Foto: Minerva Studio - shutterstock.com
Jedes Gerät, dass direkt mit dem Internet verbunden ist, lässt sich theoretisch angreifen und anschließend übernehmen. Die Zahl dieser Geräte steigt aktuell rasant. Kandidaten sind Festplatten mit Cloudfunktion, Webcams, Netzwerkdrucker, NAS-Geräte, digitale Videorecorder und viele Geräte aus dem Bereich Smart Home und Internet der Dinge.
Bei vielen dieser Geräte können Angreifer die Kontrolle übernehmen und sie anschließend für ihre Zwecke missbrauchen. Das haben Hacker etwa mithilfe des Schädlings Mirai durchgeführt. Er befällt Webcams und digitale Videorecorder und nutzt diese Geräte, um Server im Internet durch millionenfache Anfragen lahmzulegen. So hat Mirai den DNS-Anbieter Dyn blockiert und damit die Erreichbarkeit von Spotify, Amazon und Paypal für mehrere Stunden beeinträchtigt. Das zeigt: Auch Dinge wie ein digitaler Videorecorder sind für Cyberkriminelle nützlich. Bei der Suche nach solchen angreifbaren Geräten hilft die Suchmaschine Shodan. Sie richtet sich in erster Line an Sicherheitsforscher und Administratoren, lässt sich aber auch von Privatpersonen nutzen.
Das leistet die Suchmaschine Shodan
Shodan ist eine Suchmaschine für Geräte, die mit dem Internet verbunden sind und dabei möglicherweise oder tatsächlich Sicherheitslücken aufweisen. Sie ähnelt in ihrer grundsätzlichen Arbeitsweise anderen Suchmaschinen, etwa Google.
Denn genau wie die weltweit größte Suchmaschine für Webseiten sucht Shodan das Internet nach Informationen ab. Shodan hat es aber nicht auf die Inhalte von Websites abgesehen, sondern auf Geräte wie Router, Webcams, Festplatten mit Internetanschluss und auf Smart-Home-Geräte, wenn diese vom Internet aus erreichbar sind. Das Spektrum im Smart-Home-Bereich ist riesig: Es geht um Leuchtmittel, Steckdosen, Türschlösser, Heizungsthermostate, Heizungsanlagen, Alarmanlagen, Kühlschränke, TV-Geräte, Hifi-Anlagen und vieles mehr.
Die Suchmaschine Shodan scannt das Internet ab und analysiert die Antworten, die sie erhält. Die Ergebnisse speichert Shodan in eine Datenbank. Wenn Sie die Suche bei Shodan nutzen, dann suchen Sie in dieser Datenbank nach bereits vorhandenen Ergebnissen. Sie können mit Shodan nach einzelnen IP-Adressen ebenso suchen wie nach Stichworten wie Webcam, MongoDB (Datenbank) oder Dreambox (digitaler Videorecorder).
So nutzen Sie Shodan, um angreifbare Geräte zu finden
Die Suchmaschine Shodan benennt auf die richtigen Suchbegriffe hin Geräte, die ungeschützt im Internet erreichbar sind oder sich zumindest möglicherweise angreifen lassen. Für einen Test geben Sie einen Suchbegriff, etwa Webcam, einfach in das Suchfeld unter www.shodan.io ein.
Möchten Sie sich näher mit der Suchmaschine beschäftigen, müssen Sie sich registrieren. Zwar liefert Shodan auch ohne eine Registrierung ein paar Ergebnisse, allerdings nur sehr wenige. Den vollen Funktionsumfang von Shodan erhalten aber nur zahlende Kunden.
Die Anmeldung erledigen Sie oben rechts über „Register“. Nach der Eingabe Ihrer Mailadresse erhalten Sie von Shodan eine Nachricht mit einem Bestätigungslink. Haben Sie Ihre Mailadresse über diesen Link bestätigt, können Sie sich einloggen und mit der Suche beginnen. Dafür eignen sich etwa Begriffe wie Webcam und Router. Sie können aber auch nach Softwareprodukten fahnden, etwa MongoDB. Das ist eine Datenbank, die in den letzten Jahren häufig und erfolgreich angegriffen wurde.
