderen Diensten irgendwo in der Cloud. Das Problem besteht darin, dass diese eingebetteten Systeme und Geräte im Allgemeinen als vollständig vertrauenswürdig und nicht als Angriffsvektor gelten.
Ich habe festgestellt, dass diese Denkweise überhaupt nicht wahr ist, und das muss ich leider auch sagen. Angreifer können eingebettete Geräte und Systeme als Angriffspfad in die IT-Infrastruktur eines Unternehmens nutzen und von dort aus vordringen. Aufgrund dieser fehlerhaften Vorstellung von Vertrauen in Bezug auf eingebettete Geräte geraten die üblichen Prinzipien der geringsten Rechte, der Härtung, der Segmentierung usw. in Vergessenheit. Unternehmen übersehen möglicherweise eingebettete Geräte und deren potenzielle Schwachstellen. Dies öffnet sie für gängige Angriffsvektoren wie die Befehlsinjektion oder führt dazu, dass eingebettete Geräte Zugriff auf Geheimnisse wie API-Schlüssel haben, die Angreifer dann nutzen können, um tiefer in eine IT-Infrastruktur einzudringen.
Haben Sie die jüngsten Erkenntnisse von Organisationen zur Verbesserung der Sicherheit für IoT und ähnliche Geräte bemerkt?
Valle: Ein wenig, aber das ist größtenteils darauf zurückzuführen, dass die Europäische Union hart gegen die Sicherheit eingebetteter Systeme vorgeht. Die EU hat in einem Vorschlag für den Cyber Resilience Act aus dem Jahr 2022 rechtliche Beschränkungen für diese Art von Geräten eingeführt. Das Gesetz legt Sicherheitsgrundsätze fest, denen angeschlossene Geräte entsprechen müssen, andernfalls erhalten sie nicht die CE-Kennzeichnung, was faktisch bedeutet, dass Sie im Europäischen Wirtschaftsraum nicht verkaufen dürfen. Da die Branche keinen Anreiz hatte, eingebettete Geräte zu härten, mussten die Regulierungsbehörden eingreifen und hart durchgreifen.
Allzu oft gehen Anbieter mit digitalen Produkten anders um als die meisten anderen Branchen und lehnen jegliche Haftung nach Sicherheitsvorfällen ab. Wenn Sie beispielsweise in den Laden gehen, einen Apfelkuchen kaufen und sich vergiften, haftet der Hersteller dieses Lebensmittels. Bei digitalen Produkten hat das nicht wirklich funktioniert, aber aus regulatorischer Sicht ändert sich das, was gut ist. Wenn nun ein Hersteller ein anfälliges digitales Produkt verkauft, kann er haftbar gemacht werden. Dies führt dazu, dass Hersteller ihre Produkte überdenken und sich weniger auf die Bereitstellung billiger und unsicherer vernetzter Geräte konzentrieren.
Ist das Ziel des eingebetteten Pen-Tests dasselbe wie das des klassischen Netzwerk- oder Anwendungs-Pen-Tests?
Valle: Ja. Es ist üblich, Hersteller auf Probleme mit ihren Geräten aufmerksam zu machen, sie darüber zu informieren und ihnen bei der Bewältigung ihrer eigenen Risiken zu helfen. Letztendlich ist es das gleiche Ziel, beim Risikomanagement zu helfen, egal ob Sie ein Auto, eine industrielle SPS (speicherprogrammierbare Steuerung), ein IoT-Produkt oder eine Website einem Penetrationstest unterziehen. Nur weil IoT-Geräte auf den ersten Blick nicht offensichtlich ein Computer sind, weil sie keine Box mit blinkenden LEDs sind, heißt das nicht, dass sie nicht getestet werden müssen, um einem Hersteller oder einer Organisation dabei zu helfen, die Verantwortung für ihre Risiken zu übernehmen. Sie möchten immer noch wissen, welchen Risiken sie ausgesetzt sind.
Glauben Sie, dass Unternehmen heute integrierte Pentests in Betracht ziehen, oder wird dies oft vergessen?
Valle: Zum Glück wird es immer weniger zu einem nachträglichen Gedanken, insbesondere für Unternehmen, die in ihrem Sicherheitslebenszyklusmanagement ausgereift sind. Sie erkennen, dass sie durch IoT-Geräte gefährdet sind und dass Vorschriften kommen, insbesondere in der EU. Weitere Länder werden mit der Zeit folgen und insbesondere die Hersteller dazu verpflichten, sicherzustellen, dass ihre angeschlossenen Geräte keine Sicherheitsrisiken darstellen.
