Wiener decken schwere Lücke in Überwachungskamera auf

„Die SNC-DH160 ist eine vandalismussichere Netzwerküberwachungskamera, mit denen Vorfälle gut erkannt und bewiesen werden können.“ So lautet die Werbung für die Überwachungskamera, die der Wiener IT-Security-Spezialist Fabian Mittermaier vor meinen Augen binnen weniger Sekunden mit ein paar Codezeilen knackt. Er nutzt dazu eine einfache Schwachstelle aus, mit der sich der Fernwartungszugang freischalten lässt.

Wartungs-Hintertür

Im System findet er neben einem Standardpasswort für den Administrations-Account auch noch einen Nutzer namens „root“. Dieser hat ein hart codiertes Passwort, das auf allen Geräten dieses Kameratyps gleich ist und nicht geändert werden kann. Markus Robin, General Manager der Sicherheitsfirma SEC Consult, nennt dies einen „Maintenance-Backdoor“ (Wartungs-Hintertür). „Egal, ob dieser Zugang zur Wartung geschaffen wurde oder nicht: Damit ist das System für illegitime Nutzer angreifbar“, so Robin. Am Dienstag hat das Security-Unternehmen dazu eine Sicherheitsnotiz veröffentlicht. Mit Sony steht das Unternehmen seit Wochen in Kontakt und der Hersteller hat bereits Ende November - also noch vor Bekanntmachung der Lücke - ein Firmware-Update veröffentlicht, das von den Unternehmen eingespielt werden kann.

Das wird auch dringend empfohlen. Denn mit einem Fernzugriff können Außenstehende nicht nur auf die Bilder der Überwachungskamera zugreifen und damit überprüfen, wer sich gerade wo im Raum aufhält, sondern auch die Bilder manipulieren. „Es ist, wie wir es aus dem Film kennen. Mit dieser Sicherheitslücke können Unbekannte völlig andere Bilder einspielen. Die Aufnahmen zeigen dann etwa, dass nichts passiert ist, während in Wahrheit gerade eine Bank ausgeraubt wird“, erzählt Mittermair. Damit wird die Kamera als Sicherheitsobjekt praktisch nicht nur nutzlos, sondern kann auch noch so missbraucht werden, dass falsche Fährten gelegt werden können.

Fast 4000 Kameras betroffen

Doch das ist nicht die einzige Möglichkeit, die mit einem Fernzugriff möglich wird. Auf die Kamera kann auch Software eingespielt werden, die sie zum Teil eines Botnets macht. Derzeit hängen laut der Suchmaschine censys.io 3976 Kameras diesen Typs im Internet, 178 davon allein in Österreich. Diese Kameras könnten in Zukunft an sogenannten DDoS-Angriffen (Überlastungsangriffen) mitwirken und dafür sorgen, dass Netflix ausfällt (wie es vor ein paar Wochen geschehen ist) – oder wesentlich Schlimmeres.

„Wir wollen keine Doomsday-Szenarien kreieren, aber wir müssen uns darauf einstellen, dass die Bedrohungslage steigt und es größere Botnets geben wird, die auch kritische Infrastrukturen betreffen können“, sagt Robin. Die Sicherheitsfirma hat ein eigenes Forschungslab eingerichtet, das in den letzten Monaten insgesamt 4683 Produkte aus der Kategorie „Internet der Dinge“ (IoT) analysiert hat. Dazu zählen neben Profi-Überwachungskameras auch Thermostate, Feuermelder, Netzwerkdrucker oder Steuerungseinheiten für Solaranalagen.

96,8 Prozent Sicherheitslücken

Die Analyse brachte erschreckende Ergebnisse zutage: „Es stellte sich heraus, dass 96,8 Prozent kritische Sicherheitslücken enthalten haben. Bei knapp 40 Prozent der Devices waren das hart codierte Passwörter wie bei der Überwachungskamera“, so Robin. Derartige Schwachstellen können, wie mir im Live-Hack demonstriert wurde, bereits dazu führen, dass die vollständige Kontrolle über all diese Geräte erlangt wird.

Doch warum sind die IoT-Geräte derart schlecht vor Zugriffen von außen geschützt? „Die Hersteller bringen Produkte heutzutage möglichst günstig und rasch auf den Markt und vergessen dabei darauf, Sicherheitskontrollen einzubauen. So kommt es zu Qualitätsmängeln bei der Sicherheit. Aber daneben bemerken wir, dass sich hier auch eine Art Monokultur entwickelt. Bei fast allen Devices sind die Grundbausteine ähnlich, die verwendet werden. Dadurch werden große Mengen von Geräten auf einmal gleichzeitig anfällig“, erklärt Robin.

Sicherheitslabels

Im sogenannten „Smart Home“-Bereich, in dem Produkte auch für Endkonsumenten angeboten werden, gibt es für diese derzeit kaum eine Chance, festzustellen, ob sich ein Hersteller um Sicherheit bemüht hat oder nicht. „Hier würde ein Minimum an Transparenz helfen, zu urteilen. Da gibt es etwa den Vorschlag eines Ratings von A bis F für die Sicherheit von IoT-Geräten, ähnlich wie bei den Energielabels“, so Robin. Dieser hält das für eine gute Idee.

Zusätzlich rät er Herstellern jedoch, vor dem Produkt-Launch zu sogenannten Sicherheitstests von Externen. „Jeder, der im Produkt Management tätig ist, weiß, dass es derartige Prüfkonzepte gibt. Aber derzeit hat jeder, der es besser machen will, keine Chance, seine Produkte deswegen teurer machen zu können“, sagt Robin. „Dabei wäre das eine Qualitätssicherung, die in anderen Branchen längst üblich ist. Kein Mensch würde etwa ein unsicheres Auto kaufen.“

Die SEC Consult warnte bereits vor mehr als einem Jahr, dass Millionen Geräte wie IP-Kameras sind anfällig für Angriffe von Kriminellen sind, weil die Verschlüsselung kompromittiert ist. Das damalige Sicherheitsleck wurde von den Forschern „House of Keys“ genannt. Dabei handelte es sich ebenfalls um ein branchenweites Sicherheitsproblem und eine Art „Generalschlüssel“ für Router und Modems. Hier mussten die Sicherheitsforscher bereits die Erfahrung machen, dass nur wenige Hersteller auf ihre Warnung reagierten.

Roadmap für IoT-Geräte

Robin findet es erschreckend, dass viele Unternehmen achselzuckend in Kauf nehmen, dass ihre Geräte angreifbar sind. „Der Satz, dass es keine 100 prozentige Sicherheit gibt wird nur als Ausrede benutzt, um davon abzulenken, dass man maximal bei 20 oder 30 Prozent Sicherheit steht.

Laut Robin tut sich aber vor allem in den USA bereits etwas, was das Bewusstsein für mehr Sicherheit bei IoT-Geräten betrifft. Am Dienstag hatte sich der Chef der Federal Trade Commission (FTC) geäußert und eine „Roadmap“ für IoT-Sicherheit vorgestellt. Er spricht sich dafür aus, dass Hersteller von IoT-Geräten künftig ihre Produkte mit einem Sicherheitslabel versehen und ausliefern müssen. „Es gibt Bewegungen. Gerade im Consumer-Bereich muss es hier auch noch mehr Regularien geben und gewisse Mindeststandards“, so Robin von SEC-Consult.