Abo
  • Services:
Anzeige
Gescannte Nummernschilder von automatischen Kameras - ungeschützt im Netz abrufbar
Gescannte Nummernschilder von automatischen Kameras - ungeschützt im Netz abrufbar (Bild: John Matherly)

Shodan: Die Suchmaschine für das Netz der Dinge

Gescannte Nummernschilder von automatischen Kameras - ungeschützt im Netz abrufbar
Gescannte Nummernschilder von automatischen Kameras - ungeschützt im Netz abrufbar (Bild: John Matherly)

Wie viel Toner benötigen US-Universitäten, welche Windkraftanlagen laufen gerade und welche Autokennzeichen werden gerade in New Orleans erfasst? John Matherly berichtet, wie freigiebig das Internet der Dinge mit Informationen umgeht.

Anzeige

Die Webseite Shodan wurde schon als gefährlichste Suchmaschine der Welt, aber auch als die Suchmaschine im Internet der Dinge bezeichnet. John Matherly betreibt den Service, der systematisch öffentlich zugängliche Informationen über alle per IPv4 am Internet angeschlossenen Geräte anzeigt. Auf der Hack-in-the-Box-Konferenz berichtete Matherly anhand von vielen Beispielen, was sich aus diesen Daten alles herauslesen lässt.

Das komplette Scannen des Internets im IPv4-Adressraum ist inzwischen verbreitet. Es gab schon eine ganze Reihe von Forschungsprojekten, die sich damit beschäftigt haben. Programme wie ZMap oder masscan erlauben es, innerhalb von Stunden den gesamten IPv4-Addressraum zu scannen. Matherly hat in der Vergangenheit beispielsweise Statistiken über die Verbreitung von Bugs wie Heartbleed erstellt oder die Command-and-Control-Server von Malware verfolgt. Doch in seinem Vortrag berichtete Matherly vor allem über das Internet der Dinge.

Die Universität von Minnesota benötigt frischen Toner

Während Betreiber gewöhnlicher Server üblicherweise versuchen, möglichst wenig Informationen über das System preiszugeben, ist das bei vielen anderen am Netz hängenden Geräten anders. Oft ist es ohne jede Authentifizierung möglich, detaillierte Informationen auszulesen. So gelang es Matherly beispielsweise, eine Statistik über am Netz hängende Drucker von Universitäten zu erstellen, die alle freigiebig preisgaben, ob sie gerade frischen Toner benötigen. Die Universität von Minnesota benötigte demnach besonders dringend neue Tonerkartuschen.

Oft ist laut Matherly anhand der IP-Adresse nicht erkennbar, wo sich ein Gerät befindet und wer dafür zuständig ist. So finden sich etwa Interfaces von Windkraftanlagen häufig im Netz, sie hängen aber in der Regel an gewöhnlichen mobilen Internetanschlüssen von großen Providern. Im Fall von Sicherheitslücken ist es da nur schwer möglich, die Betreiber überhaupt zu informieren.

An seinem Fernseher bemerkte Shodan ein offenes Telnet-Interface. Als Matherly dies dem Hersteller mitteilte, erfuhr er, dass dies ein Debug-Interface eines Yahoo-Entwicklerkits war, das eigentlich vor der Veröffentlichung der Fernseher-Firmware hätte abgeschaltet werden sollen.

120 offene Ports bei Western Digital

Überschüssige offene Ports sind kein Einzelfall. Matherly zeigte eine Statistik über Geräte nach Herstellern sortiert. Im Schnitt hatten diese etwa zehn Ports offen. Ein besonderer Ausreißer nach oben waren Geräte von Western Digital, dort waren über 120 Ports offen, darunter 3 Memcache-Instanzen, 13 VNC-Interfaces und 38 Telnet-Interfaces. Auch ein TLS-geschützter Port mit Heartbleed-Bug fand sich bei den Western-Digital-Geräten.

Die Liste an Sicherheitsproblemen ist schier endlos: Kühlschränke, die Spam verschicken, Fernseher, die ihre Nutzer belauschen, Billboards, bei denen jeder ohne Authentifizierung JPEG-Bilder hochladen kann, oder Geräte wie der Wink Hub, eine Steuerungseinrichtung für Heimautomatik, der nach einem fehlerhaften automatischen Firmware-Update schlicht nicht mehr startete.

