News: Peinliche Sicherheitslücke
Spanner-Alarm - IP-Webcams öffentlich angezapft
Michael Nickles / 28 Antworten / Baumansicht
[mn] Sogenannte IP-Webcams können direkt per Kabel oder WLAN an einen Router angeschlossen werden und übertragen Bilder und Live-Videostreams dann direkt ins Netz. Die komplette "Internetübertragungs-Software" steckt also in der Kamera. Zum Abruf der Kamera muss man nur ihre IP-Adresse kennen und die kann dann einfach mit einem Internet-Browser aufgerufen werden.
Normalerweise braucht es dann noch einen Benutzernamen und ein Passwort. Eine schwerwiegende Sicherheitslücke bei IP-Webcams des Herstellers Trendnet, sorgt jetzt für Aufregung. Diverse Webcam-Modelle (fast alle?) können auch von Laien simpel angezapft werden.
Entdeckt wurde das Problem bereits Anfang Januar vom Console Cowboys Blog - allerdings zunächst nur bei einem Trendnet-Modell.
Richtig in die Schlagzeilen kommt die Sache erst jetzt, weil sich der Verdacht erhärtet, dass zig Trendnet-Modelle betroffen sind, eventuell gar die komplette Produktpalette. Auf der Trendnet-Webseite gibt es bislang keinen Hinweis auf das Problem, Betroffene müssen selbst mitkriegen, dass sie dringend ein Firmware-Update brauchen.
Im Console Cowboys Blog ist ausführlich beschrieben, wie die Sicherheitslücke entdeckt wurde. Und noch schlimmer: auch, wie jeder Trottel betroffene Webcams anzapfen kann. Dazu muss in der "Hacker-Suchmaschine" Shodan einfach nach dem Begriff "netcam" gesucht werden. Das liefert direkt die IP-Adressen von Webcams.
Aktuell findet Shodan rund 2.700 Webcams in den USA und - an zweiter Stelle - rund 1.300 in Deutschland. Shodan listet allerdings alle gefundenen Webcams auf, nicht nur solche, die aufgrund der Sicherheitslücke frei zugänglich sind. Im Blog von Console Cowboys wurde allerdings ein Phyton-Script veröffentlicht, mit dem sich aus der Shodan-Fundliste die offenen Webcams rausfiltern lassen.
Für Besitzer einer Trendnet-Webcam herrscht also ausdrücklich Alarmstufe Rot. Die Webcams sollten sofort deaktiviert und ein Firmware-Update sollte beschafft werden.
Michael Nickles meint: Da es anscheinend nicht mal Geheimdienste schaffen eine abhörsicherere Telefonkonferenz zu basteln (siehe Telefonkonferenz zwischen FBI und Scottland Yard abgehört), kann man bei den Herstellern von "Internet-Spielzeugs" eigentlich nur restlos schwarz sehen.
An dieser Stelle noch eine kleine Warnung: auch mit einer "USB-Webcam", einer integrierten Webcam, kann man leicht ausspioniert werden. Das geht sogar mit "Freeware".
| Premium-Mitglieder sehen das Forum werbefrei! | |
|---|---|
Loopi© 
Michael Nickles
„Spanner-Alarm - IP-Webcams öffentlich angezapft“
Weshalb ich an meinem Notebook die Kamera mit schwarzem Klebestreifen überklebt habe. Ich bin sowieso gegen Webcams, nur gibt es ja kaum noch Net/Notebooks ohne. Auch bei den Pads (iPads und deren Konkurrenten) sind die ja drin, ohne wäre mir lieber, weshalb ich mein iPad1 auch noch möglichst lange behalte. Ich brauche so einen Kram nicht, ich mag kein Videochat, sage auch immer allen Freunden, ich habe keine Kamera, wenn die fragen.
Knoeppken Loopi©
„An dieser Stelle noch eine kleine Warnung: ...“
Dann sind wir ja schon 2. ;-)
Ich kann dem nichts abgewinnen, wer meint mich unbedingt sehen zu wollen, darf gerne an meiner Haustür klingeln.
Ein Freund von mir ist allerdings oft im Ausland unterwegs, dass er dann gelegentlich mit seiner Familie derart in Verbindung tritt (Notebook- Webcam), kann ich nachvollziehen.
