HOME

T. Ammann: "Bits & Pieces": Shodan - die gefährlichste Suchmaschine der Welt

Das Internet der Dinge fängt an, uns auszuspionieren. Damit werden wir alle endgültig zu Insassen des globalen "Big Brother"-Containers, meint Thomas Ammann.

Die Suchmaschine Shodan gewährt Einblicke in Tausende fremde Wohnzimmer, Klassenräume und Hotels

Die Suchmaschine Shodan gewährt Einblicke in Tausende fremde Wohnzimmer, Klassenräume und Hotels

Jeder von uns kennt das dumme Gefühl, irgendwann im falschen Film zu sein. In Zukunft könnte uns dieses Gefühl noch viel öfter beschleichen, und wir können uns dabei auch noch gegenseitig beobachten bzw. wir werden beobachtet, ohne dass wir es mitbekommen. Shodan macht es möglich, eine Suchmaschine für das Internet der Dinge, und damit - wie viele Sicherheitsfachleute meinen – die gefährlichste Suchmaschine der Welt. Denn Shodan hat kürzlich eine Funktion eingerichtet, mit der die (zahlenden) Benutzer überall auf der Welt ungesicherte Webcams ansteuern können. Und die erlauben sehr indiskrete Einblicke.

Das Onlinemagazin Ars Technica, das Forum für Computerfreaks und Techniknerds in den USA, hat ein paar schnelle Recherchen mit Shodan unternommen und dabei nach eigenen Angaben "alarmierende Ergebnisse" erzielt. So überwachte beispielsweise eine Webcam ein schlafendes Baby in einem Kinderzimmer in Kanada, eine andere zeigte die Küche einer Wohnung in Spanien, die nächste filmte sogar einen Mann, der in seiner Küche saß, und auch ein Klassenzimmer in China war während des Unterrichts zu sehen. "Big Brother global" – die größte TV-Show der Welt.

Die Webcams sind deshalb so leicht verwundbar, weil sie das Real Time Streaming Protocol (RTSP, Port 554) zur Videoübertragung benutzen, für das keine Passwort-Authentifizierung nötig ist.

Milionen ungesicherte Kameras

Die Dimensionen sind fast unvorstellbar. Das World Wide Web sei inzwischen voll mit "Millionen von ungesicherten Kameras", meinte der Sicherheitsexperte Dan Tentler gegenüber Ars Technica. Tentler warnte schon vor Jahren auf der größten Hackerkonferenz der Welt, der Defcon in Las Vegas, vor den Gefahren von Shodan. Damals ging es neben Kameras vor allem um Steuerungsanlagen, die ohne ausreichenden Schutz mit dem Netz verbunden waren. Shodan sucht gezielt nach allen per IPv4 am Internet angeschlossenen Geräten und Diensten und hat damit bereits etwa 500 Millionen Adressen eingesammelt. Bald werden es Milliarden sein - von Kraftwerken über Sicherheitskameras, Ampelanlagen bis hin zu den vernetzten Helfern der "Smart Homes". Die Liste lässt sich fast endlos erweitern, und die Folgen dürften gar nicht "smart" sein.

Tentler präsentierte in seinem Vortrag beispielsweise Autowaschanlagen, auf die er Zugriff hatte, ein Eishockey-Stadion, das er übers Netz hätte abtauen können, und sogar das komplette Verkehrsleitsystem einer amerikanischen Stadt, das er hätte manipulieren können – wenn er denn gewollt hätte. Aber Tentler wollte zum Glück nur auf die haarsträubenden Sicherheitslücken hinweisen.

Auch Shodan-Entwickler John Matherly gibt an, er wolle mit seiner "Big Brother"-Show zur Sicherheit des Internets der Dinge beitragen. Dazu führte Matherly das Beispiel von Kameras zur automatischen Erfassung von Nummernschildern an. Mithilfe von Shodan fand er etwa 100 Installationen dieser Geräte, die mehr oder weniger offen zugängliche JPEGs aller erfassten Fahrzeuge ins Netz stellten. Daraus lassen sich problemlos exakte Bewegungsprofile einzelner Fahrzeuge erstellen – die Firma Vigilant Solutions (etwa: "Wachsame Lösungen") bietet Software an, die genau das kann. Ihr Motto: "Be smart. Be safe. Be vigilant."

Fundgrube für Einbrecher

Für smarte Kriminelle allerdings bieten sich ungeahnte Möglichkeiten, in unsichere Systeme vorzudringen. Matherly selbst nannte das Beispiel der Website "PleaseRobMe", die Geodaten von Foursquare ("Finde in jeder Stadt der Welt die besten Orte zum Essen und Trinken, Shoppen oder Besichtigen") mit Statusnachrichten einzelner Benutzer aus Facebook oder Twitter wie "Bin im Café" verknüpfte - was darauf hinwies, dass der oder die Betreffende gerade nicht zuhause war.

