Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
What to Upload to SlideShare
Loading in …3
×
1 of 17

Sicherheit im Internet-of-Things - Wie man das größte Botnetz der Welt absichert

0

Share

Download to read offline

Slides for the German presentation held at the "Enterprise Computing Conference 2020" on "IoT Security" in Cologne, Germany in March 2020.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Sicherheit im Internet-of-Things - Wie man das größte Botnetz der Welt absichert

  1. 1. Sicherheit im Internet-of-Things Wie man das größte Botnetz der Welt absichert André Nitze Ultra Tendency GmbH Enterprise Computing Conference 2020 https://www.cecmg.de 12.03. - 13.03.2020 | Köln, Deutschland
  2. 2. Pioneering the Future Die Vermessung der Welt 17.03.2020 2Bild: https://www.theregister.co.uk/2015/09/01/intel_nsf_tip_dollars_into_iot_security/ abgerufen am 08.12.2019
  3. 3. Pioneering the Future Schätzungen zur Anzahl der IoT-Geräte im Jahr 2020  Mozilla: 30 Mrd.  IDC: 28,1 Mrd.  ABI Research: 40,9 Mrd.  Gartner: 26 Mrd.  Frost & Sullivan: 5,1 / Person Die Angriffsfläche 17.03.2020 3 “[IoT is] a network of networks of uniquely identifiable endpoints (or "things") that communicate without human interaction using IP connectivity — be it "locally" or globally.“ Lund, Turner, MacGillivray, Morales, (IDC): Worldwide and Regional Internet of Things (IoT) 2014–2020 Forecast: A Virtuous Circle of Proven Value and Demand, 2014. Was zählt eigentlich als IoT-Gerät?
  4. 4. Pioneering the Future Unterschiede in den Nutzergruppen 17.03.2020 4Quelle: https://www.edn.com/building-the-iot-standards-and-hardware-needs/ ,abgerufen am 10.03.2020.
  5. 5. Pioneering the Future Standardisierung auf mehreren Ebenen  Hardware (Sensoren, Aktuatoren)  Software (Betriebssysteme, Protokolle)  Funk-Netzwerke (LoRa, Zigbee…)  IP-basierte Kommunikation Das Internetprotokoll (IP) als Fluch und Segen 17.03.2020 5Bilder: https://www.newgenapps.com/blog/raspberry-pi-vs-arduino-vs-beagle-board, https://ncd.io/iot-sensors/, abgerufen am 08.12.2019
  6. 6. Pioneering the Future Angriffe in Verbindung mit IoT-Geräten 17.03.2020 6 2018 https://www.darkreading.com/iot/intern et-connected-cctv-cameras- vulnerable-to-peekaboo-hack/d/d- id/1332841 2016 https://www.chip.de/news/Angriff-auf-900.000-Router-Wie- es-zum-massiven-Telekom-Ausfall-kam_104341602.html 2018 https://thehackernews.com /2018/11/usps-data- breach.html
  7. 7. Pioneering the Future Angriffe in Verbindung mit IoT-Geräten 17.03.2020 7 Mirai, 2016 DDoS-Angriff mit 620 Gbps https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/ https://www.politico.eu/article/army-of-light-bulbs-cameras-attack-defenseless-eu-internet-of- things-security/
  8. 8. Pioneering the Future OWASP IoT Top 10 (2018)  I1 Weak Guessable, or Hardcoded Passwords  I2 Insecure Network Services (on the devices)  I3 Insecure Ecosystem Interfaces (Mobile, APIs, Cloud backend)  I4 Lack of Secure Update Mechanism  I5 Use of Insecure or Outdated Components  I6 Insufficient Privacy Protection  I7 Insecure Data Transfer and Storage  I8 Lack of Device Management  I9 Insecure Default Settings  I10 Lack of Physical Hardening IoT Grundschutz: OWASP 17.03.2020 8Quelle: https://www.owasp.org/images/1/1c/OWASP-IoT-Top-10-2018-final.pdf , abgerufen am 10.03.2020
  9. 9. Pioneering the Future Defense-in-Depth im Internet der Dinge 9 Server IoT Gateway IoT Sensor Funknetz Internet DMZ, Internal network Anwendung
