Wednesday, May 25, 2016

EU General Data Protection Regulation Comes Into Force on May 24, 2016

The new EU law combines data privacy with data security - in future, companies need to prove organizational and technical protection measures for personal data. 



Markus Robin, General Manager SEC Consult: "Data privacy needs data security. With the new EU regulation IT-security finally plays a big role in data protection. Due to Germany's IT security law it already has a quite high protection level in critical infrastructure companies - but now all of Europe’s economy is asked to follow. Other European countries like Austria whose starting point is from a lower cyber-security-/privacy-level will have to step up their game pretty fast. For affected companies this means: Start as soon as possible with your risk analysis and prepare an implementation plan - because the two year realization period is shorter than you expect.”

With yesterday the new EU general data protection regulation came into force. The objective is to set a high and unified data protection for the whole European Union. Affected are all companies, that process personal data from EU-citizens - therefore international data-giants as Google, Facebook & Co. are regulated by this law as well. Next to data protection issues like the "Right to be forgotten"-principle, the new regulation emphasizes the importance of data security. From May 25, 2018 all affected companies and their applications need to prove and document organizational and technical protection measures regarding personal data. In case of violation, the penalty will be measured by the preparations the respective company took, but can also lead up to 20 million Euro or four percent of the worldwide prior-year-sales.


Given the short realization period of just two years, SEC Consult recommends:


1. Start a Risk Analysis and Prepare an Implementation Plan – NOW!


Companies should start to deal with the new organizational and technical legal requirements as soon as possible. First to budget possible financial investments and second to have enough time for the implementation. "The very first step needs to be a comprehensive analysis. What kind of personal data do you have and how are they classified? How high is the risk? Which protection measures are already implemented? Using these answers we are able to derive necessary actions", says Markus Robin.


2. Find an Implementation-Partner


"The new penalty height corresponds to several annual IT-budgets - negligence can't be settled out of the petty cash anymore. For a gapless implementation of the needed requirements companies should find legal and security assistance from experts", Robin advices. SEC Consult itself works closely with lawyers and offers comprehensive consultation next to informative risk analysis as well as implementation of security measures.

Find out more about the EU general data protection regulation and contact us for an appointment: send an email to office@sec-consult.com or use our international contact details


Facts & Figures // EU General Data Protection Regulation


  • Is part of the EU data privacy reform
  • Came into force on May 24, 2016
  • Validity with May 25, 2018 (two year realisation period)
  • Objective: Standardization of a high data protection level for the whole European Union
  • All companies are affected, that process personal data from EU-citizens - therefore international data-giants as Google, Facebook & Co. are also regulated by this law
  • Companies must meet organizational and technical protection measures in the areas of privacy and data security - proven and documented
  • Companies need to have a "risk-accurate protection level" 
  • Massive penalty-increase: depending on the violation up to 20 million Euro or four percent of the prior-year-sales; but penalty will be measured by the preparations the respective company took


Friday, April 22, 2016

SEC Consult Study on Smart Home Security in Germany - a first silver lining on the horizon of IoT?




The English short summary can be found further below.

Ein anstrengender Arbeitstag neigt sich dem Ende zu. Sie kommen endlich nach Hause. Schon eine Fingerbewegung am Smartphone reicht aus, um die Alarmanlage zu deaktivieren. Sie betreten Ihr Heim. Die Temperatur ist bereits perfekt, das Licht schaltet sich automatisch beim Betreten des Wohnzimmers ein und Ihre Lieblingsmusik klingt sanft durch den Raum…

Das klingt doch gar nicht schlecht, oder?

Intelligente Heimsteuerungen, sogenannte „Smart Homes“, sind stark im Kommen und zählen zu den am schnellsten wachsenden Branchen des zukunftsträchtigen „Internet der Dinge“. Doch neben zahlreichen Vorteilen und spannenden Neuerungen bringt diese Technologie auch Gefahren mit sich. Smart Home Systeme erzeugen eine direkte Verbindung zwischen der virtuellen Welt und unserem realen Leben. Dadurch haben sowohl ihre Vorteile als auch ihre Gefahren direkten Einfluss auf unser Leben.

