2265799

Shodan: Das kann die Suchmaschine der Hacker

19.04.2017 | 10:40 Uhr |

Der Internetdienst Shodan bietet eine Suchmaschine für angreifbare Dinge im Internet – von Webcams bis zum Heizkraftwerk. Mit diesen Tipps nutzen Sie das gefährliche Tool, um Ihre Geräte zu schützen.

Jedes Gerät, dass direkt mit dem Internet verbunden ist, lässt sich theoretisch angreifen und anschließend übernehmen. Die Zahl dieser Geräte steigt aktuell rasant. Kandidaten sind Festplatten mit Cloudfunktion, Webcams, Netzwerkdrucker, NAS-Geräte, digitale Videorecorder und viele Geräte aus dem Bereich Smart Home und Internet der Dinge.

Bei vielen dieser Geräte können Angreifer die Kontrolle übernehmen und sie anschließend für ihre Zwecke missbrauchen. Das haben Hacker etwa mithilfe des Schädlings Mirai durchgeführt. Er befällt Webcams und digitale Videorecorder und nutzt diese Geräte, um Server im Internet durch millionenfache Anfragen lahmzulegen. So hat Mirai den DNS-Anbieter Dyn blockiert und damit die Erreichbarkeit von Spotify, Amazon und Paypal für mehrere Stunden beeinträchtigt. Das zeigt: Auch Dinge wie ein digitaler Videorecorder sind für Cyberkriminelle nützlich. Bei der Suche nach solchen angreifbaren Geräten hilft die Suchmaschine Shodan . Sie richtet sich in erster Line an Sicherheitsforscher und Administratoren, lässt sich aber auch von Privatpersonen nutzen.

Das leistet die Suchmaschine Shodan

Shodan ist eine Suchmaschine für Geräte, die mit dem Internet verbunden sind und dabei möglicherweise oder tatsächlich Sicherheitslücken aufweisen. Sie ähnelt in ihrer grundsätzlichen Arbeitsweise anderen Suchmaschinen, etwa Google.

Denn genau wie die weltweit größte Suchmaschine für Webseiten sucht Shodan das Internet nach Informationen ab. Shodan hat es aber nicht auf die Inhalte von Websites abgesehen, sondern auf Geräte wie Router, Webcams, Festplatten mit Internetanschluss und auf Smart-Home-Geräte, wenn diese vom Internet aus erreichbar sind. Das Spektrum im Smart-Home-Bereich ist riesig: Es geht um Leuchtmittel, Steckdosen, Türschlösser, Heizungsthermostate, Heizungsanlagen, Alarmanlagen, Kühlschränke, TV-Geräte, Hifi-Anlagen und vieles mehr.

Die Suchmaschine Shodan scannt das Internet ab und analysiert die Antworten, die sie erhält. Die Ergebnisse speichert Shodan in eine Datenbank. Wenn Sie die Suche bei Shodan nutzen, dann suchen Sie in dieser Datenbank nach bereits vorhandenen Ergebnissen. Sie können mit Shodan nach einzelnen IP-Adressen ebenso suchen wie nach Stichworten wie Webcam, MongoDB (Datenbank) oder Dreambox (digitaler Videorecorder).

Relevant: Nmap - Schwachstellen auf dem PC finden

So nutzen Sie Shodan, um angreifbare Geräte zu finden

Steuerungsseiten von Webcams wie diese findet die Suchmaschine Shodan hundertfach.
Vergrößern Steuerungsseiten von Webcams wie diese findet die Suchmaschine Shodan hundertfach.

Die Suchmaschine Shodan benennt auf die richtigen Suchbegriffe hin Geräte, die ungeschützt im Internet erreichbar sind oder sich zumindest möglicherweise angreifen lassen. Für einen Test geben Sie einen Suchbegriff, etwa Webcam, einfach in das Suchfeld unter www.shodan.io ein.