Gruß
knoeppken
mi~we Loopi©
„An dieser Stelle noch eine kleine Warnung: ...“
Man könnte die Kamera natürlich auch einfach im Gerätemanager deaktivieren. ;-)
Loopi© mi~we
„Weshalb ich an meinem Notebook die Kamera ...“
Eben das nützt nichts, wie ja in einer "Akte"-Sendung gezeigt wurde. Dazu gab es hier aber mal einen Beitrag.
Knoeppken Loopi©
„Man könnte die Kamera natürlich auch ...“
Hallo,
hier war schon eine ähnliche Diskussion:
http://www.nickles.de/c/n/webcam-spanner-geschnappt-8782.htm
Gruß
knoeppken
Olaf19 mi~we
„Weshalb ich an meinem Notebook die Kamera ...“
Ganz ehrlich: dazu hätte ich prinzipbedingt kein Vertrauen. Das wäre eine "Software-Lösung", und Software ist, wie alles was Menschen machen, von Fehlern behaftet. Also etwa: der Gerätemanager zeigt mir zwar an, "das Gerät ist inaktiv", in Wirklichkeit läuft es aber fröhlich weiter. Oder: das Gerät ist zunächst tatsächlich deaktiviert, aber irgendwelche Heinzelmännchen schalten es wieder ein. Oder: Ich muss neu installieren und vergesse anschließend, die Kamera abzuschalten - auch das ist eine Möglichkeit.
CU
Olaf
IRON67 Michael Nickles
„Spanner-Alarm - IP-Webcams öffentlich angezapft“
Ein alter Hut mit neuen Federn...
http://scareware.de/2011/06/webcams-hacken-per-google/
mi~we IRON67
„Ein alter Hut mit neuen Federn... ...“
Hihi...das funktioniert ja wirklich
http://209.50.106.51:8181/ViewerFrame?Mode=Motion&Language=0
dl7awl mi~we
„Hihi...das funktioniert ja wirklich ...“
°
Preisfrage: wo auf der Welt ist das? Ich glaub', ich hab's rausgefunden...
Übrigens bin ich erstaunt über den wirklich großen Schwenk- und Zoom-Bereich dieser "Spielzeuge" und den gut funktionierenden Autofocus bis in den Macro-Bereich, mit alledem kann man ja wirklich was anfangen... (Hat jemand die Schraube auf der Fensterbank gesehen? ;-) )
mi~we dl7awl
„ Preisfrage: wo auf der Welt ist das? Ich ...“
http://www.ip-adress.com/ip_lokalisieren/209.50.106.51
Anscheinend St. Louis (USA)
dl7awl mi~we
„wo auf der Welt ist das? ...“
°
Anscheinend St. Louis (USA)
Genauer!!!! Google-Earth-Placemark vom Kamerastandort, bitte! ;-D
Bin übrigens in diesem Fall gar nicht auf die Idee gekommen, Geolocation zu verwenden - gute Idee! Ich bin allein von den Bildinhalten ausgegangen. Und ja, ich hab's rausgefunden, auf ein paar Meter genau. Hat Spaß gemacht ;-)
Soll ich's verraten? Nö, ich warte noch ein bisschen... ;-)
mi~we dl7awl
„ Anscheinend St. Louis (USA) Genauer!!!! ...“
Du meinst, man kann am Kamerabild genau erkennen, wo das ist?
Dann muss ich nochmal schauen...
dl7awl mi~we
„Du meinst, man kann am Kamerabild genau ...“
°
Du meinst, man kann am Kamerabild genau erkennen, wo das ist?
Nicht direkt. Aber wenn man ein paar Eindrücke und Informationen kombiniert und ein bisschen googelt...
St. Louis stimmt übrigens nicht ganz. Es ist ca. 35 km davon weg.
dl7awl
Nachtrag zu: „ Du meinst, man kann am Kamerabild genau ...“
°
Na, rausgefunden? ;-)
Hier mal die Stelle aus Google-Earth-Sicht, wobei die gelbe Pinwand-Nadel (unten in der Mitte) den von mir vermuteten Kamera-Standort markiert:
http://www.bilder-upload.eu/upload/44957c-1328703572.jpg
Die Frage aber bleibt: Wo ist das?
Morgen werde ich es verraten, falls ich dran denke und es bis dahin niemand gefunden hat. Dann werde ich auch sagen, wie ich drauf gekommen bin.
