Deutsch
English
Haben Sie eine Überwachungskamera, einen Fitness-Tracker oder smarte Beleuchtungssysteme? Oder sind Ihre Rauchmelder im Internet, um im Notfall Alarm zu geben, wie es auch schon moderne Sicherheitssysteme können? Man geht davon aus, dass über 50 Milliarden Geräte im Netz sind, damit sie Informationen teilen, zentral verwaltet oder gesteuert werden können. Doch ist alles, was sich im Netz tummelt, wirklich sicher? Diese Frage wird auf Shodan eindeutig geklärt, der wohl umstrittensten Suchmaschine der Welt.
Shodan wurde im Jahr 2009 von John Matherly entwickelt und nach einer künstlichen Intelligenz des Spiels "System Shock" benannt. Ursprünglich als Suchmaschine für Internet of Things (IoT)-Geräte konzipiert, zeigte sich schnell, wie wichtig, aber auch gefährlich seine Ergebnisse sind. Kurz zur Klärung: Mit dem Internet of Things (Internet der Dinge) werden die unzähligen Geräte bezeichnet, die mit dem Internet verbunden sind. Das reicht von den oben genannten Beispielen hin zu industriellen Fertigungsstraßen, Ampelsteuerungen oder zentrale Server. Was zentral überwacht oder gesteuert werden soll, bekommt brav seine IP-Adresse zugewiesen und ist damit Teil des Internets, wie auch Ihr Handy oder PC. Oft sitzt jemand am Computer, um die Systeme zu überwachen und bei Bedarf einzugreifen. Viele Geräte kommunizieren aber auch weitgehend untereinander, und der Mensch wird dann nur bei Problemen oder mit einer Statusmeldung informiert.
Diese Vernetzung hat enorme Vorteile, so kann man im Notfall viel schneller reagieren, Engpässe schon frühzeitig erkennen oder, ganz praktisch, schnell den Reparatur-Trupp losschicken, wenn etwas im Argen liegt. So klar die Vorteile der Vernetzung auf der Hand liegen, gibt es natürlich Ärger im Paradies! Denn diese Geräte (oder besser: deren Software) sind nicht perfekt und die Menschen, die sie bedienen, auch nicht! Stellen Sie sich z.B. die kleinen Computer in smarten Kühlschränken vor, auf denen oft winzige Betriebssysteme mit Namen wie FreeRTOS, mbed OS oder Zephyr laufen. Diese Betriebssysteme haben oft nur einen geringen Funktionsumfang und sollen vor allem stabil laufen, leicht zu steuern sein und die Verbindung zum Internet halten. Was bei deren Entwicklung nicht immer im Mittelpunkt stand: maximale Sicherheit gegenüber Angriffen aus dem Netz. Und genau hier kommt Shodan ins Spiel!
Schwache Software oder schwacher Admin?
Vereinfacht erklärt: Shodan erstellt zufällige IP-Adressen und klopft dort mal an. Man nutzt dabei verschiedene Ports (quasi Türen, die vom Betriebssystem zur Kommunikation einer Anwendung freigegeben sind) und schaut, ob sich jemand meldet. Gibt das kontaktierte Gerät dann Rückmeldung, erfolgt das oft mit einem sogenannten Banner, einer Art Visitenkarte. Dort steht drin, um welches Gerät es sich handelt, welche Softwareversion und welches Betriebssystem es nutzt, welche Ports und Dienste verfügbar sind und welche Konfigurationseinstellungen es hat. Im schlimmste Fall stehen sogar Benutzernamen und Passwörter darin. All diese Banner landen dann gesammelt in einer riesigen Datenbank, die mit Shodan durchsucht werden kann. Und damit beginnt auch die eigentliche Kontroverse.