  10. 10. Pioneering the Future Defense-in-Depth im Internet der Dinge 17.03.2020 10 Plattformen  On-Premise  Cloud-basiert Protokolle  Einsatzgebiet  Kompatibilität Technologien  Server  Datenbanken  Virtualisierung CoAP HTTP
  11. 11. Pioneering the Future IoT-spezifische Angriffsvektoren  Key Reinstallation Attack (KRACK)  IoT resource scanning  Command injection  Unerlaubter Zugriff  DDoS-Angriffe IoT Grundschutz: Secure Software Engineering 17.03.2020 11 Gegenmaßnahmen Software  Gehärtete Betriebssysteme  Sichere Anwendungsentwicklung  Isolation (Speicher, Container, Services)  API-Management Infrastruktur  (Customer) Identity and Access Management (CIAM)  Web Application Firewalls (WAF)  Load-Balancing + Rate Limiting  DDoS-Erkennung
  12. 12. Pioneering the Future Betrieb und Wartung von IoT-Infrastrukturen 17.03.2020 12 Betrieb der Infrastruktur  Zentrale Verwaltung aller Geräte (Registrierung, Aktivierung/Deaktivierung...)  Monitoring und Alerting  Skalierung  Backup & Wiederherstellung  … Wartung der Infrastruktur  Ersetzen von Geräten  Batteriewechsel  Neue Firmwares und Sicherheits-Updates  ... Bild: https://blog.lwolf.org/post/going-open-source-in-monitoring-part-ii-creating-the-first-dashboard-in-grafana/, abgerufen am 09.12.2019.
  13. 13. Pioneering the Future Kapitel aus ISO / IEC27001:  A.8: Asset management  A.9: Access controls and managing user access  A.10: Cryptography  A.11: Physical and environmental security  A.12: Operational security  A.13: Communications security  A.14: System acquisition, development and maintenance - A.14.2.1 Secure development policy - A.14.2.5 Secure system engineering principles - A.14.2.6 Secure development environment - A.14.2.8 System security testing IoT Grundschutz: Security Controls 17.03.2020 13
  14. 14. Pioneering the Future Fazit  IoT Security lässt sich erreichen über die durchgehende Anwendung herkömmlicher Security Controls (vgl. ISO/IEC 27001) mit Blick auf die häufigsten Probleme (OWASP, Common Criteria) Ausblick SDK + Gateway + Device Management + Message Broker + IAM “aus einem Guss”  Azure Sphere  Amazon IoT Core  Ubuntu Core (OS) IoT Security 17.03.2020 14
  15. 15. Pioneering the Future Alternativen: International Data Spaces (IDS) Quelle: Prof. Dr. Boris Otto
  16. 16. Pioneering the Future Alternativen: International Data Spaces (IDS) Quelle: Prof. Dr. Boris Otto
  17. 17. Dr.-Ing. André Nitze E-Mail: andre.nitze@ultratendency.com Web: http://www.andre-nitze.de Twitter: @Andre_Nitze 17.03.2020 Vielen Dank für Ihre Aufmersamkeit!

Editor's Notes

  • Cyber-physische Systeme
    IoT Geräte gabs schon immer, aber jetzt sind sie so billig, klein und connected, dass ihre Zahl rapide ansteigt
    Aber: Ihre Eigenschaften (physischer Zugriff) machen sie angreifbar
  • Was zählt überhaupt als IoT-Gerät?
    50% of the value created by the IoT will come from connectivity services, infrastructure, purpose-built IoT platforms, applications, security, analytics, and professional services
  • They reported that it was created using ELF (Executable and Linkable Format) binaries, a common file format for Linux and UNIX-based systems. This format is used in the firmware of many IoT devices including routers, DVRs, and IP cameras
    Mirai targets SSH or Telnet network protocols, exploiting default and hardcoded credentials or using brute-force techniques to compromise the Linux-based devices (TCP/UDP port 53)
  • ×