Antago hackt Gira Home- und Facilityserver

Im Rahmen verschiedener Forschungsprojekte beschäftigt sich die Antago GmbH seit einigen Jahren neben klassischen digitalen Einbrüchen auch mit der Sicherheit von EIB/KNX-basierten Systemen.

Trotz der weitreichenden Möglichkeiten von Erebos und Thanatos bedurfte es immer dem einmaligen, physikalischen Zugriff auf das anzugreifende Gebäude. Als logische Konsequenz ergab sich der Wunsch, die gleichen Angriffe auf Licht-, Klima- und Alarmsysteme, auch aus dem Internet heraus, ausführen zu können. Die Vision war es, mit automatisierter Software von überall auf der Welt zentral auf tausende Gebäudesteuerungen administrativ zugreifen zu können.

Einer der größten Anbieter für im Internet vernetzte Smart Buildings ist die Firma Gira. So war es naheliegend, deren Produkt auf Angreifbarkeit zu untersuchen. Ein solcher Angriff wurde nach unserem Kenntnisstand in dieser Form noch nie flächendeckend durchgeführt und war somit absolut aktuell und gefährlich.

• Download paper

  (1,4mb .pdf)

• Download paper - english version

  (1,4mb .pdf)

Thanatos - Gott des Todes - Angriffe auf (EIB/KNX) Version 2

Mit Erebos haben wir bereits eindrücklich demonstriert, wie es um die (Un-)Sicherheit von EIB/KNX-basierten BUS-Systemen steht. Damit konnten wir das Thema Sicherheit von Gebäudeleitsystemen und Smart Homes wieder deutlich in die Diskussion bringen.

Im November 2014 haben wir nun mit Thanatos ein weiteres Angriffstool mit spannenden Funktionalitäten entwickelt, das noch dazu so klein dimensioniert ist, dass es hinter einen Lichtschalter passt.

In unserem Whitepaper zur Thanatos stellen wir Ihnen den kleinen Zerstörer vor.

• Download paper

  (8,0mb .pdf)

Sicherheit von Gebäudeleitsystemen (EIB/KNX)

Mit Erebos hat die Antago GmbH bereits seit Juni 2014 eindrücklich demonstriert, wie es um die (Un-)Sicherheit von Gebäudeleitsystemen allgemein, im speziellen aber bezogen auf die BUS-Ebene steht. Endlich veröffentlichen wir hierzu ein detailliertes White Paper.

• Warum und wie sind Gebäudeleitsysteme und Smart Homes angreifbar?
• Welchen Angriffsszenarien müssen wir uns stellen, wenn wir Leitsysteme betreiben?
• Wie weit gehen die Möglichkeiten des KNX Hacking?
• In welchem Ausmaß kann Erebos in Leitsysteme eingreifen?

In unserem Whitepaper zur Sicherheit von Gebäudeleitsystemen und KNK-Hacking geben wir Ihnen hierauf kompetent Antwort.

• Download paper

  (3,8mb .pdf)

Security Incident Handling - Erste Hilfe im Schadensfall

Vermehrt dringen Sicherheitsvorfälle mit entsprechenden Konsequenzen an die Öffentlichkeit. Regelmäßig ist in der aktuellen Presse vom Abfluss sensitiver Informationen wie Kundendaten, Passwörtern, Konto- und Kreditkartendaten und vielem mehr zu lesen.

Im Falle des Falles sind viele Unternehmen jedoch nicht oder nur unzureichend auf einen solchen Security Incident vorbereitet. Hier wollen wir Sie mit ersten Informationen unterstützen!

• Download paper

  (248kb .pdf)

Security flaw of ITAN based online banking

This article deals with a risk analysis of transaction number (TAN)-based mechanisms to authenticate the online banking area. The motiviation for this development is to be justified by the evergrowing number of users of online banking. Due to the always increasing number of users, security has become a very important factor. The most serious error in relation to such problems is the danger of underestimating attacks. This paper aims to raise user awareness and the administrators involved. It looks to phishing sites and the various phishing mechanisms.

• Download paper

  (97kb .pdf)

Merkelphone unter der Lupe

Im Rahmen einer journalistischen Anfrage durch die ComputerBild hatte die Antago GmbH, vertreten durch MSc. Alexander Dörsam, die Chance das aktuelle „Merkelphone“ im Hinblick auf seine Abhörbarkeit zu prüfen.

• Download paper

  (900kb .pdf)

IP v6 - Alles wird gut?

Mit IP v6 kommen zu den bekannten Sicherheitsproblematiken von Netzen neue hinzu.

• Download paper

  (8,3mb .pdf)

Welcher Passcode ist sinnvoll für iPhone und iPad

Komplexe Passcodes schützen das mobile Gerät, aber sie stören auch die Nutzer. Die Herausforderung ist, einen Passcode zu wählen der ausreichend sicher aber auch benutzerfreundlich ist.

Wir zeigen Ihnen, wie es wie es bei iPhone und iPad funktioniert!

• Download paper

  (1,9mb .pdf)

Combining Firesheep with ARP spoofing

Firesheep (http://codebutler.github.com/firesheep/) is "a Firefox extension that demonstrates HTTP session hijacking attacks". The attacking technique used by Firesheep isn't spectacular but Firesheep is very easy to use. This makes Firesheep real dangerous.

But there is a limitation: Firesheep just works in shared mediums (f.e. wireless LAN hotspots).

During the last weeks more and more users of Firesheep were looking for the possibility to use it in a switched environment. So the next step to support the target of Firesheep (showing how dangerous the usage of plain HTTP really is) was to find a easy solution to perform HTTP session hijacking in a switched network environment by combining
Firesheep with ARP spoofing.

This paper describes how to archive this goal with a user friendly interface.

• Download paper

  499mb .pdf

• Download Antago ARPSpoof Extension

  21,9kb .zip

Archiv

Weitere White Paper finden Sie in unserem Archiv.

Zum Archiv