Suchmaschinen sind längst jedem Internet-User bestens vertraut. Zwar weiß nur ein Bruchteil der User tatsächlich was da im Hintergrund wirklich vor sich geht, doch geben sich viele mit der Aussage „Suchmaschinen durchsuchen das Internet“ zufrieden. Der Umkehrschluss für viele, die nicht finden was sie suchen ist somit: „Findet die Suchmaschine das was ich suche nicht, gibt es diese Information im Internet nicht“.  Würde logisch klingen, ist allerdings nicht wahr.

Google, Yahoo, Bing und wie die Suchmaschinen alle heißen, durchsuchen das Internet auf Content. Es werden also Webseiten auf deren Inhalt analysiert und intern so abgespeichert, dass der User sie über einfache Suchbegriffe leichter finden kann.

Shodan hat eine gänzlich andere Funktionsweise. Es stellt eine Art „dunkles“ Google dar. Dabei scannt es das Internet nicht nach Content sondern nach Devices ab. Es ist ständig auf der Suche nach Servern, Webcams, Drucker, Router, Mobiltelefone und alle anderen Geräte die an das Internet angeschlossen sind. Shodan scannt dabei 24/7 und sammelt Informationen über etwa 500 Millionen angeschlossene Geräte und Dienste, pro Monat.

Es ist geradezu atemberaubend, was mit einer einfachen Suche auf Shodan alles gefunden werden kann. Unzählige Ampeln, Überwachungskameras, Heimüberwachungssysteme, Heizanlagen und Steuersysteme sind mit ein paar Klicks aufrufbar. Bemerkenswert ist, wie Shodan diese Geräte im Netz aufspürt – beängstigend hingegen ist die Unverantwortlichkeit mit der selbst sensible Geräte und Anlagen, ohne jede Art von Sicherheit, an das Netz angeschlossen werden.

„Es zeigt ein massives Versagen in Fragen der Sicherheit auf“, sagte HD Moore, Chief Security Officer von Rapid 7, ein Unternehmen die eine private Version einer Shodan-Datenbank für eigenen Zwecke (Forschung und Analyse) betreiben. So wurden von Cybersecurity-Forscher sogar Kommando- und Kontrollsysteme für Kernkraftwerke und den Teilchenbeschleuniger Zyklotron mit Shodan gefunden und auf deren Druck anschließend auch entfernt.

Mit einem Klick eine Stadt komplett lahm legen

Eine schnelle Suche nach „Standard-Passwort„, verrät unzählige Drucker, Server und System-Steuergeräte, die „admin“ als Benutzername und „1234“ als Passwort verwenden. Viele weitere angeschlossene Systeme erfordern überhaupt keine Anmeldeinformationen – alles was Sie brauchen, ist ein Web-Browser um am System herum zu schrauben.

In einem Vortrag auf der „Defcon Cyber Security“ Konferenz, zeigte der unabhängige Sicherheits- und Penetrationstester Dan Tentler wie er Shodan verwenden würde, um Steuersysteme für Verdunstungskühler, Druckwasser Heizungen und Garagentore zu finden.

Er fand binnen Sekunden eine Waschanlage, die nach Wunsch ein- und ausgeschaltet werden konnte und unter anderem ein Eishockeystadion in Dänemark, bei welchem er mit einem Klick auf der Schaltfläche sogar die Kühlung der Eisfläche hätte ausschalten können. Alles halb so wild? Nun ein paar Minuten suchen und man wird reichlich belohnt: Eine Stadt deren gesamtes Verkehrssystem mit dem Internet verbunden wurde und durch einen Befehl wieder zurück in den „Test-Modus“ versetzt werden könnte. Weiters fand er auch ein Steuerungssystem für ein Wasserkraftwerk in Frankreich mit zwei Turbinen, die jeweils 3 Megawatt Strom erzeugten.

„Scary stuff“, wenn dies jemand falschem in die Hände fallen würde.

 

Härtere Bestrafungen für Hacker aufgrund mangelndem Sicherheitsverständnis?

Der Ruf nach Gesetzen wurde in den vergangen Jahren laut und er wurde auch gehört. Weltweit werden neue „Hacker-Gesetze“ verabschiedet, die NATO geht sogar soweit, dass sie in ihrem „Tallinn Manual“ die Tötung von Hackern als legitim betrachtet.

Nun, wenn Hacker staatliche Infrastruktur lahmlegen, ist dies weiß Gott kein wünschenswertes Szenario und es gehört sehr wohl bestraft! Doch angesichts der undurchdachten und teilweise fahrlässigen Öffnung gewisser System und deren Anschluss an das Internet, muss man sich beinahe Fragen ob diese Einrichtungen nicht förmlich darum betteln, angegriffen zu werden.

Wir steuern geradezu auf ein Henne – Ei Problem hin. Der Staat baut aus Furcht und Paranoia seine Überwachungseinrichtungen immer weiter aus. Es gibt Bestrafungen in Form von Gesetzen und Verboten. Vermeintliche Prävention durch totale Überwachung der Einzelperson. Wir fühlen uns sicher, achten nicht mehr auf die Sicherheit, der Staat und die Kontrollorgane werden zur Not schon aktiv werden – Sicherheitsdenken der breiten Masse nimmt ab. Die neue – durch Unachtsamkeit, Sorglosigkeit und teilweise einfach Stumpfsinn erzeugten Sicherheitslöcher werden mit neuen Gesetzen und neuen Überwachungsmethoden gestopft.

Statt sich zu fragen: Ist das was ich da habe wirklich sicher und ganz allgemein, muss denn wirklich alles an ein offenes – bis auf die NSA ;) – nicht überwachtes Netz angeschlossen sein?

Erste Rufe werden laut, Shodan müsse verboten werden. Mit der gleichen Logik müssten allerdings für hässliche Menschen Spiegel verboten werden. Dumme würden irgendwann ein Verbot von Tests fordern, da sie ihre Dummheit bestätigen.

Nicht der, der die Fehler aufzeigt ist Schuld und muss bestraft werden, sondern der, der die Fehler verursacht und sie nicht erkennen will.

Shodan Webseite