Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.212 Themen, 94.126 Beiträge

News: Peinliche Sicherheitslücke

Spanner-Alarm - IP-Webcams öffentlich angezapft

Michael Nickles am 06.02.2012, 18:45 / 28 Antworten / Flachansicht

Sogenannte IP-Webcams können direkt per Kabel oder WLAN an einen Router angeschlossen werden und übertragen Bilder und Live-Videostreams dann direkt ins Netz. Die komplette "Internetübertragungs-Software" steckt also in der Kamera. Zum Abruf der Kamera muss man nur ihre IP-Adresse kennen und die kann dann einfach mit einem Internet-Browser aufgerufen werden.

Normalerweise braucht es dann noch einen Benutzernamen und ein Passwort. Eine schwerwiegende Sicherheitslücke bei IP-Webcams des Herstellers Trendnet, sorgt jetzt für Aufregung. Diverse Webcam-Modelle (fast alle?) können auch von Laien simpel angezapft werden.

Entdeckt wurde das Problem bereits Anfang Januar vom Console Cowboys Blog - allerdings zunächst nur bei einem Trendnet-Modell.

Richtig in die Schlagzeilen kommt die Sache erst jetzt, weil sich der Verdacht erhärtet, dass zig Trendnet-Modelle betroffen sind, eventuell gar die komplette Produktpalette. Auf der Trendnet-Webseite gibt es bislang keinen Hinweis auf das Problem, Betroffene müssen selbst mitkriegen, dass sie dringend ein Firmware-Update brauchen.

Im Console Cowboys Blog ist ausführlich beschrieben, wie die Sicherheitslücke entdeckt wurde. Und noch schlimmer: auch, wie jeder Trottel betroffene Webcams anzapfen kann. Dazu muss in der "Hacker-Suchmaschine" Shodan einfach nach dem Begriff "netcam" gesucht werden. Das liefert direkt die IP-Adressen von Webcams.

Aktuell findet Shodan rund 2.700 Webcams in den USA und - an zweiter Stelle - rund 1.300 in Deutschland. Shodan listet allerdings alle gefundenen Webcams auf, nicht nur solche, die aufgrund der Sicherheitslücke frei zugänglich sind. Im Blog von Console Cowboys wurde allerdings ein Phyton-Script veröffentlicht, mit dem sich aus der Shodan-Fundliste die offenen Webcams rausfiltern lassen.

Für Besitzer einer Trendnet-Webcam herrscht also ausdrücklich Alarmstufe Rot. Die Webcams sollten sofort deaktiviert und ein Firmware-Update sollte beschafft werden.

Michael Nickles meint: Da es anscheinend nicht mal Geheimdienste schaffen eine abhörsicherere Telefonkonferenz zu basteln (siehe Telefonkonferenz zwischen FBI und Scottland Yard abgehört), kann man bei den Herstellern von "Internet-Spielzeugs" eigentlich nur restlos schwarz sehen.

An dieser Stelle noch eine kleine Warnung: auch mit einer "USB-Webcam", einer integrierten Webcam, kann man leicht ausspioniert werden. Das geht sogar mit "Freeware".

An dieser Stelle noch eine kleine Warnung: auch mit einer USB-Webcam , einer ... Loopi© 06.02.2012, 20:28

sage auch immer allen Freunden, ich habe keine Kamera, wenn die fragen. Dann ... Knoeppken 06.02.2012, 20:46

Weshalb ich an meinem Notebook die Kamera mit schwarzem Klebestreifen ... mi~we 06.02.2012, 20:56

Man könnte die Kamera natürlich auch einfach im Gerätemanager ... Loopi© 07.02.2012, 16:22

Dazu gab es hier aber mal einen Beitrag. Hallo, hier war schon eine ... Knoeppken 07.02.2012, 16:38

Man könnte die Kamera natürlich auch einfach im Gerätemanager ... Olaf19 07.02.2012, 21:31

Ein alter Hut mit neuen Federn... ... IRON67 06.02.2012, 22:41

Hihi...das funktioniert ja wirklich ... mi~we 07.02.2012, 13:57

Preisfrage: wo auf der Welt ist das? Ich glaub , ich hab s rausgefunden... ... dl7awl 07.02.2012, 14:54

wo auf der Welt ist das? ... mi~we 07.02.2012, 15:07

Anscheinend St. Louis USA Genauer!!!! Google-Earth-Placemark vom ... dl7awl 07.02.2012, 15:28

Du meinst, man kann am Kamerabild genau erkennen, wo das ist? Dann muss ich ... mi~we 07.02.2012, 15:34

Du meinst, man kann am Kamerabild genau erkennen, wo das ist? Nicht direkt. ... dl7awl 07.02.2012, 15:46

Na, rausgefunden? - Hier mal die Stelle aus Google-Earth-Sicht, wobei die ... dl7awl 08.02.2012, 13:22