Denn oft ist der Index eine Liste der Schande, weil er auf unzählige Geräte mit niedrigen Sicherheits-Vorkehrungen oder veralteter Software hinweist – und natürlich auch von möglichen Angreifern eingesehen werden kann. Selbst wenn der Gedanke unheimlich ist, dass die eigene Sicherheitskamera gehackt werden könnte, sind die in der Datenbank enthaltenen Stromnetze, Wasseranlagen und Kraftwerke wesentlich besorgniserregender. Diese Daten können von jedem, der sich kostenlos anmeldet, eingesehen werden. Investiert man etwas mehr für ein Shodan-Abo oder nutzt man eine Software wie SHODAN Diggity, bekommt man noch mehr filterbare Ergebnisse und mehr Daten zu den gefundenen Geräten. Fein aufgereiht finden sich Webcams, Drucker, Router, Sicherheitskameras, Switches und sogar Industrieanlagensteuerungen wie auch deren Standorte. Man kann auch nach Städten, einzelnen Kameratypen oder Geräten mit Standard-Passwörtern suchen. Selbst spezifische Versionen von Betriebssystemen, die bekanntermaßen leicht zu hacken sind, finden sich im Handumdrehen. Für den Zugriff auf viele Systeme reicht dann oft ein simpler Browser.
Selbst unerlaubte Zugriffe auf Verkehrsleitsysteme sind denkbar
Woher kommen diese Schwachpunkte? Man kann hier drei große Problemzonen ausmachen. Natürlich stehen die Betriebssysteme selbst im Mittelpunkt. Oft werden sie schnell und günstig an die Hardware angepasst und dann nach dem Erscheinen / Verkauf nie wieder angefasst. Wenn Sie daran denken, wie oft Sicherheitsupdates für den PC oder das Handy erscheinen (müssen), ist dieser Umstand fatal. Viele Sicherheitslücken sind seit Jahren bekannt und werden auf den Geräten bleiben, bis sie irgendwann den Geist aufgeben. Manche Geräte haben nicht mal die Möglichkeit zum Update, bei anderen kümmern sich die Hersteller nicht oder die Firmen selbst gibt es längst nicht mehr. Dann gibt es die Bequemlichkeit der Nutzer (oft Admins), die Benutzername und Passwort nicht ändern oder einfallslose Varianten wie Benutzername „Admin“ und Passwort „1234“ nutzen. Sie würden es kaum glauben, welch wichtige Systeme auf diese Weise gesichert werden sollen! Das dritte Problem sind betagte Systeme (wie z.B. Fertigungsstraßen, Verkehrsleitsysteme oder die Krankenhaus-IT), die älter als das Internet sind und nie dazu gedacht waren, an ein Netz gehängt zu werden. Als man sie dann doch mit dem Internet verband, wurde improvisiert, kostengünstig oder einfach schlecht gearbeitet. Die ungeschminkte Wahrheit findet man dann auf Shodan!
Die ewigen Diskussionen um ein Verbot von Shodan erinnern mich an die klassische Frage, ob man den Boten einer schlechten Nachricht bestrafen dürfe. Denn Shodan hackt keine Seite, sondern stellt nur Fakten ins Netz, wenn auch sehr unbequeme. Natürlich können auch Internetkriminelle auf dessen Daten zugreifen und damit Schindluder treiben – doch die haben ganz andere Möglichkeiten, über Portscanner und Bot-Netzwerke an brisante Informationen zu kommen. Shodan will Bewusstsein schaffen, wie verwundbar das Internet of Things ist. Wenn man nur ein paar Mausklicks von der Überwachungskamera eines Krankenzimmers oder der Steuerung eines Wasserwerks entfernt ist, so sind das massive Probleme, die gelöst werden müssen, bevor jemand Schlimmeres anstellt! Und so ist dann auch die Nutzung von Shodan legal, solange man nicht versucht, die angezeigten Geräte zu übernehmen. Das angestrebte Bewusstsein setzt sich (zumindest auf professioneller Ebene) langsam durch – wenn auch nicht immer freiwillig! So finden sich in einigen Foren Berichte entsetzter Admins, die von Wildfremden, aber auch durch ihre Chefs höchstpersönlich sehr alarmierende Nachrichten bekamen…
Was mich interessieren würde: Was halten Sie von einer Suchmaschine wie Shodan? Wichtige Informationen für alle oder gefährliches Insider-Wissen, das nicht öffentlich gemacht werden sollte?
