5/2013
Die dunkle Seite des Web
„Wenn die Leute etwas nicht bei Google sehen, glauben sie, niemand kann es finden. Das stimmt nicht.“ – so John Matherly, der Entwickler von Shodan. Shodan steht für „Sentient Hyper-Optimized Data Access Network“, der Name kommt von einem ziemlich furchterregenden (künstlichen) Charakter aus dem 1990er-Computerspiel System Shock. Shodan erlaubt mit ein paar Klicks das, was zwar auch bisher möglich war, aber bei weitem nicht so einfach und damit nur für jene mit den entsprechenden Fähigkeiten: Zugang zu den Servern, Routern, Druckern, Webcams anderer Leute; aber das ist noch die weniger angsteinflößende Seite. Ebenso zu Industrieanlagensteuerungen, Verkehrssteuerungen und Überwachungsanlagen – zu allen Geräten und Netzwerken, die mit dem Internet verbunden und nicht ausreichend geschützt sind. Das heißt sie sind verwundbar durch zu einfache Passwörter, voreingestellte Zugänge oder Schwachstellen in den Schutzmechanismen. Shodan existiert seit 2009 und ist eine Art Suchmaschine für Hacker, es besitzt einen Index von 500 Millionen Geräten, die durchsucht werden können. Die frei zugängliche Suche ist beschränkt, unbegrenzt kann man nur mit Registrierung suchen – und dafür wird die „gute Absicht“ des Suchenden geprüft. Man kann sich vorstellen, dass dies nur ansatzweise gelingen wird. Viele der zu findenden Systeme sind dafür gemacht, dass Geräte und Anlagen durch Fernzugriff über das Internet konfiguriert und gesteuert werden können; Shodan macht genau das für alle möglich, indem die Kompetenzen massiv reduziert werden, die nötig sind, einen solchen Angriff durchzuführen – wobei der grundlegende Fehler bei den Betreibern selbst liegt, die Standardzugänge verwenden (zum Beispiel Benutzername „admin“, Passwort „1234“), weder Firewalls noch VPNs einsetzen oder Systeme mit dem Internet verbinden, für die das weder notwendig noch sinnvoll ist. Vergangenes Jahr entdeckte ein Hacker eine Sicherheitslücke in einem weitverbreiteten Heimüberwachungskamerasystem, die es erlaubte, die Bilder dieser Kameras aus fremden Häusern einfach über das Web zu betrachten. Diese Lücke wurde genützt für ein Script, das Shodan verwendete, um andere verwundbare Kameras im Web ausfindig zu machen. Man findet über Shodan unzählige Verkehrsampeln, Überwachungskameras, Steuerungen von Haustechnikanlagen oder Heizungen. Sicherheitsexperten (so hofft man jedenfalls) haben auf diesem Weg sogar ein Kontrollsystem eines Atomkraftwerks ausfindig gemacht.