Shodan und Censys: gefährliche Suchmaschinen des Internet der Dinge

Shodan und Censys, die beiden Suchmaschinen für das Internet der Dinge, sind in der Lage, in verschiedener Hinsicht Unheil anzurichten.

Sehen Sie sich um — wir leben im Internet der Dinge. In unserem alltäglichen Leben haben wir mit Geräten zu tun, die mit dem Internet verbunden sind — angefangen von unseren heimischen Wi-Fi-Routern bis hin zu Ampelsteuerungssystemen und Überwachungskameras. All diese vernetzten Dinge sind in zwei Welten zu finden: in der realen Welt und in der virtuellen Onlinewelt.

Und so wie Google bei der Suche von Informationen im Internet hilft, so gibt es andere Suchmaschinen, speziell um vernetzte Devices zu finden. Begrüßen Sie… Shodan und Censys!

Shodan ist die erste (und vermutlich vorrangig verwendete) Suchmaschine für das Internet der Dinge — und das schon seit mehr als 7 Jahren. Sie wurde nach dem Antagonisten aus der Computerspielserie System Shock benannt — einer überaus niederträchtigen künstlichen Intelligenz namens „Shodan“. Die echte Shodan ist nicht ganz so unerbittlich, aber nichtsdestotrotz ist auch sie in der Lage, Schaden anzurichten. Aber bevor wir zu den schlechten Nachrichten kommen, wollen wir erst einmal erklären, wie Shodan überhaupt funktioniert.

Shodan kann man sich vorstellen wie jemanden, der durch die Stadt läuft und alle Haustüren abklingelt. Nur dass es nicht um Türen geht, sondern um IPv4-Adressen, und nicht um eine Stadt, sondern um die ganze Welt.

Wenn man Shodan nach einem bestimmten Türentyp fragt oder nach allen Türen in einem bestimmten Stadtteil, dann kriegt man mit Sicherheit Auskunft darüber: wie viele Türen gibt es dort, wer öffnet sie und was sagen die Bewohner. Shodan gibt all diese Informationen über die Geräte im Internet der Dinge: wie heißen sie, zu welchem Typ gehören sie, und gibt es eine Webschnittstelle, die sich nutzen lässt. Der Service ist nicht kostenlos; für die Nutzung von Shodan ist eine Anmeldung erforderlich, die allerdings relativ kostengünstig ist.

An und für sich ist ja nichts dabei, Türen abzuklingeln — es sei denn, auf diese Art und Weise kommt heraus, dass es eine Menge Türen ohne Schlösser gibt und niemanden, der Kriminelle daran hindert, einzubrechen. In der Welt des Internet der Dinge sind diese Türen ungeschützte Router, IP-Kameras und andere Geräte, die Standardzugangsdaten verwenden. Wenn man erst einmal die Webschnittstelle aufruft und die Zugangsdaten herausfindet, hat man volle Kontrolle über das Device. Und das ist kein Hexenwerk, da die Informationen über Standardzugangsdaten für vernetzte Geräte üblicherweise im Internet auf der Herstellerwebseite zu finden sind.

Wenn es sich um eine IP-Kamera handelt, können Sie alles sehen, was die Kamera aufzeichnet und sie — sofern diese Funktion unterstützt wird — sogar steuern. Wenn es sich um ein Babyfon handelt, können Sie mit unheimlicher Stimme zu dem armen Baby sprechen. Das hängt ganz von Ihrem Moralbegriff ab.

Aber es gibt auch noch ganz andere Dinge, die sich über Shodan finden lassen — wie zum Beispiel ein ungeschütztes Röntgengerät, dessen Bilder Sie einsehen können.

Es ist interessant, Shodan auszukundschaften und viele Nutzer gehen aus reiner Neugier auf Entdeckungsreise. Manch einer stößt auf die Anlagensteuerung eines Erlebnisbads oder auf ein Atomkraftwerk. Lassen Sie uns außerdem Autowaschanlagen, Wärmepumpen, Geldautomaten und so gut wie alle andere vernetzten Dinge zur Liste hinzufügen. Unser Experte Sergey Lozhkin ist sogar auf medizinisches Equipment gestoßen, aber das ist eine andere Geschichte.

Während eine unsichere IP-Kamera lediglich die Privatsphäre gefährden kann, stellen andere unsicher vernetzte Geräte, wie die zuvor genannte Anlagensteuerung eines Erlebnisbads oder das Bordsystem eines Zuges, ein immens großes Sicherheitsrisiko dar: Wenn sie in die Hände von Unbefugten fallen und von ihnen gesteuert werden, kann das eine Katastrophe fürchterlichen Ausmaßes zur Folge haben. Aus diesem Grund müssen Hersteller und Systemadministratoren derart kritischer Infrastrukturen extrem vorsichtig sein im Bezug auf die IT-Sicherheit dieser vernetzten Geräte.

Lange Zeit war Shodan die einzige Suchmaschine für das Internet der Dinge. 2013 tauchte dann der Rivale Censys auf, der im Gegensatz zu Shodan kostenlos ist. Es handelt sich ebenfalls um eine Suchmaschine für das Internet der Dinge; sie basiert auf den gleichen Prinzipien, ist aber — so die Entwickler von Censys — präziser wenn es darum geht, Sicherheitsschwachstellen zu entdecken. Ja, richtig: Censys kann Geräte nach spezifischen Sicherheitsschwachstellen auflisten, wie zum Beispiel dem Heartbleed-Bug.

Censys wurde von einer Forschergruppe der University of Michigan entwickelt, mit dem Ziel das Internet sicherer zu machen. Genau genommen sind sowohl Shodan als auch Censys im Zusammenhang mit Sicherheitsforschungen entstanden, aber mit dem wachsenden Interesse steigt auch die Zahl derer, die alles andere als gute Absichten verfolgen.

Es ist anzunehmen, dass weder Shodan noch Censys von ernstzunehmenden Cyberkriminellen verwendet werden. Profihacker nutzen schon lange Botnets, die den gleichen Zweck erfüllen und dabei leistungsstärker sind. Shodans Entwickler John Matherly brauchte nur 5 Stunden, um alle Geräte im ganzen Internet zu erfassen und ein Botnet aus Hunderten von Computern würde höchstwahrscheinlich noch weniger Zeit dafür brauchen.

Es gibt viele, die bereits versucht haben, Shodan und Censys dazu zu verwenden, andere auszutricksen und böse Streiche zu spielen. Und auch wenn die Sicherheitsprobleme der Geräte im Internet der Dinge seitens der Hersteller behoben werden müssen, gibt es einige Maßnahmen, die Sie selbst treffen können, um Ihre Devices zu schützen. Unsere Experten werden Sie in einem der kommenden Blogbeiträge der Reihe „Internet der Dinge“ ausführlich informieren.

Tipps