Erfassung von Nummernschildern öffentlich

Besonders die Privatsphäre der Nutzer ist laut Matherly durch die Masse an neuen Internetgeräten bedroht. An einem besonders drastischen Beispiel machte er das deutlich: ein Gerät zur Erfassung von Nummernschildern von Autos. Matherly fand etwa 100 Installationen dieses Geräts, das ohne Authentifizierung JPEG-Bilder aller erfassten Fahrzeuge ins Netz streamte. Die gescannten Nummernschilder wurden gleich mitgeliefert. Die meisten Geräte waren in New Orleans installiert.

Matherly erfasste die Bilder über den Zeitraum mehrerer Tage und konnte dabei mehr als 60.000 Nummernschilder erfassen. Dass derartige Daten auch kommerziell interessant sind, zeigte Matherly anhand eines Anbieters namens Vigilant Solutions, der ähnlich wie Google Street View Kamerafahrzeuge durch Städte fahren lässt und dabei die Nummernschilder von Fahrzeugen erfasst und die entsprechenden Daten verkauft.

Ansätze für mehr IT-Sicherheit im Internet der Dinge gibt es zwar, sie wirken aber eher bescheiden. Eine Webseite mit dem Namen BuildItSecure.ly, initiiert von einigen Geräteherstellern, will die Branche mit Sicherheitsforschern zusammenbringen. Die Idee: Forscher könnten vorab kostenlos Geräte erhalten und sie untersuchen. Von Bezahlung ist dort nicht die Rede. Matherly bezweifelt daher, dass das für die Sicherheitsforscher ein guter Deal ist. Zu einem sicheren Internet der Dinge ist es wohl noch ein weiter Weg.


eye home zur Startseite
Bachsau 23. Aug 2015

Das wird erst besser, wenn man die Knöpfe auch wirklich drückt. Aus Schaden werden sie...

Bachsau 23. Aug 2015

Hatte Besuch vom einem von denen über IPv6.

FreiGeistler 02. Jun 2015

Shodan hat auch Plugins für obengenannte Browser, mit denen man sich sämtliche verfügbare...

hannob (golem.de) 01. Jun 2015

Blöder Fehler, danke für den Hinweis, ist korrigiert.

Dwalinn 01. Jun 2015

Es wäre schlimm wenn es dir egal wäre. Das du dich darüber nicht mehr wunderst ist...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Bodensee, Salem
  2. Rohde & Schwarz Cybersecurity GmbH, Köln, Bochum
  3. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  4. BASF SE, Ludwigshafen


Anzeige
Top-Angebote
  1. 199€ (Normalpreis 250€)
  2. für 699€ statt 799€
  3. 158€ (Vergleichspreis 202€)

Folgen Sie uns
       


  1. Zensur

    Skype ist in chinesischen Appstores blockiert

  2. Eizo Flexscan EV2785

    Neuer USB-C-Monitor mit 4K und mehr Watt für Notebooks

  3. Glasfaser

    Telekom beginnt wieder mit FTTH für Haushalte

  4. BMW-Konzept Vision E3 Way

    Das Zweirad hebt ab

  5. Pocket Camp

    Animal Crossing baut auf Smartphones

  6. DFKI

    Forscher proben robotische Planetenerkundung auf der Erde

  7. Microsoft

    Netzteil des Surface Book 2 ist zu schwach

  8. Lösegeld

    Uber verheimlicht Hack von 60 Millionen Kundendaten

  9. Foxconn

    Auszubildende arbeiteten illegal am iPhone X

  10. Meg Whitman

    Chefin von Hewlett Packard Enterprise tritt ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: Erinnert mich an meine Ausbildung...

    Der schwarze... | 14:09

  2. Re: Dann nimm halt 200/100

    M.P. | 14:09

  3. Re: Kaum einer will Glasfaser

    Pecker | 14:09

  4. Re: "Nächste Weiterreise in ~2Stunden" - Was hei...

    xPandamon | 14:07

  5. Re: Sourcecode gehört nicht in die Cloud

    ML82 | 14:05


  1. 13:10

  2. 12:40

  3. 12:36

  4. 12:03

  5. 11:44

  6. 10:48

  7. 10:16

  8. 09:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel