Suchmaschinen sind längst jedem Internet-User bestens vertraut. Zwar weiß nur ein Bruchteil der User tatsächlich was da im Hintergrund wirklich vor sich geht, doch geben sich viele mit der Aussage „Suchmaschinen durchsuchen das Internet“ zufrieden. Der Umkehrschluss für viele, die nicht finden was sie suchen ist somit: „Findet die Suchmaschine das was ich suche nicht, gibt es diese Information im Internet nicht“. Würde logisch klingen, ist allerdings nicht wahr.
Google, Yahoo, Bing und wie die Suchmaschinen alle heißen, durchsuchen das Internet auf Content. Es werden also Webseiten auf deren Inhalt analysiert und intern so abgespeichert, dass der User sie über einfache Suchbegriffe leichter finden kann.
Shodan hat eine gänzlich andere Funktionsweise. Es stellt eine Art „dunkles“ Google dar. Dabei scannt es das Internet nicht nach Content sondern nach Devices ab. Es ist ständig auf der Suche nach Servern, Webcams, Drucker, Router, Mobiltelefone und alle anderen Geräte die an das Internet angeschlossen sind. Shodan scannt dabei 24/7 und sammelt Informationen über etwa 500 Millionen angeschlossene Geräte und Dienste, pro Monat.
Es ist geradezu atemberaubend, was mit einer einfachen Suche auf Shodan alles gefunden werden kann. Unzählige Ampeln, Überwachungskameras, Heimüberwachungssysteme, Heizanlagen und Steuersysteme sind mit ein paar Klicks aufrufbar. Bemerkenswert ist, wie Shodan diese Geräte im Netz aufspürt – beängstigend hingegen ist die Unverantwortlichkeit mit der selbst sensible Geräte und Anlagen, ohne jede Art von Sicherheit, an das Netz angeschlossen werden.
„Es zeigt ein massives Versagen in Fragen der Sicherheit auf“, sagte HD Moore, Chief Security Officer von Rapid 7, ein Unternehmen die eine private Version einer Shodan-Datenbank für eigenen Zwecke (Forschung und Analyse) betreiben. So wurden von Cybersecurity-Forscher sogar Kommando- und Kontrollsysteme für Kernkraftwerke und den Teilchenbeschleuniger Zyklotron mit Shodan gefunden und auf deren Druck anschließend auch entfernt.
Mit einem Klick eine Stadt komplett lahm legen
Eine schnelle Suche nach „Standard-Passwort„, verrät unzählige Drucker, Server und System-Steuergeräte, die „admin“ als Benutzername und „1234“ als Passwort verwenden. Viele weitere angeschlossene Systeme erfordern überhaupt keine Anmeldeinformationen – alles was Sie brauchen, ist ein Web-Browser um am System herum zu schrauben.
In einem Vortrag auf der „Defcon Cyber Security“ Konferenz, zeigte der unabhängige Sicherheits- und Penetrationstester Dan Tentler wie er Shodan verwenden würde, um Steuersysteme für Verdunstungskühler, Druckwasser Heizungen und Garagentore zu finden.
Er fand binnen Sekunden eine Waschanlage, die nach Wunsch ein- und ausgeschaltet werden konnte und unter anderem ein Eishockeystadion in Dänemark, bei welchem er mit einem Klick auf der Schaltfläche sogar die Kühlung der Eisfläche hätte ausschalten können. Alles halb so wild? Nun ein paar Minuten suchen und man wird reichlich belohnt: Eine Stadt deren gesamtes Verkehrssystem mit dem Internet verbunden wurde und durch einen Befehl wieder zurück in den „Test-Modus“ versetzt werden könnte. Weiters fand er auch ein Steuerungssystem für ein Wasserkraftwerk in Frankreich mit zwei Turbinen, die jeweils 3 Megawatt Strom erzeugten.
„Scary stuff“, wenn dies jemand falschem in die Hände fallen würde.
Härtere Bestrafungen für Hacker aufgrund mangelndem Sicherheitsverständnis?
Der Ruf nach Gesetzen wurde in den vergangen Jahren laut und er wurde auch gehört. Weltweit werden neue „Hacker-Gesetze“ verabschiedet, die NATO geht sogar soweit, dass sie in ihrem „Tallinn Manual“ die Tötung von Hackern als legitim betrachtet.
Nun, wenn Hacker staatliche Infrastruktur lahmlegen, ist dies weiß Gott kein wünschenswertes Szenario und es gehört sehr wohl bestraft! Doch angesichts der undurchdachten und teilweise fahrlässigen Öffnung gewisser System und deren Anschluss an das Internet, muss man sich beinahe Fragen ob diese Einrichtungen nicht förmlich darum betteln, angegriffen zu werden.