Möchten Sie sich näher mit der Suchmaschine beschäftigen, müssen Sie sich registrieren. Zwar liefert Shodan auch ohne eine Registrierung ein paar Ergebnisse, allerdings nur sehr wenige. Den vollen Funktionsumfang von Shodan erhalten aber nur zahlende Kunden.

Die Anmeldung erledigen Sie oben rechts über „Register“. Nach der Eingabe Ihrer Mailadresse erhalten Sie von Shodan eine Nachricht mit einem Bestätigungslink. Haben Sie Ihre Mailadresse über diesen Link bestätigt, können Sie sich einloggen und mit der Suche beginnen. Dafür eignen sich etwa Begriffe wie Webcam und Router. Sie können aber auch nach Softwareprodukten fahnden, etwa MongoDB. Das ist eine Datenbank, die in den letzten Jahren häufig und erfolgreich angegriffen wurde.

Die Suche lässt sich mit Filtern eingrenzen. Möchten Sie etwa Webcams in Berlin finden, lautet der Filter city:Berlin. Den Filter geben Sie nach den Suchbegriffen in das Suchfeld ein, etwa: webcam city:Berlin . Zusammengehörige Begriffe lassen sich in Anführungszeichen setzen, etwa country:“Saudi Arabia“ . Shodan erwartet englische Begriffe, also Munich statt München. Die Filter lassen sich kombinieren: webcam city:Berlin country:de . Unter anderem lassen sich folgende Filter nutzen:

city: Findet Geräte in der angegebenen Stadt.

country: Findet Geräte im angegebenen Land. Nutzen Sie für die Eingabe die Länderkennung von Websites, für Deutschland also de, für Frankreich fr. Eine Liste der Länderkennungen gibt es auf Wikipedia .

geo: Grenzt die Suche nach Koordinaten ein. Längen-und Breitengrad werden durch ein Komma getrennt.

hostname: Liefert Ergebnisse, die den genannten Hostnamen (Rechnernamen) enthalten.

os: Hier lassen sich Betriebssysteme angeben, etwa Windows, „Windows 95“ oder MacOS.

port: Liefert Rechner, bei denen der genannte Port ansprechbar („offen“) ist.

Zusätzlich lassen sich kostenpflichtige Filter kaufen. Das ist etwa für Sicherheitsexperten wichtig, die das Netzwerk ihrer Firma testen möchten. Stand Februar 2016 kostete die Proversion einmalig 49 Dollar. Neben den Filtern gibt es in der Proversion Zugriff auf eine API für die Datenbank sowie Prüf-Plug-ins für Testsysteme wie Metasploit .

Beispiel: Webcams mit Shodan entdecken

Dieses Webcambild ist nur ein privates Detail einer kleinen Haussteuerungsseite, die ungeschützt im Internet steht.
Vergrößern Dieses Webcambild ist nur ein privates Detail einer kleinen Haussteuerungsseite, die ungeschützt im Internet steht.

Shodan kennt viele Suchbegriffe, darunter auch Scada, was für Supervisory Control and Data Acquisition steht. Scada steht für Computer, die eine Industrieanlage steuern, etwa ein Heizkraftwerk, Pipelines oder eine Anlage zur Anreicherung von Uran. Allesamt sind absolut heikle Systeme.

In unserem Beispiel suchen wir nach dem Begriff Webcam. Eine örtliche Eingrenzung lässt sich über die oben genannten Filter gleich bei der Suche vornehmen oder nachträglich über die Kategorien links neben den Ergebnissen.

Die Ergebnisse bestehen aus IP-Adressen, die sehr wahrscheinlich zu einer Webcam gehören. Allerdings führt bei Weitem nicht jeder Link zu einem Kamerabild. Ein Großteil der Fundstellen ist bereits wieder offline oder hat eine neue IP-Adresse bezogen. Ein Klick auf den Link bei Shodan führt also ins Leere. Ein weiterer Teil ist mit einem Log-in geschützt. Aus den Zusatzinfos, die Shodan zu einer Fundstelle ausgibt, können Experten unter Umständen das dahinterliegende Gerät oder den dahinterstehenden Service erraten. Ein Angreifer kann nun versuchen, sich dort mit den üblichen Standardpasswörtern der Geräte einzuloggen. Im Test fanden sich allerdings auch etliche völlig ungeschützte Webcams. Wer also genügend Suchergebnisse anklickt, kommt irgendwann auch ohne Passwort an eine Kamera oder eine Haussteuerung.