Hallo Sven,
bis jetzt hatte ich tatsächlich noch keine Ahnung von so einem SHODAN. Vielleicht auch ganz gut, denn ich hatte von jeher eine Abneigung vor einer Vernetzung von Heimgeräten. Aber man darf sich ja kaum vorstellen, was da nach Ihrer Schilderung alles passieren kann. Es zeigt aber auch gleichzeitig die übergroße Abhängigkeit und Verletzlichkeit unserer allgemeinen Infrastruktur und Vernetzung auf, die wohl kaum auch wegen der laxen Handhabung von Daten im Allgemeinen zu mindern oder zu heilen ist.
Einerseits haben wir beispielweise eine "segensreiche" DSGVO, man beschwört die Sicherheit und andererseits liefern die "Schwörer" oft selbst sensibelste Daten ins Netz. Da bekommt man eben nichts mehr in den Griff. Ständig hinterher laufen bringt keinesfalls etwas. Man sollte, was jetzt bereits wesentlich zu spät sein dürfte, ein frommer Wunsch ist, vorn dran gewesen sein.
George Orwell war vor Jahren sehr weitsichtig, als es das alles noch nicht gab. Halten wir uns vor Augen: "BIG BROTHER IS WATCHING YOU!". Man könnte noch anfügen: "ANYWHERE, WITHOUT CONDITIONS ALL OVER THE WORLD".
Viele Grüße an Sie, Sven, und bleiben's g'sund und machen weiter!
Ortfried
„Ärger im Paradies“ ist da eine gute Bezeichnung. Shodan war mir bisher völlig unbekannt. Danke für den sehr interessanten Blog Artikel. Das Thema betrifft ja nicht nur „schlaue“ Heimgeräte, sondern letztlich erhebliche Teile unserer Infrastruktur usw.
Wen wundert es da noch, dass sehr viele Menschen sehr wenig von der elektronischen Gesundheitskarte (mit Patientenakte) halten, mit den dort ihren wohl aller persönlichsten Daten darauf...
es wurden hier schon viele gute Kommentare geäußert, doch was mich am meisten nachdenklich macht ist:
warum sind die Menschen so, das man Alles und Jedes vor ihnen schützen muß? Anscheinend gibt es nur noch "nicht vertrsauenswürdige Personen".
Auf der anderen Seite ist die Bequemlichkeit so groß, das man sich solche Dinge wie "Siris" und Ähliches, ins Haus holt.
Diese ganze Debatte über Datenschutz ist gegenstandslos, denn die "Verantwortlichen" kümmern sich überhaupt nicht darum.
Zuerst einmal: vielen Dank an Sven für einen weiteren sehr guten Beitrag!
Natürlich: Kopf ab!
Aber, Moment mal, wie war das noch mit der Hydra???
Wieso gibt es so viele Kommentare, die sich erstaunt, entsetzt oder zum Teil wohl auch etwas hilflos äußern?
Seit Jahren kann man immer wieder lesen, daß große Firmen, Krankenhäuser oder Institute Opfer von Erpressern wurden welche die gesamte Infrastruktur lahmlegten und den Link zum Freischalten nur gegen Zahlung von enormen Beträgen mitteilten (wenn überhaupt).
Die Hintermänner dieser Atacken sind Spezialisten, wohl auch staatliche, die eine solche Suchmashine gar nicht erst benötigen.
Es ist wichtig auf die Gefahren und die Unzulänglichkeiten von Software, Betriebssystemen vernetzten Geräten aufmerksam zu machen.
Vielleicht hilft das ja ein bischen ?
Die richtig bösen Jungs kommen immer an ihre Daten, das zeigt leider die Erfahrung. Für mich stellt sich *maximal* die Frage, ob über Shodan vielleicht jemand auf die falschen Gedanken kommt - aber subjektiv ist für mich der Nutzen höher.
Verstehe ich das richtig, das Ding ist so was wie ein Portscanner für Faule? Man muss nichts mehr selbst machen sondern bekommt gleich die Ergebnisse?