Wir steuern geradezu auf ein Henne – Ei Problem hin. Der Staat baut aus Furcht und Paranoia seine Überwachungseinrichtungen immer weiter aus. Es gibt Bestrafungen in Form von Gesetzen und Verboten. Vermeintliche Prävention durch totale Überwachung der Einzelperson. Wir fühlen uns sicher, achten nicht mehr auf die Sicherheit, der Staat und die Kontrollorgane werden zur Not schon aktiv werden – Sicherheitsdenken der breiten Masse nimmt ab. Die neue – durch Unachtsamkeit, Sorglosigkeit und teilweise einfach Stumpfsinn erzeugten Sicherheitslöcher werden mit neuen Gesetzen und neuen Überwachungsmethoden gestopft.
Statt sich zu fragen: Ist das was ich da habe wirklich sicher und ganz allgemein, muss denn wirklich alles an ein offenes – bis auf die NSA ;) – nicht überwachtes Netz angeschlossen sein?
Erste Rufe werden laut, Shodan müsse verboten werden. Mit der gleichen Logik müssten allerdings für hässliche Menschen Spiegel verboten werden. Dumme würden irgendwann ein Verbot von Tests fordern, da sie ihre Dummheit bestätigen.
Nicht der, der die Fehler aufzeigt ist Schuld und muss bestraft werden, sondern der, der die Fehler verursacht und sie nicht erkennen will.
Ich find, die neuen Gesetze die beschlossen werden, sieht man meiner Meinung auch ganz klar, dass Kompetenzen in dieser Ebene fehlen.
Wenn bei einem Autounfall die Unfallursache auf massive Fehler vom Hersteller zurück zu führen sind, werden auch die Hersteller hinzugezogen und nicht nur der Unfalllenker.
Es sollte auch Gesetze für die „Anbieter-“ und Herstellerseite geben. Öffentlich zugänglich ist eben öffentlich. Wenn es nicht zugänglich sein soll, muss es auch entsprechend versteckt und abgesichert werden.
Shodan sollte also eigentlich nicht verboten werden, sondern kann sehr gut zur Absicherung von Systemen beitragen.
Der Hersteller haftet für etwas, das der Anwender begeht.. Das zeigt doch nur die Machtlosigkeit gegenüber der Zukunft..
Es ist schon sehr beängstigend, in der letzten Zeit kommt so viel ans Tageslicht. Seien es Spionage oder auch solche Dinge. Ganz zu schweigen von den ganzen Umweltangelegenheiten oder Problemen die immer besser bekannt werden. Es fällt einfach auf, dass wir so rein gar nix richtig im Griff haben.
Was das Shodan betrifft bin ich leider nicht so technikbewandert als das ich da irgendwie was draus machen könnte. Versteh aber, dass die die sich auskennen da sicher ordentlich was zum spielen haben! Dass da aber dann auch Steuerungen von Kraftwerken zu finden sind .. ich mein was geht?! Was jodeln die uns ständig von Sicherheit vor wenn sie es scheinbar selbst so derb verkacken?
Es ist ein ständiger Wettlauf und die besten Hacker sind die größten Sicherheitsexperten. Leider wird das Hacken bis hinauf von Regierungsebnen ausgenutzt. Spionage und auch Terrorakte sind die Folge.
Viel mehr wurmt mich das beschränkte Angebot an guten Suchmaschinen die so arbeiten wie google frueher mal gearbeitet hat.
Da konnte man noch bedingungen zur suche eingeben und kam zu vernünftigen Ergebnissen, jetzt sieht es so aus, als bekäme man nurnoch bezahlte ergebnisse.
Mir wurde von einem eShop Besitzer erzählt dass er Seitens Google immer wieder dazu gedrängt wird ein sogenanntes Produkt zu kaufen!
Und ich bin mir sicher dass nicht nur dieser eShop besitzer aus einem Dörflein hinterm Walde solche Produkte „angeboten“ bekommt und kaufen darf.
Solche Angebote könnten rein theorethisch auch an die ganz grossen Companies gehen. ( ich denke aber hier bleibts nicht bei der Theorie)
Abgesehen davon dürfen sicher auch politisch motivierte Gruppierungen solche Produkte kaufen. Das ist gefährlich. Bitte nicht Hackern die Sicherheitslücken aufweisen und solche Dinge zur Sprache bringen, mit der Todesstrafe drohen! Nachdenken!! Was ist hier gefährlicher?
Google oder Shodan?