Doch woraus besteht eigentlich ein solches Smart Home System?

Typische Architektur eines Smart Home Systems

Im Grunde sind die meisten Smart Home Systeme sehr ähnlich aufgebaut: Auf unterster Ebene befinden sich Sensoren, die Gegebenheiten wie Temperatur, Wind, den Zustand eines Fensters etc. messen, und Aktoren, um diese Gegebenheiten zu beeinflussen bzw. Geräte zu steuern. Diese Sensoren und Aktoren sind meist mit einer lokalen Zentrale verbunden, die die einzelnen Geräte miteinander verknüpft. Darüber hinaus benötigt man auch eine Möglichkeit all dies zu steuern. Das geschieht aktuell am häufigsten über einen Web-Browser oder eine Smartphone-App. Bei zahlreichen Produkten verschiedenster Hersteller verbindet sich die App zudem mit einem Cloud-Dienst, der in weiterer Folge direkt mit der Zentrale zuhause kommuniziert. [1]

Sowohl aus technologischer als auch aus Sicherheitsperspektive lässt sich ein solches System in zwei Ebenen unterteilen: Einerseits die lokale Kommunikation zwischen Zentrale und ihren Aktoren und Sensoren, andererseits die Fernkommunikation zwischen Zentrale, Cloud und Steuerungsclient.

Spricht man von Smart Home Security, so steht meist die lokale Kommunikation im Fokus der Betrachtung. Dies ist auch naheliegend, da dieser Bereich eine Vielzahl an neuen Kommunikationsprotokollen und Technologien bietet. In den vergangenen Jahren konnten einige Forscher bereits nachweisen, dass hier sicherheitstechnisch enormer Aufholbedarf besteht. [2] [3] [4] [5]

Neben der lokalen Kommunikation ist es aber auch außerordentlich wichtig, die Fernkommunikation von Smart Home Systemen näher zu analysieren. Vor allem, da es genau diese ist, über die man auch, wie der Name bereits suggeriert, aus der Ferne mit dem System interagieren kann. In diesem Bereich tummeln sich verschiedenste Arten von Web-Technologien - und mit ihnen kommen auch die guten alten, traditionellen Web-Schwachstellen. So zeigte SEC Consult bereits in Advisories zu Smart Home Produkten, dass es unabhängig von der lokalen Sicherheit eines Smart Home Systems möglich ist, über Schwachstellen in der Fernkommunikationsebene beliebige Geräte in einem intelligenten Haushalt fernzusteuern. [6] [7]

Aus diesem Grund haben die Experten des SEC Consult Vulnerability Labs die Fernkommunikationsebene von Smart Home Produkten weiterer Hersteller unter die Lupe genommen. Hierfür wurden gemeinsam mit dem führenden deutschen Wirtschaftsmagazin WirtschaftsWoche sechs Produkte - fünf aus Deutschland und eines aus der Schweiz - ausgewählt und deren Sicherheit im Rahmen eines limitierten Security Crash-Tests überprüft. Drei dieser Produkte, Gigaset Elements, RWE Smart Home und Qivicon, wurden bereits bei einem früheren Test der WirtschaftsWoche in Kooperation mit AV-Test überprüft [8]. Genau diese Produkte schnitten auch bei den Tests des SEC Consult Vulnerability Labs am besten ab.

Dies legt den Schluss nahe, dass wiederholte Sicherheitsüberprüfungen wesentlich zur Steigerung der Produktsicherheit beitragen!


Ebenso gut schnitt das neue System von eQ-3, Homematic IP, ab. Während das Vorgängersystem Homematic auf lokaler Kommunikationsebene bereits vor einigen Jahren heftige Kritik einstecken musste, präsentiert sich das neue Homematic IP zumindest auf Fernkommunikationsebene solide.