Gruß, Manfred
IRON67 dl7awl
„ Na, rausgefunden? ;-) Hier mal die Stelle ...“
New Town Chapel, Civic Circle in Saint Charles, das Gebäude mit den zwei Antennenmasten
http://www.panoramio.com/photo/11569710
mi~we IRON67
„New Town Chapel, Civic Circle in Saint ...“
Und das muss man jetzt wissen weil....?
dl7awl mi~we
„Und das muss man jetzt wissen weil....?“
°
@IRON67:
New Town Chapel, Civic Circle in Saint Charles, das Gebäude mit den zwei Antennenmasten
Jepp. Wie hast du's gefunden? Es gibt ja Anhaltpunkte in Hülle und Fülle. Ich habe nicht lange gebraucht: von der Default-Position aus mit einem leichten Links-Schwenk und starkem Ranzoomen dann u.a. Marsala's Market gesehen und dahinter Blue Agave. Beides zusammen in eine Suchmaschine eingegeben, führte sofort auf die Website von New Town at St. Charles. Das wiederum bei Google Earth eingegeben, ließ schnell die Ähnlichkeiten mit dem Kamerabild finden und auf den genauen Kamerastandort schließen. Website und Panoramio-Fotos bestätigten das dann.
Durch Heranzoomen kann man sogar etliche Straßenschilder lesen, aber das habe ich zum Finden gar nicht gebraucht.
New Town ist übrigens ein einschlägiger Begriff, und ich finde, genau so, wie es Wikipedia beschreibt, sieht es dort auch aus... Aber ganz hübsch gemacht...
Ich finde es schon mal faszinierend, wie man sich da live "umsehen" und teilweise sogar Fußgänger "verfolgen" oder in Fenster schauen kann. Wäre hier bestimmt gar nicht erlaubt, so eine Kamera.
In der Nacht war durchgängig alles hell erleuchtet, die Amis haben's ja... Tageshell wurde es erwartungsgemäß gegen 14:00 Uhr unserer Zeit. In der Nacht hat es etwas geschneit, und ich habe jemanden beobachtet, wie er aus dem Haus kam, die Windschutzscheibe seines Pickup freigemacht hat und dann losgefahren ist. Und dass auch im tiefsten Amerika der Begriff "Bratwurst" gebräuchlich ist, weiß ich jetzt auch... ;-)
@mi~we:
Und das muss man jetzt wissen weil....?
...es mal Spaß macht? Gestern "musstest" du doch auch noch ;-) :
Dann muss ich nochmal schauen...
Übrigens, Dein Geolocation-Link führt bei mir zu einem 403 Error ("Forbidden"). Hast du da wirklich eine Auskunft bekommen?
Gruß, Manfred
IRON67 dl7awl
„ @IRON67: New Town Chapel, Civic Circle in ...“
Straßenschilder --> Google Maps --> feddich.
mi~we dl7awl
„ @IRON67: New Town Chapel, Civic Circle in ...“
Komisch, habe ihn gerade eben nochmal aufgerufen...funktioniert!
dl7awl mi~we
„Übrigens, Dein Geolocation-Link führt bei ...“
°
Komisch, habe ihn gerade eben nochmal aufgerufen...funktioniert!
Ursache gefunden: lag an meiner IP, die scheinen sie nicht gemocht zu haben. Mit einer anderen ging's.
IRON67 mi~we
„Und das muss man jetzt wissen weil....?“
...gefragt wurde und man nicht doof sterben will.
IRON67 dl7awl
„ Anscheinend St. Louis (USA) Genauer!!!! ...“
Und hier mal irgend ein Konferenz- oder Schulungsraum. Ich hab mir jetzt nicht die Mühe gemacht, den zu lokalisieren.
http://62.117.68.199:8055/ViewerFrame?Mode=Motion
dl7awl IRON67
„Und hier mal irgend ein Konferenz- oder ...“
°
Mensch, das kann ja ein "Sport" werden und macht teils richtig Spaß...
Hier habe ich noch was Nettes gefunden, was nicht einer gewissen Komik entbehrt.
Es ist die öffentlich abrufbare Kamera eines Netzwerk-Kontrollraums einer mit IT befassten, nicht unbedeutenden, wenn nicht gar einer Regierungsinstitution (meine whois-Suche führte, wenn ich die richtg deute, letztlich zu www.illinois.net bzw. illinois.gov).
http://64.107.8.159/ViewerFrame?Mode=Motion&Language=0
Man schwenke mal ganz nach links unten und beachte das Büchlein "snort for dummies", sinnigerweise direkt neben dem Eimer mit dem Putzzeug. (Snort ist ein intrusion detection tool.) Man sieht also, da arbeiten echte Profis, ich find's zum Kugeln... ;-)
IRON67 dl7awl
„ Mensch, das kann ja ein "Sport" werden und ...“
Jo, den kenne ich von früher. Auch die Tafel mit den Notizen is luschtik.
