Nicht nur bei Ihrem Linux-PC, sondern bei allen Geräten im Netzwerk sollten Sie auf regelmäßige Updates achten. Sicherheitslücken in der Firmware gefährden jedes Gerät im Heimnetz.

In vielen Haushalten haben neben PCs, Notebooks und Tablets auch WLAN-Access-Points, Kameras und Smart-Home-Geräte Zugang zum Internet. Wenn alle Geräte sicher konfiguriert und mit aktueller Firmware ausgestattet sind, besteht kaum ein Risiko. Ältere Geräte, für die es keine Firmwareupdates mehr gibt oder nie gab, sind jedoch eine Gefahr. Das gilt insbesondere für preisgünstige Kameras und WLAN-Access-Points, für die der Hersteller keinen Support anbietet und die schon standardmäßig nicht sauber konfiguriert sind. Wie groß die Gefahr ist, belegen Sicherheitsexperten mit detaillierten Untersuchungen. Hacker nutzen Standardpasswörter und Sicherheitslücken aus, etwa um Daten in Netzwerken auszuspähen oder Schadsoftware einzuschleusen. Als unsicher bekannte Geräte sollten Sie nicht mehr verwenden oder Maßnahmen für besseren Schutz ergreifen.

Gefahr durch Standardpasswörter

Ein Linux-System ist nur mit einer sorgfältigen Konfiguration sicher. Einige Hersteller – vor allem von Billigprodukten aus China – arbeiten besonders schlampig. In der Firmware ist oft ein Standardpasswort für den administrativen Benutzer hinterlegt. Es gilt für den Zugriff auf das System (root-Shell) und manchmal auch für die Konfigurationsoberfläche, die sich im Browser aufrufen lässt. Selbst wenn der Nutzer das Passwort ändert, gilt zusätzlich weiterhin das voreingestellte Passwort.

Wenn Angreifer administrativen Zugang zu einem Gerät erhalten, stehen alle Möglichkeiten offen. Besonders gefährdet sind zentrale Netzwerkkomponenten wie Router, über die man Netzwerkverkehr abfangen oder manipulieren kann. Die Sicherheitslücken können aber auch zur Gefährdung in der analogen Welt werden, so etwa die Auswertung von Smart-Home-Daten zur Planung von Wohnungseinbrüchen.

Die anfällige Konfiguration ließe sich per Update der Firmware beseitigen. Das erfolgt jedoch oft nicht automatisch, und der Benutzer muss manuell eingreifen. Voraussetzung dafür ist aber, dass ein Update verfügbar ist und die Sicherheitslücken damit geschlossen werden.

Weitere Angriffspunkte bei Netzwerkgeräten

In der Regel lassen sich Netzwerkgeräte über eine Weboberfläche konfigurieren. Auf dem Gerät läuft dafür ein Webserver, der Webseiten mit Hilfe einer Script-Sprache wie Lua oder Javascript erzeugt.

Unsicherer Fernzugriff: Wer von überall aus auf Smart-Home-Geräte oder Überwachungskameras zugreifen möchte, kann dafür im Router Portfreigaben einrichten. Damit sind die Geräte direkt aus dem Internet erreichbar. Der Fernzugriff darf nur dann als sicher gelten, wenn das Passwort für die Anmeldung ausreichend lang und komplex ist und keine Sicherheitslücken vorhanden sind.

Sicherheitslücken in der Weboberfläche: Unsicher programmierte Scripts können Angreifern den Zugriff auf das System ermöglichen. Das kann sogar funktionieren, wenn kein Fernzugriff auf das Gerät aktiviert ist. Über Cross-Site-Request-Forgery (CSRF) ist ein Angriff auf Webserver im Heimnetzwerk möglich. Eine beliebige, dafür eingerichtete Webseite im Internet kann im Hintergrund Anfragen in Ihr Netzwerk schicken und Sicherheitslücken in Geräten ausnutzen.

