Shodan: Die wohl unheimlichste Suchmaschine im Netz
Haben Sie eine Überwachungskamera, einen Fitness-Tracker oder smarte Beleuchtungssysteme? Oder sind Ihre Rauchmelder im Internet, um im Notfall Alarm zu geben, wie es auch schon moderne Sicherheitssysteme können? Man geht davon aus, dass über 50 Milliarden Geräte im Netz sind, damit sie Informationen teilen, zentral verwaltet oder gesteuert werden können. Doch ist alles, was sich im Netz tummelt, wirklich sicher? Diese Frage wird auf Shodan eindeutig geklärt, der wohl umstrittensten Suchmaschine der Welt.
Shodan wurde im Jahr 2009 von John Matherly entwickelt und nach einer künstlichen Intelligenz des Spiels "System Shock" benannt. Ursprünglich als Suchmaschine für Internet of Things (IoT)-Geräte konzipiert, zeigte sich schnell, wie wichtig, aber auch gefährlich seine Ergebnisse sind. Kurz zur Klärung: Mit dem Internet of Things (Internet der Dinge) werden die unzähligen Geräte bezeichnet, die mit dem Internet verbunden sind. Das reicht von den oben genannten Beispielen hin zu industriellen Fertigungsstraßen, Ampelsteuerungen oder zentrale Server. Was zentral überwacht oder gesteuert werden soll, bekommt brav seine IP-Adresse zugewiesen und ist damit Teil des Internets, wie auch Ihr Handy oder PC. Oft sitzt jemand am Computer, um die Systeme zu überwachen und bei Bedarf einzugreifen. Viele Geräte kommunizieren aber auch weitgehend untereinander, und der Mensch wird dann nur bei Problemen oder mit einer Statusmeldung informiert.
Diese Vernetzung hat enorme Vorteile, so kann man im Notfall viel schneller reagieren, Engpässe schon frühzeitig erkennen oder, ganz praktisch, schnell den Reparatur-Trupp losschicken, wenn etwas im Argen liegt. So klar die Vorteile der Vernetzung auf der Hand liegen, gibt es natürlich Ärger im Paradies! Denn diese Geräte (oder besser: deren Software) sind nicht perfekt und die Menschen, die sie bedienen, auch nicht! Stellen Sie sich z.B. die kleinen Computer in smarten Kühlschränken vor, auf denen oft winzige Betriebssysteme mit Namen wie FreeRTOS, mbed OS oder Zephyr laufen. Diese Betriebssysteme haben oft nur einen geringen Funktionsumfang und sollen vor allem stabil laufen, leicht zu steuern sein und die Verbindung zum Internet halten. Was bei deren Entwicklung nicht immer im Mittelpunkt stand: maximale Sicherheit gegenüber Angriffen aus dem Netz. Und genau hier kommt Shodan ins Spiel!
Schwache Software oder schwacher Admin?
Vereinfacht erklärt: Shodan erstellt zufällige IP-Adressen und klopft dort mal an. Man nutzt dabei verschiedene Ports (quasi Türen, die vom Betriebssystem zur Kommunikation einer Anwendung freigegeben sind) und schaut, ob sich jemand meldet. Gibt das kontaktierte Gerät dann Rückmeldung, erfolgt das oft mit einem sogenannten Banner, einer Art Visitenkarte. Dort steht drin, um welches Gerät es sich handelt, welche Softwareversion und welches Betriebssystem es nutzt, welche Ports und Dienste verfügbar sind und welche Konfigurationseinstellungen es hat. Im schlimmste Fall stehen sogar Benutzernamen und Passwörter darin. All diese Banner landen dann gesammelt in einer riesigen Datenbank, die mit Shodan durchsucht werden kann. Und damit beginnt auch die eigentliche Kontroverse.
