Sign up to save your podcasts
Or
Share #257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#257 Fischbecken, Jeep, Saugroboter - 3 Hacks, 1 Lesson: Zero Trust
Du denkst, dein IoT-Kram ist harmlos: ein Thermometer, ein Staubsaugerroboter, ein bisschen Smart Home. Aber was, wenn genau diese Geräte der perfekte Tunnel aus deinem Netzwerk sind, weil sie selten sauber segmentiert werden, kaum jemand Egress Traffic prüft und Authentifizierung oft mit Autorisierung verwechselt wird?
In dieser Episode nehmen wir drei Sicherheitsvorfälle auseinander und ziehen konkrete Learnings daraus:
- Den Aquarium-Thermometer-Case im Casino mit ungewöhnlichem Outbound Traffic, alternative Exfiltration Kanäle und die Frage, ob IoT wirklich das Einfallstor war oder eher der Exit.
- Ein Jeep Cherokee Hack von 2015, inklusive offenen Port 6667, DBus-Zugriff, Firmware ohne Signierung, CAN-Bus und einem Diagnosemodus, der plötzlich die Bremsen ausknipst.
- Ein MQTT Case rund um Staubsaugerroboter, Pub/Sub, Wildcards und fehlende ACLs, also Mandantenisolierung zum Weglaufen.
Am Ende bleibt eine unbequeme, aber sehr praktische Checkliste: Segmentierung, Zero Trust, Least Privilege, Monitoring und Logging, Secure Boot und vor allem Egress Traffic als First Class Control.
Und jetzt Hand aufs Herz: Was ist deine beste Ausrede, warum dein Netzwerk noch nicht segmentiert ist?
Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners
Das schnelle Feedback zur Episode:
👍 (top) 👎 (geht so)
Dein Feedback zählt! Erreiche uns über einen der folgenden Kanäle …
- EngKiosk Community: https://engineeringkiosk.dev/join-discord
- LinkedIn: https://www.linkedin.com/company/engineering-kiosk/
- Email: [email protected]
- Mastodon: https://podcasts.social/@engkiosk
- Bluesky: https://bsky.app/profile/engineeringkiosk.bsky.social
- Instagram: https://www.instagram.com/engineeringkiosk/
Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns immer
- Buy us a coffee: https://engineeringkiosk.dev/kaffee
- ACM Einteilung der Informatik: https://dl.acm.org/ccs
- Security Week “Hacked Smart Fish Tank Exfiltrated Data to ‘Rare External Destination’”: https://www.securityweek.com/hacked-smart-fish-tank-exfiltrated-data-rare-external-destination/
- Washington Post “How a fish tank helped hack a casino”: https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/
- Casino Breach - Cyberthrowback Fish Tank Hack: https://rootcat.de/blog/fishtank_jul21/
- MITRE ATT&CK Database: https://attack.mitre.org/
- OWASP Top 10:2025: https://owasp.org/Top10/2025/
- Remote Exploitation of an Unaltered Passenger Vehicle (IOActive whitepaper): https://www.ioactive.com/wp-content/uploads/pdfs/IOActive_Remote_Car_Hacking.pdf
- Fiat Chrysler Automobiles UConnect allows a vehicle to be remotely controlled: https://www.kb.cert.org/vuls/id/819439
- CVE-2015-5611: https://nvd.nist.gov/vuln/detail/CVE-2015-5611
- Hackers Remotely Kill a Jeep on the Highway—With Me in It: https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
- After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix: https://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix/
- Man accidentally gains control of 7,000 robot vacuums: https://www.popsci.com/technology/robot-vacuum-army/
- The DJI Romo robovac had security so poor, this man remotely accessed thousands of them: https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt
(00:00:00) Warum IT Security oft erst auffällt, wenn es knallt
(00:04:44) Info/Werbung
(00:05:44) Warum IT Security oft erst auffällt, wenn es knallt
(00:06:14) Hack 1: Aquarium-IoT im Casino und 10 GB Datenabfluss
(00:31:23) Hack 2: Jeep Cherokee, offener Port, D-Bus und CAN-Bus
(00:47:18) Hack 3: DJI Staubsaugerroboter, MQTT und fehlende Autorisierung
(00:52:47) Was du daraus mitnimmst: Authentifizierung, Autorisierung, Segmentierung
- Wolfgang Gassler (https://gassler.dev)
- Andy Grunwald (https://andygrunwald.com/)
Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen in unserer Engineering Kiosk Community unter https://engineeringkiosk.dev/join-discord
View all episodes
By Wolfgang Gassler, Andy GrunwaldDu denkst, dein IoT-Kram ist harmlos: ein Thermometer, ein Staubsaugerroboter, ein bisschen Smart Home. Aber was, wenn genau diese Geräte der perfekte Tunnel aus deinem Netzwerk sind, weil sie selten sauber segmentiert werden, kaum jemand Egress Traffic prüft und Authentifizierung oft mit Autorisierung verwechselt wird?