Ich habe nicht gewusst, dass es so ein Ding gibt, aber ich finde es gut.
Klopft an, sammelt Infos und wertet auf Fehler aus. Portscan Deluxe, wenn man so will :)
"Shodan will Bewusstsein schaffen, wie verwundbar das Internet of Things ist." So weit so gut ... wie man so schön sagt.
Da ich fast mein ganzes Berufsleben in der IT verbracht habe wird mir schlecht bei dem Gedanken, was man mit diesen Informationen anfangen könnte ... wenn man Übles vorhat. Alle Zugangs- oder Sicherheitsinformationen, die man irgendwo "öffentlich" auslesen kann, halte ich für ein Risiko. Es gibt immer irgendwann irgendwo irgendwen, der solches ausnutzen kann.
Wie schon im Artikel erwähnt gibt es haufenweise (öffentliche) Systeme, die nie für "online" konzipiert waren - weder von der Architktur noch von den Sicherheitskonzepten her. Wenn der Zugang und die Daten solcher Systeme dann quasi öffentlich gemacht wird sind irgendwann "technische Ausfälle" vorprogrammiert und niemand findet eine Erklärung dafür.
Einer meiner Nachbarn hat sein Haus "schlau" gemacht und kann z.B. aus dem Urlaub alle möglichen technischen Sachen steuern - von der Heizung über die Beleuchtung bis zu ... keine Ahnung was noch alles. Wenn man den hackt ist es eigentlich völlig wurscht ... eben Pech im Leben.
Aber wenn z.B. Elemente der Wasser- / Gas- / Stromversorgung aus solchen Shodan-Daten gehackt werden könnten halte ich das für ausgesprochen gefährlich. Und dann gilt auch dort die alte Regel - wer sucht der findet.
Das ist dann nicht mehr nur ... "Bewusstsein schaffen für das Internet der Dinge" - sondern vielleicht sogar Beihilfe zu Straftaten !!!
Offensichtlich ist diese Datenbank aber nicht illegal und wird nicht von Behörden verfolgt oder überwacht.
Auf der anderen Seite werden aber alle Mitmenschen, die sich gegen die Übermacht (oder Machenschaften) von Regierungen auflehnen (Meinungsfreiheit !!! ) und die Wahrheit sagen (Corona, Migration, Klima ...) als alles Mögliche verleumdet und sogar vor Gericht gestellt und verurteilt, zumindest in der Öffentlichkeit "platt gemacht", verlieren ihr Ansehen / den Job / ihre Zukunft.
Aber die Erfinder und Betreiber einer solchen Datenbank laufen einfach so rum ??? Aus meiner Sicht passt das nicht zusammen ... und andererseits würde jemand der Firmengeheimnisse und sogar Zugangsdaten eines Konzerns oder einer Bank veröffentlicht doch vor Gericht gestellt ... Oder?
Die Hersteller solcher Geräte müssten verpflichtet werden, die möglichen Angriffsflächen in einer Art Beipackzettel zu dokumentieren. Der Käufer kann sich dann nicht mehr herausreden.
Ja ich kann dem Artikel nur zustimmen: Schlagt allen die Köpfe ab, die schlechte Nachrichten überbringen
oder auf Missstände aufmerksam machen. Das Ergebnis: Eine bessere Welt. Ja das wäre schön und einfach zugleich. Leider entspricht es nicht der Wirklichkeit und wir sollten auch denen zuhören, die den Finger in die Wunden legen.
Wir leben nun mal in Generationen. Jede Generation hat ihre Erfahrungen gemacht und machen sie auch weiterhin. Dabei sind negative wie positive dabei. Was mich besorgt dabei ist, das Hinfuhren zum Bequemen, Einfachen,
Leichten.
Wenn ich König sein möchte, beinhaltet das natürlich auch, ich muss mich auf meine Untertanen verlassen können.