Noch besser sind nur Juwelierläden und Handy-Stores.
Olaf19 IRON67
„Und hier mal irgend ein Konferenz- oder ...“
Wie hättest du den jetzt lokalisieren wollen? Im Konferenzraum gibt es doch keine Straßenschilder ;-)
CU
Olaf
IRON67 Olaf19
„Wie hättest du den jetzt lokalisieren ...“
Mit Geduld ;-)
Max Payne Olaf19
„Wie hättest du den jetzt lokalisieren ...“
Das nicht. Aber eine URL, eine Uhr (Zeitdifferenz UTC +4) und mit der IP-Adresse lässt sich der Standort grob bestimmen... Sofern dieses Unternehmen dann nicht in jedem Ort mehrere Niederlassungen hat, sollte sich so mit der Zeit ein konkretes Gebäude identifizieren lassen.
dl7awl Michael Nickles
„Spanner-Alarm - IP-Webcams öffentlich angezapft“
°
Da kommen Erinnerungen hoch, und ich muss hier mal was "outen"...
Ich hatte schon 2004 bei einer weit verbreiteten IP-Kamera eine grobe Sicherheitslücke entdeckt. Da diese Kamera (gab's baugleich auch unter anderen Brandings und als "noname"-Produkt) sich wegen ihrer großen Verbreitung immer noch vielfach im Einsatz befindet, gehe ich da mal genauer drauf ein.
Meine damalige Mail an Sitecom (Auszüge):
"die per Web-Oberfläche einrichtbaren Passworte für Administrator und User gaukeln eine trügerische Sicherheit vor. Beide stellen keinen wirklichen Schutz gegen unberechtigte Video-Zugriffe dar.
Denn damit wird, wie ich feststellen musste, lediglich die HTML-Oberfläche geschützt, nicht aber der Video-Stream als solcher. Dieser bleibt völlig ungeschützt!!!! Die User-Passworte verfehlen damit ihren eigentlichen und erklärten Zweck. Denn jeder Unbefugte kann das Java-Applet in beliebige eigene Seiten integrieren, und es wird ohne Passwort-Abfrage geladen und zeigt dann auch ohne Passwort-Abfrage den (möglicherweise vertraulichen) Video-Content an. Mehr noch: jeder Unbefugte ist damit auch in der Lage, willkürlich viel Traffic und somit Kosten zu produzieren, und könnte die Kamera sogar durch Denial-of-Service-Angriff praktisch lahmlegen."
(Zu Letzterem als Erläuterung: mehr als ~ 2-3 gleichzeitige Betrachter verkraftet der Embedded-Server so einer Kamera natürlich nicht. Wenn man den öffentlichen Zugriff nicht wirksam begrenzen kann, ist sie also mühelos per DoS lahmzulegen.)
Man reagierte zunächst prompt:
"Ich habe diesen Sachverhalt an unseren Chef-Techniker in Rotterdam gesendet. Ich hoffe, das dort dieses Problem umgehend gelöst werden kann."
Danach kam dann nichts Ernstzunehmendes mehr. Mehrmalige Nachfragen brachten vom gleichen Mitarbeiter nur noch dümmlichste Ausflüchte und Erklärungen, z.B. dass das, was ich beanstande, ja gerade der Sinn einer IP-Kamera sei. Wie bitte? Oder man müsse halt einen Router vorschalten und durch diesen den externen Zugriff auf eine bestimmte IP beschränken. Oder ein VPN verwenden. Haha! Selbst solche Flickschuster-"Lösungen", bei denen externer Zusatzaufwand die Schwächen der Kamera kaschieren soll, hätten nicht ermöglicht, was die Kamera von Haus aus zu können vorgibt: nämlich den Zugriff via Benutzernamen und Passworte auf einen frei festlegbaren Nutzerkreis zu beschränken.
Ich bezweifle, dass das Sicherheitsproblem jemals durch ein Firmware-Update behoben wurde. Selbst wenn, dürfte es die meisten Anwender gar nicht erreicht haben.
Gruß, Manfred