Übersicht der von SEC Consult identifizierten Schwachstellen auf Fernkommunikationsebene. Durch eine schwere Schwachstelle auf einer hohen Ebene können die darunterliegenden Ebenen ebenfalls als kompromittiert angesehen werden.

Schwachstellen wurden hingegen im deutsch-schweizerischen Produkt Digitalstrom identifiziert [9]. Dieses ist von Cross-Site Scripting und Cross-Site Request Forgery - sehr häufigen, traditionellen Web-Schwachstellen [10] - betroffen. Diese Schwachstellen erlauben es einem Angreifer, beliebige Geräte eines Haushaltes fernzusteuern und im schlimmsten Fall sogar die komplette Anlage zu übernehmen. Einen weiteren Kritikpunkt liefert der deutsche Hersteller Devolo, dessen Smartphone-App Benutzername und Passwort seines Besitzers im Klartext auf dem Telefon speichert [11]. Bei Diebstahl oder Verlust kann ein Angreifer unter Umständen die Anmeldedaten des Benutzers stehlen und das Smart Home System vollständig mit allen Rechten des Besitzers übernehmen.

Obwohl die lokale Kommunikationsebene bei keinem der sechs Produkte technisch verifiziert wurde, da sie nicht im Fokus dieser Tests stand, muss dennoch bei den Produkten von Digitalstrom und Devolo etwas angemerkt werden, das den Experten während der gesamten Testphase negativ aufgefallen ist:

Das Digitalstrom-eigene lokale Kommunikationsprotokoll ist laut Herstellerangaben vollständig ungeschützt [12]. Da es sich um ein kabelgebundenes Protokoll handelt, ist die Sicherheit rein vom physischen Zugriffsschutz abhängig. Einem Angreifer wäre es somit potenziell möglich, Schaden über das ungeschützte Datenkommunikationsprotokoll anzurichten.

Devolo hingegen setzt neben dem Powerline-Protokoll dLan auch den Funkstandard Z-Wave zur kabellosen Kommunikation mit Sensoren und Aktoren ein. Bei Betrachtung des verbauten Z-Wave Chips des Raumthermostats fiel jedoch auf, dass es sich hierbei um ein veraltetes Modell der Serie 300 (ZW0301) handelt, das über keinerlei Sicherheitsmechanismen verfügt [13]. Die Funkkommunikation zwischen der Zentrale und dem Thermostat ist somit vor Angriffen vollkommen ungeschützt.

Geht ein Angreifer einen Schritt tiefer in der Analyse von Smart Home Geräten, gelangt man an den Punkt, an dem die Firmware der Geräte analysiert werden muss. Als Firmware wird das Bindeglied zwischen Hard- und Software eines Gerätes bezeichnet. Durch bestimmte Techniken in der Hardwarearchitektur ist es möglich, den Zugriff auf die Firmware zu erschweren, um eine Analyse schwieriger und aufwändiger zu gestalten. Im Zuge des durchgeführten Security Crash-Tests wurde auch diese Ebene stichprobenartig überprüft, wobei deutliche Qualitätsunterschiede zwischen den Herstellern erkennbar waren. So ist es bei RWE für einen Angreifer ein Leichtes, die Firmware zu extrahieren und darin nach Schwachstellen zu suchen. Wohingegen die meisten anderen Hersteller dem Angreifer schon deutlich mehr Steine in den Weg legen. Die Extraktion ist aber immer noch mit überschaubarem Aufwand möglich. Lediglich das Testgerät von eQ-3, Homematic IP, erschwert einem Angreifer die Analyse durch diverse Hardware-Schutzmechanismen deutlich.