Hier war früher der entscheidende Faktor das gegenseitige Vertrauen und Gehorsam. Das wird zurzeit sehr auf die Probe gestellt, wenn nicht sogar bewusst zerstört. Ein Grund dafür könnte sein, dass Verfechter des Gehorsams, ihre Machtposition dadurch ausbauen wollen und können. Wobei ich mehr Macht mit mehr Gewinn gleich setzte.
Diese können natürlich eine Plattform wie Shodan oder andere/ähnliche nicht gebrauchen.
Wir lassen uns aus Bequemlichkeit, für den Profit, von anderen zu Schildbürgern umfunktionieren. Wir lassen uns
suggerieren, dass unsere heile Welt, unser Privatraum, durch Absicherung, Kontrolle und uneingeschränkter
Vernetzung, sicherer wird. Wie im Artikel gesagt: Alles was über das Netz geht, geht an die Öffentlichkeit, wenn auch die Wege dazu unterschiedlich verlaufen. Risiken der Vernetzung und deren Folgen, werden versteckt, vertuscht,
heruntergespielt, ja sogar für nicht Möglich eingestuft. Wer die Meldungen in den Nachrichten und im Netz verfolgt,
weis, es ist anders, nur sagen dürfen wir es nicht mehr. Der Gewinn, die Macht könnte gefährdet werden.
Paradox: Das ist aber auch der Sinn der Sache, um den Profit und die Gewinn Maximierung zu gewährleisten.
Je mehr Menschen also im Netz sind, ob mit dem Kühlschrank, dem Garagentor, dem Ofen, dem PC, dem Handy
oder dem Auto, umso einfacher die Generierung von Macht und letztendlich dem erhofften Gewinn daraus.
Vernetzung, KI und neue Techniken ergeben durch auch einen Sinn, wenn wir sie so einsetzen würden, wie es in den
meisten Fällen gedacht war.
Durch die Nutzung dieser Dinge, in der Vergangenheit, sind wir einfach und bequem geworden. Das nutzen Anderen jetzt einfach nur aus. Wir haben verlernt uns mit den Dingen zu beschäftigen, zu hinterfragen, wir sind Hinnehmer
geworden. Jemanden etwas zu erklären, in wissend zu machen, erfordert Zeit, Energie, Wissen und Geduld. Dinge
die wir nicht mehr haben. Das schlimmste dabei ist, es könnte den anderen, von uns, unabhängig, selbstständiger machen.
Hier kommt die andere Seite wieder ins Spiel, die uns sagen: Vernetze dich, du sparst Zeit, verschwendest deine
Energie nicht, du kannst von neuem Wissen profitieren und du brauchst nicht geduldig in der Schlange stehen,
buche dein Ticket übers Netz.
Ich komme mir vor, wie in einer Welt, die durch einen Trichter geführt werden soll. Oben an der Öffnung ist die Welt
noch in Ordnung, wir sind frei und die Sonne scheint. Dann sacken wir langsam ab, die Sonne und Freiheit
verschwinden langsam. Wir geraden in den Sog des Einfüllstutzens, die Orientierung geht verloren. Über den Einfüllstutzen geraden wir in den Antriebsblock, degradiert zu Schmieröl und Verwendungsenergie.
Die Sonne und die Freiheit sind futsch.
Was mir fehlt ist eine wirkliche und ehrliche Regulierung dieser Dinge. Es wird viel geredet und nicht zum wohl der Menschen gehandelt. Im Vordergrund steht die Erhaltung der Macht und des Gewinns. Wenn ich mir dann noch so den Trichter ansehe, er hat nur einen Ausgang, es bleibt ein Gewinn für eine Macht am Ende und tja, auch ein Trichter ist einmal leer, was dann???
Wir haben die Möglichkeit hier positiv entgegen zu wirken, es erfordert Zeit, Energie, Wissen und Geduld. Mit
gegenseitiger Hilfe ist es möglich, es in eine positive Richtung zu bringen. Voraussetzung dazu ist, das sich jeder
Bewusst wird darüber was er da tut und auch versteht und wahrnimmt, dass ein agieren mit und im Netz
Auswirkungen hat. Auf andere, auf Freunde, Bekannte, Kunden und Firmen mit denen er im Netz agiert.