In dieser Episode nehmen wir drei Sicherheitsvorfälle auseinander und ziehen konkrete Learnings daraus:
- Den Aquarium-Thermometer-Case im Casino mit ungewöhnlichem Outbound Traffic, alternative Exfiltration Kanäle und die Frage, ob IoT wirklich das Einfallstor war oder eher der Exit.
- Ein Jeep Cherokee Hack von 2015, inklusive offenen Port 6667, DBus-Zugriff, Firmware ohne Signierung, CAN-Bus und einem Diagnosemodus, der plötzlich die Bremsen ausknipst.
- Ein MQTT Case rund um Staubsaugerroboter, Pub/Sub, Wildcards und fehlende ACLs, also Mandantenisolierung zum Weglaufen.
Am Ende bleibt eine unbequeme, aber sehr praktische Checkliste: Segmentierung, Zero Trust, Least Privilege, Monitoring und Logging, Secure Boot und vor allem Egress Traffic als First Class Control.
Und jetzt Hand aufs Herz: Was ist deine beste Ausrede, warum dein Netzwerk noch nicht segmentiert ist?
Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners
Das schnelle Feedback zur Episode:
👍 (top) 👎 (geht so)
Dein Feedback zählt! Erreiche uns über einen der folgenden Kanäle …
- EngKiosk Community: https://engineeringkiosk.dev/join-discord
- LinkedIn: https://www.linkedin.com/company/engineering-kiosk/
- Email: [email protected]
- Mastodon: https://podcasts.social/@engkiosk
- Bluesky: https://bsky.app/profile/engineeringkiosk.bsky.social
- Instagram: https://www.instagram.com/engineeringkiosk/
Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns immer
- Buy us a coffee: https://engineeringkiosk.dev/kaffee
- ACM Einteilung der Informatik: https://dl.acm.org/ccs
- Security Week “Hacked Smart Fish Tank Exfiltrated Data to ‘Rare External Destination’”: https://www.securityweek.com/hacked-smart-fish-tank-exfiltrated-data-rare-external-destination/
- Washington Post “How a fish tank helped hack a casino”: https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/
- Casino Breach - Cyberthrowback Fish Tank Hack: https://rootcat.de/blog/fishtank_jul21/
- MITRE ATT&CK Database: https://attack.mitre.org/
- OWASP Top 10:2025: https://owasp.org/Top10/2025/
- Remote Exploitation of an Unaltered Passenger Vehicle (IOActive whitepaper): https://www.ioactive.com/wp-content/uploads/pdfs/IOActive_Remote_Car_Hacking.pdf
- Fiat Chrysler Automobiles UConnect allows a vehicle to be remotely controlled: https://www.kb.cert.org/vuls/id/819439
- CVE-2015-5611: https://nvd.nist.gov/vuln/detail/CVE-2015-5611
- Hackers Remotely Kill a Jeep on the Highway—With Me in It: https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
- After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix: https://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix/
- Man accidentally gains control of 7,000 robot vacuums: https://www.popsci.com/technology/robot-vacuum-army/
- The DJI Romo robovac had security so poor, this man remotely accessed thousands of them: https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt
(00:00:00) Warum IT Security oft erst auffällt, wenn es knallt
(00:04:44) Info/Werbung
(00:05:44) Warum IT Security oft erst auffällt, wenn es knallt
(00:06:14) Hack 1: Aquarium-IoT im Casino und 10 GB Datenabfluss
(00:31:23) Hack 2: Jeep Cherokee, offener Port, D-Bus und CAN-Bus
(00:47:18) Hack 3: DJI Staubsaugerroboter, MQTT und fehlende Autorisierung
(00:52:47) Was du daraus mitnimmst: Authentifizierung, Autorisierung, Segmentierung
- Wolfgang Gassler (https://gassler.dev)
- Andy Grunwald (https://andygrunwald.com/)
Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen in unserer Engineering Kiosk Community unter https://engineeringkiosk.dev/join-discord