Gelangt ein Angreifer in den Besitz der Firmware, so kann er diese auf mögliche Schwachstellen untersuchen. Im Zuge einer Kurzüberprüfung zeigte sich, dass bei Gigaset, RWE und Devolo veraltete Software auf den Geräten zum Einsatz kommt, für die teilweise öffentlich bekannte Schwachstellen existieren. Zwar sind diese unter aktuellen Umständen nicht ohne Weiteres von einem Angreifer ausnutzbar, jedoch reicht beispielsweise im Fall von Devolo bereits eine bestimmte Änderung der Firmware-Konfiguration aus und das Gerät könnte potentiell vollständig durch einen Angreifer kompromittiert werden. Das grundlegende Problem hierbei liegt in der unzureichenden Sicherheitsüberprüfung zugekaufter hardwarenaher Softwarekomponenten durch die Hersteller. Die Basis der Firmware wird in den meisten Fällen von Drittanbietern zugekauft, deren Sicherheit wird jedoch nicht ausreichend sichergestellt.

Zusammenfassend lässt sich festhalten, dass der Großteil der aktuell überprüften Hersteller bereits aufgrund von früheren, systematischen Sicherheitstests die Qualität in Bezug auf sichere Software erhöht hat. Sind die Sicherheitstests jedoch nicht ausreichend oder fehlen gänzlich, tauchen klassische und bereits seit Jahren bekannte Schwachstellen auch in kritischen Smart Home Produkten auf.

Unterschiede bei den jeweiligen Sicherheitslevels diverser Smart Home Produkte sind für Endverbraucher somit aber nur durch professionelle Sicherheitstests erkennbar. Die Frage bleibt jedoch offen, warum Hersteller nicht ausreichend in Sicherheitstests investieren, bevor die Produkte auf den Markt kommen. Auch der deutsche Innenminister Thomas de Maizière denkt über Produkthaftung und Schadensersatzansprüche gegen die digitale Sorglosigkeit der Hersteller nach [14].

Traditionelle (Web-)Schwachstellen in Smart Home Systemen gehören also noch längst nicht der Vergangenheit an, sondern sind nach wie vor eine reale Gefährdung für das intelligente Zuhause.

English Short Summary


Intelligent home automation systems, the so called “Smart Homes“, are up and coming. They aim to make our life easier with fancy functions like controlling your heating system with your tablet or switching your alarm system on and off with just a fingertip. But it must also be considered, that these new systems bring along new threats. And since these systems directly connect the virtual world with our real life, the threats could have a real big impact.

Most of the security related smart home research focuses on the local communication area of smart home systems, where all the smart home devices communicate with the central base station. While in this area a lot of security shortcomings [2] [3] [4] [5] have already been identified by researchers, it is very important to also analyze the web area of smart home systems, where people communicate with the central smart home base station via their smartphone or web browser. As SEC Consult already showed in recent advisories, it is possible to take over control of a specific smart home system, simply by exploiting traditional web vulnerabilities and design flaws [6] [7]. Therefore, experts of the SEC Consult vulnerability lab examined this area for some other vendors in the scope of a limited security crash-test. This was done in cooperation with the leading German business newspaper WirtschaftsWoche.

Six products were tested in the context of this crash-test. Three of them, Gigaset Elements, RWE Smart Home und Qivicon, had already been tested before by WirtschaftsWoche in cooperation with AV-Test [8]. These products performed very well in the course of our crash-test. This indicates, that regular security audits really increase the level of application security. The new product of eQ-3, Homematic IP, also performed very well. While the previous product line had to deal with several weaknesses [4], the new product looks good at least at the perspective of a short crash-test within the web functionality.