Mit den neuen Möglichkeiten der KI steigen diese Auswirkungen nicht linear, sondern exponentiell.
Ich denke je mehr Bewusstsein vorhanden ist um so sicherer können die Dinge gestaltet werden. Wobei ich
Bewusstsein auf alle anderen Bereiche übertrage. Bewusstsein schaffen, ist Arbeit (Zeit, Energie, Wissen, Geduld),
manches mal auch zermürbend. Es sollte nicht sein, dass wir die köpfen, die mit dem Finger in die Wunde drücken.
Das heißt aber auch, diesen nicht Blind zu vertrauen. Bewusst prüfen, Aufklärung nicht nur von einer Stelle, aus
einer Sicht.
Das aber mit fortschreitender KI immer schwieriger wird, weil sie manipulierbar und manipulierend ist.
Ich möchte es auch nicht alleine auf die Admins, Fertigungsstraßen, Krankenhäuser-IT oder oder festmachen.
Sind wir nicht alle, in dem Moment, wo wir ein Smartphone, Handy oder PC aktivieren mit dabei. In diesem Moment wo wir es aktivieren, gliedern wir uns ein, in ein gewaltiges Boot-Netzwerk, wir sind integriert und tragen mit zu
diesem Chaos bei. Das Bewusstsein für einen sicheren Umgang ist uns ab geschult worden. Wir haben dafür
Bequemlichkeit und Einfachheit bekommen. Wir haben es bewusst angenommen.
Bewusstsein schaffen, durch bewusstes zulassen von Plattformen wie Shodan und anderen, garantiert einen
möglichst bewussten und sicheren Umgang mit den Komponenten. Vertrauen in andere ist eine wichtige
Sache dabei. Fragen zu dürfen und Fragen zu wollen, Antworten zu dürfen und Antworten zu bekommen sind dabei
wichtige Bestandteile um diese Entscheidungshilfen bewusst in Handlungen umzusetzen.
Voraussetzung ist, für jeden einzelnen von uns, bewusst zu prüfen und zu hinterfragen und eben nicht
Bequem und Einfach zu sein.
In diesem Sinne (Zeit, Energie, Wissen, Geduld) positives Bewusstsein
Trotz all der Informationsflut habe ich noch nie etwas von Shodan gehört. Aber jetzt! Danke für das tolle Thema! Also: Verbieten! Das muss es sein. Es gibt so viele böse Menschen, Was könnten die alles damit machen ... Alle Ampeln einer Stadt um halb Fünf gleichzeitig auf Rot stellen - oder noch schlimmer, auf Grün. Die Beleuchtung in einem Operationssaal ausschalten. Die Waschmaschine meines Nachbarn so schalten, dass sie aus dem Schleudergang nicht mehr herauskommt. Mein Smart Home durcheinanderbringen. - Also verbieten. Was auch immer. Aber vielleicht hilft das ja auch nicht Wenn es doch so viele Milliarden Things gibt und wahrscheinlich Millionen halbfertiger Betriebssysteme - wo nehmen wir dann all die Sicherheitsleute her, die sich kümmern. Wir haben doch Fachkräftemangel. Vielleicht bildet das Militär ja weltweit welche aus. Für die Cyberwars. Mein Vorschlag: Das Beste wäre, diese Themen so früh und so gründlich in die IT-Fachkräfte-Ausbildung einbringen, dass die nächsten IoT-Betriebssysteme nicht mehr so halbfertig und angreifbar sind. Von den jetzigen müsste man dann wirklich nach und nach einige verbieten. Und die könnte man mit Shodan finden. Shodan selbst verbieten hat keinen Sinn. Wer die kriminelle Energie für Sabotage aufbringt, der findet auch ohne Shodan die Mittel dazu.
sicherlich wichtig und interessant für alle relevanten Netzbetreiber zum Schutz der Infrastruktur, z.B. Strom-, Wasserversorger, Krankenhäuser, Verwaltung etc.