Neben der Webcam (siehe Bild oben) liefert diese Haussteuerungsseite auch Informationen zum Ölverbrauch der Heizung.
Vergrößern Neben der Webcam (siehe Bild oben) liefert diese Haussteuerungsseite auch Informationen zum Ölverbrauch der Heizung.

In unserem Test stießen wir etwa auf eine IP-Adresse, unter der sich nicht nur drei Webcams fanden, sondern auch die Infos zur Heizanlage des Hauses. Die Webcams zeigen ein kleines Nebenhaus (siehe Abbildung) sowie eine Scheune und die Einfahrt zum Haupthaus. Auf der Weboberfläche des Heimservers finden sich zudem Infos zum Füllstand des Öltanks (im Oktober 2016 hat der Besitzer den Tank auffüllen lassen) sowie eine Verbrauchsstatistik. Über den Verbrauch lässt sich ganz gut abschätzen, wann das Häuschen nicht geheizt wird und damit im Winter vermutlich leer steht. Der Standort des Häuschens lässt sich ungefähr über die Geolokalisierung der IP-Adresse ermitteln. Das erledigt entweder Shodan gleich mit oder kann über Websites wie www.infosniper.net recherchiert werden. Abhängig davon, wie gut das funktioniert hat, lässt sich der genaue Standort über Google Maps und Google Earth ermitteln. Unter Umständen helfen persönliche Angaben in der Konfigurationsoberfläche bei der Suche nach der genauen Lage weiter.

In diesem Beispiel geben die Webcams dem Besitzer nur scheinbar mehr Sicherheit über sein Haus. Tatsächlich helfen sie mehr den Einbrechern.

Tipp: Schutz vor WLAN-Hackern - so sichern Sie sich ab

Shodan bietet noch etliche weitere Funktionen

Neben der reinen Suche lässt sich Shodan auch über den Menüpunkt „Explore“ erkunden. So finden Sie von anderen Nutzern häufig gesuchte Begriffe. Dazu zählen etwa Scada, Router, Default password und Traffic Lights. Ob sich über Shodan tatsächlich angreifbare Ampelsteuerungen (Traffic lights) finden lassen oder nur oft danach gesucht wird, können wir nicht sagen. Bei unseren Tests im Februar mit diesem Stichwort konnten wir nichts entdecken.

Censys: Die kostenlose Alternative zur Suchmaschine Shodan

Neben Shodan liefert der Dienst Censys ein ganz ähnliches, aber bisher noch komplett kostenloses Angebot. Die Suche von Censys scheint nicht so breit gefächert wie die von Shodan. So kennt der Index von Censys nur IPv4-Adressen, wohingegen Shodan auch etliche IPv6-Geräte gescannt hat. Doch bei unseren Suchen nach ungeschützten Webcams und offenen Serverdiensten waren wir bei Censys meist erfolgreicher. Vermutlich ist der Index von Censys aktueller als jener von Shodan in der kostenlosen Version.

IPv6-Adressen: Shodan indiziert nach eigenen Angaben einen großen Teil der IPv4-Adressen des Internets. Der ist mit rund 4,3 Milliarden (2 hoch 32) möglichen IPv4-Adressen kein kleiner Teil, aber für eine Suchmaschine mit Power offensichtlich noch gut zu bewältigen.

Ähnlich wird auch Censys vorgehen. Doch bei den IPv6-Adressen hat Shodan wohl noch die Nase vorn, da die Suchmaschine hier recht trickreich vorgeht und entsprechende Rechner regelrecht anlockt.