So finden Hacker Schwachstellen in Geräten

Der Sicherheitsexperte Matt Brown (https://brownfinesecurity.com) demonstriert auf seinem Youtube-Kanal (www.youtube.com/@mattbrwn), wie sich Router, Webcams und andere Geräte durch physischen Eingriff hacken lassen, um die so gewonnenen Erkenntnisse dann via Internet auf diese Geräte anzusetzen. In einigen Videos geht es darum, wie man Standardpasswörter herausfindet. Oft gelingt das relativ einfach durch die Analyse eines Firmwareupdates, das man beim Hersteller herunterlädt. Meist handelt es sich um eine Datei mit dem aktualisierten Abbild des Linux-Systems, das von der Updatefunktion der Weboberfläche in den Flashspeicher des Gerätes geschrieben wird. Der Inhalt lässt sich mit

binwalk -e -M [Firmware-Datei]

extrahieren (das Tool binwalk ist problemlos über das gleichnamige Paket erreichbar). Es erstellt ein Verzeichnis mit dem Namen der Firmwaredatei, in dem der Ordner „squashfs-root“ mit dem Linux-System von besonderem Interesse ist. Die Konfiguration befindet sich unter „/etc“, Benutzernamen und Passwörter sind in der Datei „passwd“ oder „shadow“ gespeichert. Bei einem der untersuchten Geräte war in der Datei „passwd.bak“ folgende Zeile zu finden:

admin:$1$$iC.dUsGpxNNJGeOm1dFio/ :0:0:root:/:/bin/sh

Das root-Konto mit der ID „0“ hört also auf den Namen „admin“. Das als Hash-Wert gespeicherte Passwort kann mit einem Tool wie hashcat (https://hashcat.net) und geeigneten Passwortlisten leicht entschlüsselt werden. Bei diesem Beispiel geht das besonders einfach, denn das Passwort lautet „1234“. Oft genügt es schon, im Internet nach dem Hash-Wert zu suchen, weil den Wert bereits jemand entschlüsselt hat.

Analyse ohne Firmwaredatei: Sollte das Firmwareupdate verschlüsselt oder nicht verfügbar sein, erhöht sich der Aufwand für Hacker. Dann müssen sie den Flashchip auslöten und in einem Lesegerät auslesen. Wie das geht, zeigt Matt Brown im Video https://m6u.de/FWEXTR.

Zugriff mit root-Recht: Einige Geräte bieten einen Telnet- oder SSH-Zugang, der meist nur kurz nach dem Start aktiv ist. In der Regel sind auf der Platine auch Pins oder Kontakte einer seriellen Schnittstelle vorhanden (UART, Universal Asynchronous Receiver / Transmitter), die man über einen UART-USB-Adapter nutzen kann. Darüber ist der Zugang zu einer root-Shell möglich, bei der man sich mit dem ermittelten Benutzernamen und Passwort anmeldet (siehe Video https://m6u.de/UARTA). Im laufenden Linux-System sind dann weitere Untersuchungen möglich, um Schwachstellen zu finden.

Mit diesen Maßnahmen schützen Sie sich

Ohne Fernzugriff und Portfreigabe verhindert die Firewall im Router den direkten Zugriff. Schadsoftware oder CSRF-Angriffe können Schwachstellen aber dennoch ausnutzen.

1. Die grundsätzliche Empfehlung lautet: Ältere Geräte, für die es keine Updates mehr gibt, sollten Sie außer Betrieb nehmen. Einige Hersteller stellen immerhin  Informationen bereit, bei welchen Geräten Sicherheitslücken vorhanden sind, die aber aufgrund des Alters nicht mehr geschlossen werden.

2. Vergeben Sie für die Weboberfläche bei allen Geräten ein sicheres Passwort, um Angriffe zu erschweren. Das schützt allerdings nicht immer vor dem Zugang mit Standardpasswörtern.

3. Falls eine Option vorhanden ist, die die Anmeldung nach mehreren fehlerhaften Versuchen für einige Zeit sperrt, dann aktivieren Sie diese.

4. Konfigurieren Sie keinen direkten Fernzugriff auf ein Gerät, wenn die Sicherheit nicht gewährleistet ist. Verwenden Sie besser eine VPN-Verbindung in Ihr Heimnetz, etwa für den Zugriff auf Smart-Home-Geräte. Aktuelle Fritzbox-Router beispielsweise bringen die Funktion dafür ab Fritz-OS 7.50 mit (siehe www.pcwelt.de/1443523). Eine Alternative ist ein eigener VPN-Server (siehe www.pcwelt.de/1789345).