Multiple vulnerabilities have been identified for the smart home solution of Digitalstrom. Traditional Cross-Site Scripting and Cross-Site Request Forgery attacks could be used to control arbitrary devices connected to the smart home system [9]. A further weakness was identified within the smartphone app of Devolo Home Control, which stores user credentials in plaintext on the phone. If the smartphone gets lost or stolen, the attacker can be able to steal the credentials and take over control of the system. [11]

Although the local communication area wasn’t in the scope of the conducted crash-test, it has to be mentioned that at least the protocols used by Digitalstrom and Devolo are not sufficiently protected. Digitalstrom’s communication is powerline based and according to the vendor it is unencrypted [12]. Its protection is completely dependent on physical isolation. Besides their own powerline protocol, Devolo also supports the radio-based protocol Z-Wave. The built-in Z-Wave chip of the tested room thermostat is an old model from the series 300 (ZW0301), which has no security features built-in. [13]

At a lower level, where it comes to firmware extraction, big differences between the vendors have been observed. The firmware forms the link between the software and the hardware of a device. It is very easy to extract the firmware of RWE devices. While other vendors at least make the hacker’s life a bit harder, it’s still possible with reasonable effort. Only Homematic IP devices implement different hardware-based security mechanisms.

After the extraction of a device’s firmware, it is possible to test it for further vulnerabilities. In the course of a quick check the usage of outdated software was identified for Gigaset, RWE and Devolo. Furthermore, there are publicly known vulnerabilities available for some of these outdated components. Although these vulnerabilities aren’t exploitable under the current circumstances, e.g. a certain change in the firmware-configuration would be sufficient to make the device of Devolo vulnerable to serious attacks. The basic problem here is the vendor’s insufficient security analysis of third party components. The firmware’s basis is bought from a third party but their security isn’t verified sufficiently.

Based on the conducted tests it is obvious that most of the vendors already raised their security level based on previous systematic security audits. However, if these audits are insufficient or missing, critical smart home systems still contain old and traditional web vulnerabilities.

This big difference in the security level of different smart home products is not visible for end-consumers, it could just be revealed by professional security audits. However, the question remains why vendors don’t invest in security audits sufficiently before they launch their products. The German interior minister Thomas de Maizière is already thinking about product liability and compensation regarding the digital carelessness of vendors. [14]

To sum it up, it can be stated that traditional (web-) vulnerabilities in smart home systems aren’t a thing of the past, but are still a real threat in modern and critical smart home systems.

Quellen

[1] D. Schwarz, "The Current State of Security in Smart Home Systems - Threats in the Internet of Things", SEC Consult Vulnerability Lab, 2016
[2] B. Fouladi and S. Ghanoun, “Security Evaluation of the Z-Wave Wireless Protocol”, Black Hat USA, vol. 24, 2013.
[3] J. Cache, J. Wright, and V. Liu, "Hacking Exposed Wireless: Wireless Security Secrets & Solutions", The McGraw-Hill Companies, 2010.
[4] Sathya and Malli, "Attacking HomeMatic", CCC 30C3, 2013
[5] T. Zillner and S. Strobl, "ZigBee Exploited", Blackhat USA, 2015
[6] SEC Consult Vulnerability Lab, "Loxone Smart Home - Multiple Vulnerabilities", 2015
[7] SEC Consult Vulnerability Lab, "Loxone Smart Home - Multiple Vulnerabilities - Part 2", 2015
[8] T. Kuhn, "Sicherheitsrisiko Smart Home - Die Hacker kommen durch den Kühlschrank", WirtschaftsWoche, 2014
[9] SEC Consult Vulnerability Lab, "Multiple vulnerabilities in Digitalstrom Konfigurator", 2016
[10] OWASP, "OWASP Top Ten Project", 2013
[11] SEC Consult Vulnerability Lab, "Insecure credential storage in my devolo Android app", 2016
[12] digitalSTROM AG, "FAQ"
[13] C. Gomez and J. Paradells, “Wireless home automation networks: A survey of architectures and technologies”, IEEE Communications Magazine, vol. 48, no. 6, pp. 92–101, June 2010
[14] S. Krempl, "IT-Gipfel: Produkthaftung gegen die 'digitale Sorglosigkeit'", heise online, 2015