In der Vergangenheit wurden eingebettete Systeme mit dem Ziel der Kostensenkung entwickelt, und dem Risikomanagement wurde nicht viel Aufmerksamkeit geschenkt. Die Hersteller hatten mehr Angst vor dem Wettbewerb mit ständig fallenden Preisen und betrachteten ihre Produkte lange Zeit nicht unter dem Gesichtspunkt der Sicherheit und des Risikomanagements. Sicherheit würde auf ihrer Prioritätenliste an dritter, vierter oder fünfter Stelle stehen, aber ihre Mentalität beginnt sich zu ändern. Da es sich jedoch nicht um einen Ein-/Ausschalter handelt, braucht es Zeit, um die Einstellung zu ändern.
Was ist der schwierigste Aspekt des eingebetteten Pen-Tests?
Valle: Jedes Produkt und Gerät, dem Sie sich nähern, ist eine Schneeflocke. sie sind alle unterschiedlich. Für mich ist das sowohl der schwierigste als auch der lohnendste Teil. Wenn Sie sich Netzwerk- und Anwendungs-Pen-Tests ansehen, werden Sie viel mehr gängige Software und gemeinsam genutzte Technologie testen und untersuchen. Beispielsweise verfügen 90 % der Unternehmensumgebungen, die Sie einem Penetrationstest unterziehen, über ein Windows-Betriebssystem und verwenden Anwendungen wie Active Directory und VMware [Desktop-Hypervisor].
Dies gilt nicht unbedingt für eingebettete Systeme. Es gibt viele verschiedene IoT-Anbieter, die alle unterschiedliche physische Komponenten für ihre Geräte verwenden, um ihre speziellen Geräte und Systeme zu erstellen. Dies macht die Arbeit für Penetrationstester schwierig, da sie verschiedene Hardware-Ökosysteme und verschiedene IoT-Betriebssysteme sowie maßgeschneiderte Software durchlaufen müssen.
Um erfolgreich zu sein, benötigen eingebettete Penetrationstester eine bestimmte Denkweise. Sie müssen neugierig auf die Geräte sein, auf die sie stoßen, und bereit sein, viel Dokumentation zu lernen und durchzulesen.
Das ist es, was mir an eingebetteten Pentests gefällt, weil man sich nie langweilt und den gleichen Testprozess erlebt wie bei Software-Pentests. Sie müssen wirklich den Geist eines Hackers mitbringen und dürfen nicht damit rechnen, bei einem Pen-Test nur Kästchen auf einer Liste anzukreuzen.
Welche allgemeinen Schritte sind bei der Durchführung eingebetteter Pen-Tests zu unternehmen?
Valle: Jede Erfahrung mit eingebetteten Penetrationstests ist anders. Ich habe jedoch einen typischen Ansatz, den ich erklären kann. Normalerweise beginne ich damit, das Gerät zu öffnen und versuche, alle verschiedenen verwendeten Komponenten und ihre Funktionalität zu identifizieren. Ich werde herausfinden, wo Daten auf dem Gerät gespeichert werden und welcher Code verwendet wird, damit alles funktioniert. Von dort aus beginne ich normalerweise mit der Rückentwicklung des gesamten Geräts und versuche, die digitalen Funktionen des Geräts mit jeder Hardwarekomponente zu verknüpfen.
Eingebettete Penetrationstests erfordern eine gehörige Portion Erfahrung, um angeschlossene Geräte wirklich zu erkennen und Schwachstellen und Schwachstellen aufzudecken. Es gibt gängige Angriffsvektoren, auf die Penetrationstester mit der Zeit abzielen – niedrig hängende Früchte, die sie angreifen können, um schnelle Erfolge zu erzielen. Bei IoT-Geräten umfasst dies die Untersuchung der Debug-Ports, die Überprüfung, was die seriellen Schnittstellen offenlegen, und einen Blick auf die im Gerät verwendeten Chips. Von dort aus können Pentester die Speicherchips anstupsen und anstoßen.
Letztlich sind eingebettete Geräte immer noch Computer und verfügen über dieselben Grundfunktionen wie Speicher, Speicher und Kommunikationsleitungen. Die Komponenten mögen spezialisierter sein, aber das Gerät ist immer noch ein Computer.
Was sollte eine Organisation nach einem eingebetteten Pentest tun?
Valle: Priorisieren Sie die Behebung der durch den Penetrationstest entdeckten Schwachstellen und Schwächen. Organisationen verfügen in der Regel über ein begrenztes Budget für die Lösung von Sicherheitsproblemen. Es ist ratsam, sich auf Schwachstellen zu konzentrieren, die sehr exponiert und sehr leicht zu beheben sind. Unternehmen müssen mit Sanierungskosten rechnen und müssen die Risikomanagementstrategie finden, die für sie am besten funktioniert. Im Grunde ist es derselbe Prozess, den jedes Unternehmen nach jedem anderen Pentest durchläuft – es dreht sich alles um das Risikomanagement.