Die Suche lässt sich mit Filtern eingrenzen. Möchten Sie etwa Webcams in Berlin finden, lautet der Filter city:Berlin. Den Filter geben Sie nach den Suchbegriffen in das Suchfeld ein, etwa: webcam city:Berlin. Zusammengehörige Begriffe lassen sich in Anführungszeichen setzen, etwa country:“Saudi Arabia“. Shodan erwartet englische Begriffe, also Munich statt München. Die Filter lassen sich kombinieren: webcam city:Berlin country:de. Unter anderem lassen sich folgende Filter nutzen:
city: Findet Geräte in der angegebenen Stadt.
country: Findet Geräte im angegebenen Land. Nutzen Sie für die Eingabe die Länderkennung von Websites, für Deutschland also de, für Frankreich fr. Eine Liste der Länderkennungen gibt es auf Wikipedia.
geo: Grenzt die Suche nach Koordinaten ein. Längen-und Breitengrad werden durch ein Komma getrennt.
hostname: Liefert Ergebnisse, die den genannten Hostnamen (Rechnernamen) enthalten.
os: Hier lassen sich Betriebssysteme angeben, etwa Windows, „Windows 95“ oder MacOS.
port: Liefert Rechner, bei denen der genannte Port ansprechbar („offen“) ist.
Zusätzlich lassen sich kostenpflichtige Filter kaufen. Das ist etwa für Sicherheitsexperten wichtig, die das Netzwerk ihrer Firma testen möchten. Stand Februar 2016 kostete die Proversion einmalig 49 Dollar. Neben den Filtern gibt es in der Proversion Zugriff auf eine API für die Datenbank sowie Prüf-Plug-ins für Testsysteme wie Metasploit.
Beispiel: Webcams mit Shodan entdecken
Shodan kennt viele Suchbegriffe, darunter auch Scada, was für Supervisory Control and Data Acquisition steht. Scada steht für Computer, die eine Industrieanlage steuern, etwa ein Heizkraftwerk, Pipelines oder eine Anlage zur Anreicherung von Uran. Allesamt sind absolut heikle Systeme.
In unserem Beispiel suchen wir nach dem Begriff Webcam. Eine örtliche Eingrenzung lässt sich über die oben genannten Filter gleich bei der Suche vornehmen oder nachträglich über die Kategorien links neben den Ergebnissen.
Die Ergebnisse bestehen aus IP-Adressen, die sehr wahrscheinlich zu einer Webcam gehören. Allerdings führt bei Weitem nicht jeder Link zu einem Kamerabild. Ein Großteil der Fundstellen ist bereits wieder offline oder hat eine neue IP-Adresse bezogen. Ein Klick auf den Link bei Shodan führt also ins Leere. Ein weiterer Teil ist mit einem Log-in geschützt. Aus den Zusatzinfos, die Shodan zu einer Fundstelle ausgibt, können Experten unter Umständen das dahinterliegende Gerät oder den dahinterstehenden Service erraten. Ein Angreifer kann nun versuchen, sich dort mit den üblichen Standardpasswörtern der Geräte einzuloggen. Im Test fanden sich allerdings auch etliche völlig ungeschützte Webcams. Wer also genügend Suchergebnisse anklickt, kommt irgendwann auch ohne Passwort an eine Kamera oder eine Haussteuerung.
