Das Internet of Things ist grundsätzlich eine grandiose Sache. Alle erdenklichen Geräte – angefangen bei der Kaffeemaschine über das Auto bis hin zu den Rollos vor den Fenstern – erhalten über z.B. einen Router einen Internetzugang und können über mehr oder weniger standardisierte Protokolle miteinander kommunizieren und ferngesteuert werden. Wenn ihr etwas früher nach Hause kommt, dreht ihr die Heizung per Smartphone etwas eher hoch; wird es etwas später, fernprogrammiert ihr schon mal euren Festplattenrekorder – so’n Schnickschnack eben, ganz toll und superpraktisch.
Zu den momentan meistverbreiteten “Things” – weil schon am längsten am Markt – zählen sicherlich Überwachungskameras. Diese werden kabelgebunden oder kabellos mit einem Access Point vor Ort verbunden und liefern dann ein Bild des erfassten Raums per Fernzugriff. Über mehr oder weniger ausgereifte Smartphone-Apps, Windows-Programme und Browser-Schnittstellen lassen sich die Kamerabilder als Realtime-Stream oder Intervall-Folgen von Bildern abrufen. Manche besitzen eine Bewegungserkennung und schlagen bei eben dieser Alarm oder streamen im Dauerbetrieb.
Für all’ diese Gegenstände und Devices im dauervernetzten IoT-Betrieb gibt es eine spezialisierte Suchmaschine namens Shodan. Die Suchoberfläche liefert ganz klassisch nach der Eingabe eines Suchbegriffs alle möglichen Geräte, die unter einer bestimmten IP-Adresse und ggfls. über einen bestimmten Port zu erreichen sind. Wenn es sich z.B. um einen NAS-Server mit Fernzugriff handelt, werden weiterführende Informationen zu dessen aktiven Diensten angezeigt und eine Standort-Karte (dazu später mehr) gibt es gleich noch dazu.
Klassenzimmer, Wohnräume, Kinderbettchen, Hinterhöfe – Shodan findet alles, früher oder später.
Bisher war Shodan eher eine Anlaufstelle für fachlich interessierte Sicherheitsexperten, u.U. auch schon für einige Skript-Kiddies, die ihre ersten Hack-Versuche nach kürzlich bekanntgewordenen Sicherheitslücken starten wollten. Das dürfte sich nun schlagartig ändern, denn Shodan liefert nun auch IP-Adressen, Port- und Geräteinfos sowie – sofern verfügbar – die zum jeweiligen Zugriffszeitpunkt erfassten Bilder von ungeschützten Webcams – und entpuppt sich damit als ultimatives Spanner-Tool fürs weltweite “Fernsehprogramm” der anderen Art.
Ein Klassenraum in China oder eine Küche in Spanien – kein Problem.
Die Funktionsweise von Shodan für diese Webcam-Suche ist simpel: der Crawler der Suchmaschine sucht gezielt nach IP-Adressen, die über das Real Time Streaming Protokoll (RTSP, Port 554) einen nicht-passwortgeschützten Stream ausliefern. Wird der Crawler fündig, macht das Such-Script einen Screenshot, erfasst die übertragenen Daten und Protokollinformationen und zieht weiter. Die Ergebnisse werden angemeldeten Benutzern der Plattform komfortabel über Filterbefehle angezeigt, zahlende Benutzer bekommen sogar eine ständig aktualisierte Bildergalerie.
Diese liefert erstaunliche, skurrile und befremdliche Ergebnisse. Angefangen bei Überwachungskameras für Pool-Anlagen über schlafende Babies im Kinderbettchen, an der Decke montierte Kassen-Cams, Klassenräumen, Hinterhöfen bis hin zu sicherheitsrelevanten Labor-Bereichen ist alles dabei.
Die Suche nach solchen komprimierten Überwachungskameras ist nicht wirklich neu. Spezialiserte Dienste wie z.B. insecam.org (Insecure Cameras) liefern verleichbare Ergebnisse bereits seit längerem, fein säuberlich sortiert nach Herkunftsländern. Selbstverständlich befinden sich darunter auch viele Angebote, die vom jeweiligen Administrator oder Betreiber ganz bewusst freigeschaltet wurden, um Live-Streams von Aussichtsplattformen oder Sehenswürdigkeiten in einer bestimmten Stadt ins Netz zu blasen.
