#257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust Podcast Por arte de portada

#257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust

#257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust

Escúchala gratis

Ver detalles del espectáculo
Du denkst, dein IoT-Kram ist harmlos: ein Thermometer, ein Staubsaugerroboter, ein bisschen Smart Home. Aber was, wenn genau diese Geräte der perfekte Tunnel aus deinem Netzwerk sind, weil sie selten sauber segmentiert werden, kaum jemand Egress Traffic prüft und Authentifizierung oft mit Autorisierung verwechselt wird?In dieser Episode nehmen wir drei Sicherheitsvorfälle auseinander und ziehen konkrete Learnings daraus:Den Aquarium-Thermometer-Case im Casino mit ungewöhnlichem Outbound Traffic, alternative Exfiltration Kanäle und die Frage, ob IoT wirklich das Einfallstor war oder eher der Exit. Ein Jeep Cherokee Hack von 2015, inklusive offenen Port 6667, DBus-Zugriff, Firmware ohne Signierung, CAN-Bus und einem Diagnosemodus, der plötzlich die Bremsen ausknipst. Ein MQTT Case rund um Staubsaugerroboter, Pub/Sub, Wildcards und fehlende ACLs, also Mandantenisolierung zum Weglaufen.Am Ende bleibt eine unbequeme, aber sehr praktische Checkliste: Segmentierung, Zero Trust, Least Privilege, Monitoring und Logging, Secure Boot und vor allem Egress Traffic als First Class Control.Und jetzt Hand aufs Herz: Was ist deine beste Ausrede, warum dein Netzwerk noch nicht segmentiert ist?Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partnersDas schnelle Feedback zur Episode:👍 (top) 👎 (geht so)Anregungen, Gedanken, Themen und WünscheDein Feedback zählt! Erreiche uns über einen der folgenden Kanäle …EngKiosk Community: https://engineeringkiosk.dev/join-discord LinkedIn: https://www.linkedin.com/company/engineering-kiosk/Email: stehtisch@engineeringkiosk.devMastodon: https://podcasts.social/@engkioskBluesky: https://bsky.app/profile/engineeringkiosk.bsky.socialInstagram: https://www.instagram.com/engineeringkiosk/Unterstütze den Engineering KioskWenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns immer Buy us a coffee: https://engineeringkiosk.dev/kaffeeLinksACM Einteilung der Informatik: https://dl.acm.org/ccs Security Week “Hacked Smart Fish Tank Exfiltrated Data to ‘Rare External Destination’”: https://www.securityweek.com/hacked-smart-fish-tank-exfiltrated-data-rare-external-destination/Washington Post “How a fish tank helped hack a casino”: https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/Casino Breach - Cyberthrowback Fish Tank Hack: https://rootcat.de/blog/fishtank_jul21/MITRE ATT&CK Database: https://attack.mitre.org/OWASP Top 10:2025: https://owasp.org/Top10/2025/Remote Exploitation of an Unaltered Passenger Vehicle (IOActive whitepaper): https://www.ioactive.com/wp-content/uploads/pdfs/IOActive_Remote_Car_Hacking.pdf Fiat Chrysler Automobiles UConnect allows a vehicle to be remotely controlled: https://www.kb.cert.org/vuls/id/819439 CVE-2015-5611: https://nvd.nist.gov/vuln/detail/CVE-2015-5611 Hackers Remotely Kill a Jeep on the Highway—With Me in It: https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix: https://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix/Man accidentally gains control of 7,000 robot vacuums: https://www.popsci.com/technology/robot-vacuum-army/ The DJI Romo robovac had security so poor, this man remotely accessed thousands of them: https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqttSprungmarken(00:00:00) Warum IT Security oft erst auffällt, wenn es knallt(00:04:44) Info/Werbung(00:05:44) Warum IT Security oft erst auffällt, wenn es knallt(00:06:14) Hack 1: Aquarium-IoT im Casino und 10 GB Datenabfluss(00:31:23) Hack 2: Jeep Cherokee, offener Port, D-Bus und CAN-Bus(00:47:18) Hack 3: DJI Staubsaugerroboter, MQTT und fehlende Autorisierung(00:52:47) Was du daraus mitnimmst: Authentifizierung, Autorisierung, SegmentierungHostsWolfgang Gassler (https://gassler.dev) Andy Grunwald (https://andygrunwald.com/)CommunityDiskutiere mit uns und vielen anderen Tech-Spezialist⋅innen in unserer Engineering Kiosk Community unter https://engineeringkiosk.dev/join-discord
Todavía no hay opiniones