#257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust

#257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust

55.05 MB
Podcast
Podcaster

Beschreibung

vor 14 Stunden

Du denkst, dein IoT-Kram ist harmlos: ein Thermometer, ein
Staubsaugerroboter, ein bisschen Smart Home. Aber was, wenn genau
diese Geräte der perfekte Tunnel aus deinem Netzwerk sind, weil
sie selten sauber segmentiert werden, kaum jemand Egress Traffic
prüft und Authentifizierung oft mit Autorisierung verwechselt
wird?


In dieser Episode nehmen wir drei Sicherheitsvorfälle
auseinander und ziehen konkrete Learnings daraus:



Den Aquarium-Thermometer-Case im Casino mit
ungewöhnlichem Outbound Traffic, alternative Exfiltration
Kanäle und die Frage, ob IoT wirklich das Einfallstor war oder
eher der Exit. 


Ein Jeep Cherokee Hack von 2015, inklusive offenen Port
6667, DBus-Zugriff, Firmware ohne Signierung, CAN-Bus und einem
Diagnosemodus, der plötzlich die Bremsen
ausknipst. 


Ein MQTT Case rund um Staubsaugerroboter, Pub/Sub,
Wildcards und fehlende ACLs, also Mandantenisolierung zum
Weglaufen.



Am Ende bleibt eine unbequeme, aber sehr praktische
Checkliste: Segmentierung, Zero Trust, Least Privilege,
Monitoring und Logging, Secure Boot und vor allem Egress Traffic
als First Class Control.


Und jetzt Hand aufs Herz: Was ist deine beste Ausrede,
warum dein Netzwerk noch nicht segmentiert ist?





Unsere aktuellen Werbepartner findest du auf
https://engineeringkiosk.dev/partners





Das schnelle Feedback zur Episode:


(top)  (geht
so)



Anregungen, Gedanken, Themen und Wünsche

Dein Feedback zählt! Erreiche uns über einen der folgenden
Kanäle …



EngKiosk Community:
https://engineeringkiosk.dev/join-discord 


LinkedIn:
https://www.linkedin.com/company/engineering-kiosk/


Email: stehtisch@engineeringkiosk.dev


Mastodon: https://podcasts.social/@engkiosk


Bluesky:
https://bsky.app/profile/engineeringkiosk.bsky.social


Instagram:
https://www.instagram.com/engineeringkiosk/




Unterstütze den Engineering Kiosk

Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns
immer 



Buy us a coffee:
https://engineeringkiosk.dev/kaffee




Links


ACM Einteilung der Informatik:
https://dl.acm.org/ccs 


Security Week “Hacked Smart Fish Tank Exfiltrated Data to
‘Rare External Destination’”:
https://www.securityweek.com/hacked-smart-fish-tank-exfiltrated-data-rare-external-destination/


Washington Post “How a fish tank helped hack a
casino”:
https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/


Casino Breach - Cyberthrowback Fish Tank Hack:
https://rootcat.de/blog/fishtank_jul21/


MITRE ATT&CK Database:
https://attack.mitre.org/


OWASP Top 10:2025: https://owasp.org/Top10/2025/


Remote Exploitation of an Unaltered Passenger Vehicle
(IOActive whitepaper):
https://www.ioactive.com/wp-content/uploads/pdfs/IOActive_Remote_Car_Hacking.pdf 


Fiat Chrysler Automobiles UConnect allows a vehicle to be
remotely controlled:
https://www.kb.cert.org/vuls/id/819439 


CVE-2015-5611:
https://nvd.nist.gov/vuln/detail/CVE-2015-5611 


Hackers Remotely Kill a Jeep on the Highway—With Me in
It:
https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ 


After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug
Fix:
https://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix/


Man accidentally gains control of 7,000 robot
vacuums:
https://www.popsci.com/technology/robot-vacuum-army/ 


The DJI Romo robovac had security so poor, this man
remotely accessed thousands of them:
https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt




Sprungmarken

(00:00:00) Warum IT Security oft erst auffällt, wenn es
knallt


(00:04:44) Info/Werbung


(00:05:44) Warum IT Security oft erst auffällt, wenn es
knallt


(00:06:14) Hack 1: Aquarium-IoT im Casino und 10 GB
Datenabfluss


(00:31:23) Hack 2: Jeep Cherokee, offener Port, D-Bus und
CAN-Bus


(00:47:18) Hack 3: DJI Staubsaugerroboter, MQTT und
fehlende Autorisierung


(00:52:47) Was du daraus mitnimmst: Authentifizierung,
Autorisierung, Segmentierung



Hosts


Wolfgang Gassler
(https://gassler.dev) 


Andy Grunwald
(https://andygrunwald.com/)




Community

Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen
in unserer Engineering Kiosk Community unter
https://engineeringkiosk.dev/join-discord

Weitere Episoden

#256 Hochleistungskultur ohne Druckkultur mit Philip Klasen-Schwidetzki

#256 Hochleistungskultur ohne Druckkultur mit Philip Klasen-Schwidetzki

1 Stunde 15 Minuten
vor 1 Woche
#255 Die DB skaliert nicht! OLTP vs. OLAP, Row vs. Column Stores, Parquet, CSV, Iceberg, DuckDB

#255 Die DB skaliert nicht! OLTP vs. OLAP, Row vs. Column Stores, Parquet, CSV, Iceberg, DuckDB

1 Stunde 16 Minuten
vor 2 Wochen
#254 Domain Driven Design: Hype, Hate oder Handwerk für komplexe Systeme?

#254 Domain Driven Design: Hype, Hate oder Handwerk für komplexe Systeme?

1 Stunde 6 Minuten
vor 3 Wochen
#253 Technisches Produktmanagement mit Michael Gasch von Amazon Web Services

#253 Technisches Produktmanagement mit Michael Gasch von Amazon Web Services

1 Stunde 14 Minuten
vor 1 Monat
#252 Coole Sprach-Features in Ada, F#, PHP und Go

#252 Coole Sprach-Features in Ada, F#, PHP und Go

59 Minuten
vor 1 Monat
In Podcasts werben
Schalte jetzt Werbung in Podcasts.
Alle Episoden anzeigen

Kommentare (0)

Abonnenten

Logo
15
15