Bis heute gibt es keinen ausreichenden Zugangsschutz und keine speziellen Standards für das Internet der Dinge. Das ist besonders fatal, weil die vernetzte Geräte auf den Informationsaustausch angewiesen und deshalb besonders freigiebig mit ihren Daten sind - anders als herkömmliche Server, die mehr oder weniger versuchen müssen, sich gegen Zugriffe von außen abzuschotten.

Aber das Erschreckendste daran ist, dass die Gegenstände um uns herum längst begonnen haben, ein Eigenleben zu führen. Schon 2013 berichtete die britische BBC von Kühlschränken, die SPAM verschickten, in anderen Fällen belauschten Fernseher auf Befehle von außen ihre Benutzer, oder Windkraftanlagen stellten ihren Dienst ein.

Gefahr eines unbeabsichtigten Cyberkriegs

Was das bedeutet, muss man nicht lange erklären. Das Internet der Dinge ist das ideale Einfallstor für Bösewichte aller Art. Es sei nicht ausgeschlossen, meinte vor einiger Zeit schon der US-Verteidigungsexperte Richard Clarke, der Anfang der 2000er Jahre Sonderberater für Computersicherheit im Weißen Haus war, dass einmal ein "unbeabsichtigter Cyberkrieg ausbricht, einfach weil die technischen Abläufe nicht mehr zu kontrollieren" seien.

Ein solcher "zufälliger" Krieg würde sehr schnell eskalieren und könnte sich laut Clarke etwa so entwickeln: Durch einen landesweiten Stromausfall bricht der Verkehr in den Großstädten innerhalb weniger Minuten zusammen. Die gesamte elektronische Kommunikation ist lahmgelegt, die Steuerungssysteme großer Betriebe geraten außer Kontrolle. Giftgaswolken entweichen aus Chemiefabriken, Raffinerien brennen, Züge entgleisen, Satelliten schießen ins All, und Flugzeuge stürzen ab. Das Finanzsystem bricht ebenso zusammen wie die Grundversorgung der Bevölkerung. Landesweite Hungersnöte, Plünderungen, Aufruhr und viele Tote sind die Folge – ein Szenario wie in einem Atomkriegsfilm, ausgelöst durch einen Computerwurm oder eine andere Logikbombe, die an wichtigen Schaltstellen des gegnerischen Netzwerks zur Detonation gebracht wurde.

Der Weltuntergang, ausgelöst durch eine kleine Webcam, die ein schlafendes Baby in Kanada beobachtet. Sorry, aber drunter ging's heute nicht. Roland Emmerich, der "Master of Disaster", hätte seine wahre Freude daran. Und wir alle hätten einmal mehr das Gefühl, wir seien im falschen Film.

Ich bin Freiberufler und werde diskreditiert!
Ich habe als Freiberufler für eine Firma gearbeitet wo bis zur letzten Minute alles super in Ordnung war. Der nächste Auftrag stand für einen Sonntag und der wurde mir ohne Begründung entzogen ohne Angaben von Gründe und das zwölf Stunden vor Antritt. Nun gut Gespräch mit der Leitung hat ergeben das eine leitende Person ein Statement abgeben hat über die Verkaufs Menge bzw Umsatz. Damit muss ich leben an diesem Tag war nicht los. Habe mich dann bei einer anderen Promotion Agentur beworben und heute ein Gespräch gehabt mit Vorführung meiner Kenntnisse. Bei dieser Präsentation wurde die mir zur Seite gestellte BC während dem Gespräch informiert von Mitarbeitern der anderen Agentur das ich nicht zu gebrauchen wäre und sogar sehr unfreundlich meinen Job verrichten. Aus diesem Grund bin ich dann nicht genommen worden. Als ich Zuhause war habe ich die alte Agentur zur Rede gestellt was das für eine Vorgehensweise wäre dort wurde ich von der Leitung mehr oder weniger kalt gestellt mit den Worten das wäre in der Branche normal man könnte nicht dulden mich dort im Store arbeiten zu lassen das wäre nicht gut für die eigene Mannschaft. Also folgender Problem ergibt sich nun. Da ich in Düsseldorf zuhause bin und dort auch meine Tätigkeit ausübe werde ich in allen Stores nun keine Aufträge mehr erhalten wenn es dieser Agentur gestattet ist ohne ein klärendes Gespräch meinen Ruf zu beschädigen. Bitte um Hilfe da meine LebensGrundlage mir gerade dadurch entzogen wird. Ich glaube es hat etwas damit zutun das ich homosexuelle bin und einer Dame das nicht passt.