Grundsätzlich gilt: Der Adressbereich im neuen IPv6-Netzwerk ist mit möglichen 2 hoch 128 um ein Vielfaches größer als der von IPv4 und lässt sich allein deshalb nicht so leicht scannen. Zudem kann sich ein IPv6-Rechner durch zufällig gewählte Adresserweiterungen auch tarnen. Doch die Macher von Shodan sind raffiniert und wenden bei der Suche nach Rechnern mit IPv6 einen Trick an. Sie haben mehrere NTP-Server ins Internet gestellt und dem NTP Pool Project angeschlossen. Ein NTP-Server (Network Time Protocol Server) dient als Zeitserver, von dem sich andere Rechner im Internet die exakte Uhrzeit holen. Und das tun die meisten Rechner häufig, da von einer genauen internen Uhr sehr viele Datenverarbeitungsprozesse abhängig sind. Ob ein anfragender Rechner eine IPv4-oder IPv6-Adresse hat, ist für den NTP-Server eindeutig erkennbar. Auf diese Weise kommt Shodan zu einer schönen Liste mit IPv6-Rechnern, die nicht nur eine Uhrzeit mitgeteilt bekommen, sondern auch gleich ordentlich gescannt werden.

So prüfen Sie Ihr Netzwerk auf Schwachstellen

Der Router an diesem Telekom-Anschluss wird alle 24 Stunden getrennt und erhält eine neue IP-Adresse.
Vergrößern Der Router an diesem Telekom-Anschluss wird alle 24 Stunden getrennt und erhält eine neue IP-Adresse.

Wie gut Sie Ihr eigenes Netzwerk mit Shodan prüfen können, hängt wesentlich davon ab, wie lange Ihr Router ein und dieselbe IP-Adresse besitzt. Haben Sie eine feste IP-Adresse, dann haben die Crawler von Shodan Ihren Router sicher schon mal gescannt. Gibt Ihnen Ihr Internet-Provider jeden Tag eine neue IP-Adresse, werden Sie sich kaum in der Datenbank von Shodan wiederfinden. Mittlerweile verzichten aber viele Internetprovider auf die früher übliche Zwangstrennung. So behält ein Router oft über Wochen hinweg dieselbe IP-Adresse.

IP-Adresse ermitteln: Als Erstes müssen Sie Ihre aktuelle IP-Adresse ermitteln. Das geht etwa über den Browsercheck von PC-WELT, den Sie über www.browsercheck.pcwelt.de erreichen. Von Ihrem Heimnetz aus aufgerufen, zeigt diese Website die IP-Adresse Ihres Router hinter „Externe IP-Adresse“. 

IP-Adresse bei Shodan prüfen: Geben Sie die eben ermittelte IP-Adresse bei Shodan oder Censys ein. Sollte eine der Suchmaschinen eine Fundstelle ausgeben, ist das kein Grund zur Panik. Denn es ist gut möglich, dass sich der Eintrag zu dieser IP-Adresse eigentlich auf einen anderen Rechner oder Router bezieht. Und selbst wenn nicht: Shodan wird dann wahrscheinlich zu Ihrer IP-Adresse einen oder mehrere offene Ports melden. Offene Ports stellen jedoch nicht automatisch eine Sicherheitslücke dar; allerdings sollten Sie diese Einträge prüfen.

Ergebnisse überprüfen: Liefert Ihnen Shodan ein Ergebnis zu Ihrer IP-Adresse, handelt es sich dabei sehr wahrscheinlich um eine Portnummer. Nun sollten Sie zunächst prüfen, ob die Funkstelle mit Ihrem Heimnetz aktuell identisch ist. Scannen Sie dafür Ihre IP-Adresse mit einem Prüftool, und lassen Sie dabei die von Shodan gefundenen Ports mit abklopfen. Das geht etwa über den Firewall-Check der PC-WELT unter http://www.browsercheck.pcwelt.de/firewall-check . Tragen Sie auf der Website unter „Zusätzliche Ports überprüfen“ die gemeldeten Ports ein, und klicken Sie auf „Jetzt Ports überprüfen“. Einen alternativen Scanner für diesen Zweck finden Sie unter www.grc.com/shieldsup .