Denn oft ist der Index eine Liste der Schande, weil er auf unzählige Geräte mit niedrigen Sicherheits-Vorkehrungen oder veralteter Software hinweist – und natürlich auch von möglichen Angreifern eingesehen werden kann. Selbst wenn der Gedanke unheimlich ist, dass die eigene Sicherheitskamera gehackt werden könnte, sind die in der Datenbank enthaltenen Stromnetze, Wasseranlagen und Kraftwerke wesentlich besorgniserregender. Diese Daten können von jedem, der sich kostenlos anmeldet, eingesehen werden. Investiert man etwas mehr für ein Shodan-Abo oder nutzt man eine Software wie SHODAN Diggity, bekommt man noch mehr filterbare Ergebnisse und mehr Daten zu den gefundenen Geräten. Fein aufgereiht finden sich Webcams, Drucker, Router, Sicherheitskameras, Switches und sogar Industrieanlagensteuerungen wie auch deren Standorte. Man kann auch nach Städten, einzelnen Kameratypen oder Geräten mit Standard-Passwörtern suchen. Selbst spezifische Versionen von Betriebssystemen, die bekanntermaßen leicht zu hacken sind, finden sich im Handumdrehen. Für den Zugriff auf viele Systeme reicht dann oft ein simpler Browser.
Selbst unerlaubte Zugriffe auf Verkehrsleitsysteme sind denkbar
Woher kommen diese Schwachpunkte? Man kann hier drei große Problemzonen ausmachen. Natürlich stehen die Betriebssysteme selbst im Mittelpunkt. Oft werden sie schnell und günstig an die Hardware angepasst und dann nach dem Erscheinen / Verkauf nie wieder angefasst. Wenn Sie daran denken, wie oft Sicherheitsupdates für den PC oder das Handy erscheinen (müssen), ist dieser Umstand fatal. Viele Sicherheitslücken sind seit Jahren bekannt und werden auf den Geräten bleiben, bis sie irgendwann den Geist aufgeben. Manche Geräte haben nicht mal die Möglichkeit zum Update, bei anderen kümmern sich die Hersteller nicht oder die Firmen selbst gibt es längst nicht mehr. Dann gibt es die Bequemlichkeit der Nutzer (oft Admins), die Benutzername und Passwort nicht ändern oder einfallslose Varianten wie Benutzername „Admin“ und Passwort „1234“ nutzen. Sie würden es kaum glauben, welch wichtige Systeme auf diese Weise gesichert werden sollen! Das dritte Problem sind betagte Systeme (wie z.B. Fertigungsstraßen, Verkehrsleitsysteme oder die Krankenhaus-IT), die älter als das Internet sind und nie dazu gedacht waren, an ein Netz gehängt zu werden. Als man sie dann doch mit dem Internet verband, wurde improvisiert, kostengünstig oder einfach schlecht gearbeitet. Die ungeschminkte Wahrheit findet man dann auf Shodan!
Die ewigen Diskussionen um ein Verbot von Shodan erinnern mich an die klassische Frage, ob man den Boten einer schlechten Nachricht bestrafen dürfe. Denn Shodan hackt keine Seite, sondern stellt nur Fakten ins Netz, wenn auch sehr unbequeme. Natürlich können auch Internetkriminelle auf dessen Daten zugreifen und damit Schindluder treiben – doch die haben ganz andere Möglichkeiten, über Portscanner und Bot-Netzwerke an brisante Informationen zu kommen. Shodan will Bewusstsein schaffen, wie verwundbar das Internet of Things ist. Wenn man nur ein paar Mausklicks von der Überwachungskamera eines Krankenzimmers oder der Steuerung eines Wasserwerks entfernt ist, so sind das massive Probleme, die gelöst werden müssen, bevor jemand Schlimmeres anstellt! Und so ist dann auch die Nutzung von Shodan legal, solange man nicht versucht, die angezeigten Geräte zu übernehmen. Das angestrebte Bewusstsein setzt sich (zumindest auf professioneller Ebene) langsam durch – wenn auch nicht immer freiwillig! So finden sich in einigen Foren Berichte entsetzter Admins, die von Wildfremden, aber auch durch ihre Chefs höchstpersönlich sehr alarmierende Nachrichten bekamen…
Was mich interessieren würde: Was halten Sie von einer Suchmaschine wie Shodan? Wichtige Informationen für alle oder gefährliches Insider-Wissen, das nicht öffentlich gemacht werden sollte?