Aber für mich -als Rentner- zu umfassend, es schürt nur mehr Ängste.
Nicht gut finde ich, dass es keinen privaten Account gibt, der z.B. über Werbung finanziert wird. Mit dem Bezahl-Modell können sich die Suche nur Firmen oder Leute erlauben, die damit (evtl. zwielichtiges) Geld verdienen wollen.
Die Frage ist doch: wenn "jemand" über eine zufällige IP-Adresse durch irgendeine "offene Tür" in mein Betriebssystem eindringen und Informationen abgreifen oder gar einschleusen kann, dann sollte es
entweder gar keine "offenen" Türen geben
oder jeder Besucher nur mit einem "sicheren" Passwort
"eintreten" darf und "autorisierte" Zugriffsrechte erhält
oder jeder "unbekannte" Besucher nur auf Anfrage eine
temporäre Zugriffserlaubnis erhält.
Auf jeden Fall sollten die Suchmaschinen wie "Shodan" verboten werden! Es ist doch erschreckend, wenn man durch die Medien erfahren muss, dass von irgendeinem Unternehmen (wie Krankenkasse, Versicherung oder gar Bank) sensible Daten gestohlen wurden...
Ich halte es für richtig, solch eine Suchmaschine zu betreiben.
Es erhöht die Sensibilität für Sicherheit.
Live wurde mir in einem Seminar zur Sicherheit von der Telekom gezeigt, dass man mit einfachen Scans Festplatten von einem Laserdrucker auslesen kann, wo PDF-Dateien von Angeboten gespeichert waren.
Wo krieg' ich das her?
Einfach auf https://www.shodan.io vorbeischauen, ich hatte es irgendwo im Text auch verlinkt. Es hilft auch bei YouTube "Shodan" einzugeben, dort findet man eine Menge erhellender Videos, der Umgang damit ist etwas gewöhnungsbedürftig.
Der Wachmann an dem Eingang zur Burg ...
Es waren früher -sehr viel früher- stets menschliche Schwächen, die ausgenutzt wurden; sei es durch Bestechung oder -im schlimmeren Fall- durch Stichwaffen.
Irgendwann kamen Löcher in schwer einsehbare Bereiche der Mauer durch die Waren gereicht wurden, um für diese keinen Zoll zu zahlen. Steuerschlupflöcher waren geboren.
Werden nun Daten solcher Schwachstellen gesammelt, ist wäre das ein unbezahlbares Instrument, um die eigenen Schwächen auszumerzen. Doch dann kommen Systembremser ins Spiel: Zu teuer, zu aufwändig, mangelnde Priorisierung der oberen Schichten, oder die zukunftsorientierten: Das mache ich morgen!
Oft erlebe ich, dass wirklich gute Ideen nicht umgesetzt werden. Einige Gründe habe ich schon gelistet und die Liste ist wohl genauso lang wie die der Sicherheitsmängel.
Doch auch hier gilt es zu hinterfragen, wie glaubwürdig sind diese Angaben überhaupt? Was kann ich als Verbraucher machen, wenn ich einen Mangel in einem von mir verwendeten Gerät erspähe? An wen kann ich mich wenden?
Da wäre zu klären, ob es überhaupt einen Ansprechpartner beim Hersteller gibt. Wie ernst wird solche eine dringliche Meldung eingestuft und wie könnte ein Update / Upgrade aussehen?
Es wäre schon hilfreich, wenn es eine Verpflichtung gäbe, dass System eine Möglichkeit haben MÜSSEN, um Updates einzuspielen. So wie meine Waschmaschine die kürzlich ihr Update erhalten hat. Beim nächsten Besuch eines Systemtechnikers werde ich mal nachfragen, wie sauber die Programmierung selbst ist.
Zusammengefasst: Ich finde es klasse, dass es so eine Datenbank gibt! Schwachstellen in Betriebssystemen werden schon länger veröffentlicht.
Besten Dank für Ihren Beitrag. Mein Wissenstand ist wieder ein Stückchen gewachsen!
Mit herzlichem Gruß
Felix Magnus König