In unserem Test stießen wir etwa auf eine IP-Adresse, unter der sich nicht nur drei Webcams fanden, sondern auch die Infos zur Heizanlage des Hauses. Die Webcams zeigen ein kleines Nebenhaus (siehe Abbildung) sowie eine Scheune und die Einfahrt zum Haupthaus. Auf der Weboberfläche des Heimservers finden sich zudem Infos zum Füllstand des Öltanks (im Oktober 2016 hat der Besitzer den Tank auffüllen lassen) sowie eine Verbrauchsstatistik. Über den Verbrauch lässt sich ganz gut abschätzen, wann das Häuschen nicht geheizt wird und damit im Winter vermutlich leer steht. Der Standort des Häuschens lässt sich ungefähr über die Geolokalisierung der IP-Adresse ermitteln. Das erledigt entweder Shodan gleich mit oder kann über Websites wie www.infosniper.net recherchiert werden. Abhängig davon, wie gut das funktioniert hat, lässt sich der genaue Standort über Google Maps und Google Earth ermitteln. Unter Umständen helfen persönliche Angaben in der Konfigurationsoberfläche bei der Suche nach der genauen Lage weiter.
In diesem Beispiel geben die Webcams dem Besitzer nur scheinbar mehr Sicherheit über sein Haus. Tatsächlich helfen sie mehr den Einbrechern.
Shodan bietet noch etliche weitere Funktionen
Neben der reinen Suche lässt sich Shodan auch über den Menüpunkt „Explore“ erkunden. So finden Sie von anderen Nutzern häufig gesuchte Begriffe. Dazu zählen etwa Scada, Router, Default password und Traffic Lights. Ob sich über Shodan tatsächlich angreifbare Ampelsteuerungen (Traffic lights) finden lassen oder nur oft danach gesucht wird, können wir nicht sagen. Bei unseren Tests im Februar mit diesem Stichwort konnten wir nichts entdecken.
Censys: Die kostenlose Alternative zur Suchmaschine Shodan
Neben Shodan liefert der Dienst Censys ein ganz ähnliches, aber bisher noch komplett kostenloses Angebot. Die Suche von Censys scheint nicht so breit gefächert wie die von Shodan. So kennt der Index von Censys nur IPv4-Adressen, wohingegen Shodan auch etliche IPv6-Geräte gescannt hat. Doch bei unseren Suchen nach ungeschützten Webcams und offenen Serverdiensten waren wir bei Censys meist erfolgreicher. Vermutlich ist der Index von Censys aktueller als jener von Shodan in der kostenlosen Version.
IPv6-Adressen: Shodan indiziert nach eigenen Angaben einen großen Teil der IPv4-Adressen des Internets. Der ist mit rund 4,3 Milliarden (2 hoch 32) möglichen IPv4-Adressen kein kleiner Teil, aber für eine Suchmaschine mit Power offensichtlich noch gut zu bewältigen.
Ähnlich wird auch Censys vorgehen. Doch bei den IPv6-Adressen hat Shodan wohl noch die Nase vorn, da die Suchmaschine hier recht trickreich vorgeht und entsprechende Rechner regelrecht anlockt.
Grundsätzlich gilt:Der Adressbereich im neuen IPv6-Netzwerk ist mit möglichen 2 hoch 128 um ein Vielfaches größer als der von IPv4 und lässt sich allein deshalb nicht so leicht scannen. Zudem kann sich ein IPv6-Rechner durch zufällig gewählte Adresserweiterungen auch tarnen. Doch die Macher von Shodan sind raffiniert und wenden bei der Suche nach Rechnern mit IPv6 einen Trick an. Sie haben mehrere NTP-Server ins Internet gestellt und dem NTP Pool Project angeschlossen. Ein NTP-Server (Network Time Protocol Server) dient als Zeitserver, von dem sich andere Rechner im Internet die exakte Uhrzeit holen. Und das tun die meisten Rechner häufig, da von einer genauen internen Uhr sehr viele Datenverarbeitungsprozesse abhängig sind. Ob ein anfragender Rechner eine IPv4-oder IPv6-Adresse hat, ist für den NTP-Server eindeutig erkennbar. Auf diese Weise kommt Shodan zu einer schönen Liste mit IPv6-Rechnern, die nicht nur eine Uhrzeit mitgeteilt bekommen, sondern auch gleich ordentlich gescannt werden.