Smart Home: IT-Sicherheitsexperten wollen vernetzte Haushalte in Zukunft besser schützen
Smart Home liegt im Trend. Verschiedene Hersteller und auch Online-Händler haben sich auf den recht jungen Markt schon eingespielt. Immer mehr Verbraucher beginnen zunehmen die Vorteile des vernetzten Zuhauses für dich zu entdecken und zu nutzen. Interessant ist dabei auch das Ergebnis einer relativ aktuellen Context-Studie die aufzeigt, dass der Großteil der interessierten Verbraucher eher bei Amazon, der Telekom und Mediamarkt einkauft, statt einen Fachhandel aufzusuchen. Es mangelt größtenteils noch an Wissen und Aufklärung, vor allem was die Sicherheit anbelangt. Produkte gibt es genug, nur je mehr Geräte an das Internet der Dinge angeschlossen werden, desto mehr potentielle Schwachstellen gibt es für Hacker. Die Schwachstellendiagnose kristallisiert sich zunehmend als Problem heraus, vor allem dann, wenn Smart Home Geräte unterschiedlicher Hersteller verwendet werden. Im Rahmen eines vom Europäischen Forschungsrat geförderten Projekts der Ruhr-Bochum-Universität (RUB) mit dem Titel „Leveraging Binary Analysis to Secure the Internet of Things“, entwickeln IT-Sicherheitsexperten eine neue Methode um Schwachstellen in der Software unterschiedlicher Geräte automatisch erkennen und auch schließen zu können. Das Ganze soll auch noch prozessorunabhängig funktionieren. Statt den meist von den Herstellern unter Verschluss gehaltenem Original-Quellcode auszulesen, konzentriert sich die Methode auf den aus Nullen und Einsen bestehenden Binärcode.
Einbruchsicherheit und Smart-Home-Bildung
Smart Home klingt für viele Verbraucher nach technischem Schnick-Schnack. Intelligente Sensoren, die die Heizung regeln, beim Strom-Sparen helfen und den Wasserverbrauch im Blick haben. Auch die Überwachung von unterwegs ist ein Punkt, den viele Laien im Hinterkopf haben. Schließlich ist auch ein Großteil der Nutzer daran interessiert das Haus bei Abwesenheit sicher zu machen. So sind 65 Prozent der Befragten stets besorgt, wenn das Heim für mehr als ein Tag verlassen wird. Im Umkehrschluss können jedoch nur 10 Prozent der Befragten etwas mit IP-Kameras anfangen. „Es gibt reale Probleme, die Smart-Home-Produkte sofort lösen können, aber die Verbraucher sind einfach nicht über die technischen Lösungen informiert.“, erklärt Adam Simon, Global Managing Director, Retail bei Context. In der Tat bietet Smart-Home-Technologie auch eine intelligente Einbruchsicherheit. Vor allem Schwachstellen wie Fenster und Türen können mit Sensoren und Kameratechnik bestückt werden. Weitere konkrete Anwendungsmöglichkeiten für die Einbruchsicherheit im Smart Home schlüsselt CosmosDirekt beispielsweise auf einer empfehlenswerten Informationsseite auf. Interessant sind hier auch vernetzte Steckdosen und Rollläden, die aus der Ferne gesteuert werden können. Die Rollläden können auch entsprechend programmiert, zu bestimmten Zeiten hoch- und herunterfahren, um somit ein bewohntes Haus zu simulieren. Ebenfalls könnte auch angeschaltetes Licht am Abend den Anschein erwecken, dass jemand im Haus anzutreffen sein wird.
Schwachstellen ausfindig machen und schließen ist die Devise
Was nützen die besten Smart-Home-Geräte, wenn diese aufgrund von Schwachstellen deaktiviert werden können? Richtig, recht wenig. Es muss also auf der anderen Seite auch an Lösungen gearbeitet werden, die die Sicherheits-Komponenten auch gegen Hacker-Angriffe sicher machen. Und hier kommen Dr. Thorsten Holz und sein Team von der Ruhr-Bochum-Universität ins Spiel. Im Fokus der Entwicklungen steht eine Methode zu finden, um prozessorunabhängige Sicherheitsanalysen automatisiert durchführen zu können. Das ist besonders dann gar nicht so einfach, wenn Geräte von verschiedenen Herstellern verwendet werden, die auch noch auf unterschiedliche Prozessoren setzen. Das wird ganz schnell richtig kompliziert. Schließlich muss die entsprechende Software ausgelesen und interpretiert werden, um Schwachstellen ausfindig machen zu können. Die Software unterliegt allerdings regelmäßig dem Betriebsgeheimnis. Statt des Original-Quellcodes, nutzen die Forscher daher den Binärcode, der aus Einsen und Nullen besteht. Allerdings ist es auch hier recht aufwendig ein automatisches Abgleich-System zu lancieren, da die Prozessoren unterschiedlich komplex arbeiten. Ein Intel-Prozessor versteht beispielsweise 500 Befehle, während ein Mikrocontroller, der etwa in einem Schlüssel integriert ist, gerade einmal 20 Befehle verwertet. Eine zweite Hürde ist, und nun wird es schon ziemlich programmierlastig, die Tatsache, dass eine gemeinsame Anweisung wie „Addiere zwei Zahlen!“ in der Binärsprache von zwei Prozessoren unterschiedlichen Typs (die Abfolge von Einsen und Nullen) auch unterschiedlich ausgeführt werden kann.
Für die prozessorunabhängige Sicherheitsanalyse übersetzen die Sicherheitsforscher den Binärcode daher in eine Zwischensprache. „Es ist, als würde man einen deutschen Text ins Englische übersetzen, eine Passage hinzufügen, und dann zurück ins Deutsche übersetzen“, erläutert Holz. „Beim letzten Übersetzungsschritt hakt es derzeit noch. Aber ich bin optimistisch, dass wir das hinbekommen.“
Im Folgeschritt wird die Zwischensprache nach Programmierfehlern untersucht, die Sicherheitslücken indizieren könnten. Werden etwaige Sicherheitslücken festgestellt, sollen diese in der Folge auch automatisch geschlossen werden. Das ist durchaus praktisch, da der Nutzer von diesen im Hintergrund laufenden Prozessen zum einen nicht viel mitbekommt und zum anderen nicht über programmierspezifisches Wissen verfügen muss.
Für die gängigen Prozessortypen ARM, Intel und MIPS konnten die Wissenschaftler bereits erfolgreiche Analysen durchführen. In Zukunft wird daran gearbeitet, dass die Methode bei jeder Software funktioniert.