Melden diese Scanner die monierten Ports ebenfalls als offen, müssen Sie den Grund dafür ermitteln: Welches Programm oder Gerät ist in Ihrem Heimnetz aktiv und hat diesen Port geöffnet?

Eine erste Hilfe liefern Portlisten, die typische Programme zu einzelnen Portnummern angeben, etwa hier . Die Infos aus dieser Liste kann Sie schon auf die richtige Spur bringen. Falls nicht, googeln Sie nach der Portnummer. Steckt ein unerwünschtes Programm dahinter, können Sie dieses beenden. Stellen Sie dabei sicher, dass das Programm nicht im Autostart von Windows steckt, sonst ist es nach dem nächsten Neustart wieder aktiv. Letzteres funktioniert etwa mit dem Tool Autoruns .

Hat nicht ein Programm, sondern ein Gerät den Port geöffnet, etwa ein NAS, dann müssen Sie die Konfiguration des Gerätes aufrufen und überprüfen. An die Konfiguration kommen Sie meist über den Browser am PC und die Eingabe der IP-Adresse des Gerätes. Dessen IP-Adresse verrät Ihnen Ihr Router.

So schützen Sie Ihr Netzwerk gegen Angreifer

Findet die Suchmaschine eine IP-Adresse mit offenen Ports, kommt die Adresse in den Suchindex. Offene Ports alleine sind aber noch kein Sicherheitsproblem. Sie können es allerdings werden, wenn der Dienst dahinter anfällig ist.
Vergrößern Findet die Suchmaschine eine IP-Adresse mit offenen Ports, kommt die Adresse in den Suchindex. Offene Ports alleine sind aber noch kein Sicherheitsproblem. Sie können es allerdings werden, wenn der Dienst dahinter anfällig ist.

Damit Ihr Heimnetzwerk im besten Fall gar nicht bei Shodan auftaucht, müssen Sie es abschotten. Dafür sind drei Punkte wichtig: Installieren Sie stets für alle Ihre Geräte die neusten Updates. Achten Sie bei der Konfiguration von Geräten sehr drauf, was die Geräte machen möchten und können. Vergeben Sie stets eigene und komplizierte Passworte.

Updates: Was bei Windows-PCs selbstverständlich ist und meist automatisch geschieht, ist für viele Netzwerkgeräte noch die Ausnahem: regelmäßige Updates. Doch auch bei Netzwerkgeräten sind Updates ungemein wichtig, um neu entdeckte Sicherheitslücken zu schließen. Das betrifft den Router ebenso wie das NAS oder die IP-Kamera. Wie Sie die Updates installieren, sollte das Handbuch oder die Website des Herstellers verraten.

Konfiguration: Wenn Sie gar nicht vorhaben, von unterwegs aus auf Ihre externe Festplatte zuzugreifen, dann brauchen Sie bei ihr auch keinen Internetzugriff einzurichten. Laufen in Ihrem Heimnetz schon länger internetfähige Geräte, lohnt sich grundsätzlich ein Kontrollblick in ihre Konfigurationsmenüs.

Profis können einem Gerät, das keine Daten ins Internet senden soll, grundsätzlich auch den Zugriff auf selbiges am Router verwehren.

Passworte: Wenn Sie ein Gerät mit dem Internet verbinden, dann schützen Sie es mit einem individuellen Passwort. Soll etwa eine IP-Kamera die Eskapaden der Haustiere für Sie ins Internet senden, dann sollten Sie den Zugriff auf die Bilder und auf die Konfigurationsseite des Gerätes mit einen eigenen Passwort schützen. Denn die Standardpassworte der Geräte kennen auch die Hacker und Virenprogrammierer. Wenn Sie diese voreingestellten Log-in-Daten belassen, ist es für jeden Angreifer ein Kinderspiel, das Gerät zu übernehmen.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2265799