New Town Chapel, Civic Circle in Saint Charles, das Gebäude mit den zwei ... IRON67 08.02.2012, 16:06

Und das muss man jetzt wissen weil....? mi~we 08.02.2012, 16:34

@IRON67: New Town Chapel, Civic Circle in Saint Charles, das Gebäude mit ... dl7awl 08.02.2012, 19:31

Jepp. Wie hast du s gefunden? Straßenschilder -- Google Maps -- feddich. IRON67 08.02.2012, 19:38

Übrigens, Dein Geolocation-Link führt bei mir zu einem 403 Error Komisch, ... mi~we 08.02.2012, 19:40

Komisch, habe ihn gerade eben nochmal aufgerufen...funktioniert! Ursache ... dl7awl 08.02.2012, 21:19

weil....? ...gefragt wurde und man nicht doof sterben will. IRON67 08.02.2012, 19:39

Und hier mal irgend ein Konferenz- oder Schulungsraum. Ich hab mir jetzt ... IRON67 07.02.2012, 15:34

Mensch, das kann ja ein Sport werden und macht teils richtig Spaß... Hier ... dl7awl 07.02.2012, 17:09

Jo, den kenne ich von früher. Auch die Tafel mit den Notizen is luschtik. ... IRON67 07.02.2012, 18:06

Wie hättest du den jetzt lokalisieren wollen? Im Konferenzraum gibt es doch ... Olaf19 09.02.2012, 00:22

Wie hättest du den jetzt lokalisieren wollen? Mit Geduld - IRON67 09.02.2012, 01:01

Im Konferenzraum gibt es doch keine Straßenschilder Das nicht. Aber eine ... Max Payne 09.02.2012, 21:02

dl7awl

Michael Nickles „Spanner-Alarm - IP-Webcams öffentlich angezapft“

07.02.2012, 13:06 Optionen

°
Da kommen Erinnerungen hoch, und ich muss hier mal was "outen"...

Ich hatte schon 2004 bei einer weit verbreiteten IP-Kamera eine grobe Sicherheitslücke entdeckt. Da diese Kamera (gab's baugleich auch unter anderen Brandings und als "noname"-Produkt) sich wegen ihrer großen Verbreitung immer noch vielfach im Einsatz befindet, gehe ich da mal genauer drauf ein.

Meine damalige Mail an Sitecom (Auszüge):

"die per Web-Oberfläche einrichtbaren Passworte für Administrator und User gaukeln eine trügerische Sicherheit vor. Beide stellen keinen wirklichen Schutz gegen unberechtigte Video-Zugriffe dar.
Denn damit wird, wie ich feststellen musste, lediglich die HTML-Oberfläche geschützt, nicht aber der Video-Stream als solcher. Dieser bleibt völlig ungeschützt!!!! Die User-Passworte verfehlen damit ihren eigentlichen und erklärten Zweck. Denn jeder Unbefugte kann das Java-Applet in beliebige eigene Seiten integrieren, und es wird ohne Passwort-Abfrage geladen und zeigt dann auch ohne Passwort-Abfrage den (möglicherweise vertraulichen) Video-Content an. Mehr noch: jeder Unbefugte ist damit auch in der Lage, willkürlich viel Traffic und somit Kosten zu produzieren, und könnte die Kamera sogar durch Denial-of-Service-Angriff praktisch lahmlegen."

(Zu Letzterem als Erläuterung: mehr als ~ 2-3 gleichzeitige Betrachter verkraftet der Embedded-Server so einer Kamera natürlich nicht. Wenn man den öffentlichen Zugriff nicht wirksam begrenzen kann, ist sie also mühelos per DoS lahmzulegen.)

Man reagierte zunächst prompt:

"Ich habe diesen Sachverhalt an unseren Chef-Techniker in Rotterdam gesendet. Ich hoffe, das dort dieses Problem umgehend gelöst werden kann."

Danach kam dann nichts Ernstzunehmendes mehr. Mehrmalige Nachfragen brachten vom gleichen Mitarbeiter nur noch dümmlichste Ausflüchte und Erklärungen, z.B. dass das, was ich beanstande, ja gerade der Sinn einer IP-Kamera sei. Wie bitte? Oder man müsse halt einen Router vorschalten und durch diesen den externen Zugriff auf eine bestimmte IP beschränken. Oder ein VPN verwenden. Haha! Selbst solche Flickschuster-"Lösungen", bei denen externer Zusatzaufwand die Schwächen der Kamera kaschieren soll, hätten nicht ermöglicht, was die Kamera von Haus aus zu können vorgibt: nämlich den Zugriff via Benutzernamen und Passworte auf einen frei festlegbaren Nutzerkreis zu beschränken.

Ich bezweifle, dass das Sicherheitsproblem jemals durch ein Firmware-Update behoben wurde. Selbst wenn, dürfte es die meisten Anwender gar nicht erreicht haben.

Gruß, Manfred