Doch in einer zunehmenden Zahl von Fällen wissen die Betreiber nichts von ihrer weltweiten Prominenz. Sie besitzen ganz einfach eine IP-basierte Webcam, deren vorinstallierte Software entweder gänzlich ungeschützt oder über vordefinierte Default-Passwörter leicht auszuhebeln ist. Sofern man weiß, um welche Kamerahersteller und -modelle es sich handelt, hat man gleichzeitig den ersten soliden Such-Ansatz für spezialisierte Such-Dienste wie Shodan.
Das Problem dürfte wesentlich weiter verbreitet sein als mancher denken mag. IP-basierte Überwachungskameras für den professionellen und heimischen Bereich werden heutzutage gemessen an ihrer Funktionalität zu Spottpreisen verschleudert – und offenbar sparen einige Hersteller oder Importeure da gerne an der Software-Pflege und entsprechenden Sicherheits-Updates.
Aufsehen erregten erst kürzlich verschiedene Kameras von Supra Elektronik, die seit geraumer Zeit unter dem Maginon-Label bei Aldi und Hofer (Österreich) angeboten wurden. Die Kameras erlauben im Auslieferungszustand den völlig ungeschützten Zugriff auf Bilder und Livestreams der Kamera und können einem “Angreifer” mit den entsprechenden Kenntnissen auch WLAN- und Mail-Konten-Passwörter verraten. Zwar gibt es mittlerweile ein Firmware-Update für die betroffenen Kamera-Modelle IPC-10 AC, IPC-20 C und IPC-100 AC, doch dieses wird von der Kamera nicht automatisch installiert.
Schick, billig, “einfache Handhabung” – und gefährlich: die Maginon IPC-100 AC ermöglich mit nicht aktualisierter Firmware den Vollzugriff auf Videstreams, Bilder und Passwörter.
Eben hier sind wir beim springenden Punkt. Selbstverständlich soll ein angeschafftes elektronisches Gerät einfach funktionieren, so wie die vor zehn Jahren angeschaffte Waschmaschine, die klaglos im Keller ihren Dienst verrichtet. Doch vernetzte Geräte ticken anders, die brauchen Updates – entweder funktionale oder sicherheitsrelevante, aber eben hier bekleckern sich nur ganz wenige Hersteller mit Ruhm. Angefangen beim heimischen Router inklusive der populären Fritz!Box bis hin zum ach so sicheren “Own Cloud” NAS-Server, der als Alternative zu den “NSA-verseuchten amerikanischen Cloud-Dienstleistern” angepriesen wird: viele dieser Geräte fallen in regelmäßigen Abständen durch nachlässig abgesicherte oder nicht mehr aktualisierte Firmware und Software auf. Überwachungskameras sind da nur ein Beispiel von vielen, wenn auch ein besonders publicity-wirksames – im negativen Sinne.
Die neue Dimension ist, dass uns das IoT als bereits alltagstauglicher, mitunter spielerisch-faszinirender Trend angepriesen wird, obwohl viele Hersteller anscheinend (noch) überhaupt kein Interesse daran haben, hier mehr Geld als nötig in die eigentlich zwingenden Sicherheitsaspekte zu investieren. Nur so lässt sich erklären, warum z.B. ein mit bestem Wissen und Gewissen angeschaffter Lego Mindstorms EV3 für den minderjährigen Nachwuchs zur kleinen Netzwerk-Bombe mutiert. Das Schlimme ist, dass durch solche negativen Beispiele der eigentlich wunderbare und faszinierende IoT-Markt als Ganzes in Mitleidenschaft gezogen wird. Vera berichtet über einen WowWee Roboter-Hund, ich denk’ an die installierten Sensoren und Cams, die sicherlich in zukünftigem IoT-Spielzeug andauernd enthalten sein werden.
Unsichere Webcams: Wenn der Überwacher unwissentlich zum Überwachten wird.
Speziell bei Überwachungskameras wird das Ganze natürlich endgültig zur Farce, denn eigentlich (sic!) wurden die meisten dieser Geräte ja aus einem konkreten oder diffusen Sicherheitsbedürfnis der Käufer angeschafft. Man möchte etwas überwachen und kontrollieren – und wird selbst unwissentlich zum Überwachungs- und Kontrollobjekt für eine weltweite Spanner-Gemeinde. Kafka lässt grüssen.