Unsichere Überwachungskameras von ALDI - Hilfe zur Selbsthilfe
Ein Beitrag von Dominik Herrmann, Mitglied des Präsidiums und Junior Fellow der Gesellschaft für Informatik.
Am 15. Januar 2016 meldete der Heise-Verlag, dass im Jahr 2015 bei einigen Discountern (u.a. bei ALDI) netzwerkfähige Überwachungskameras (Markenname: „Maginon“) mit schweren Sicherheitsmängeln verkauft wurden. Unbefugte können bei diesen Kameras über das Internet ohne weiteres auf Bild und Ton zugreifen und sensible Passwörter auslesen.
Dieser Beitrag soll einerseits zur Sensibilisierung und Aufklärung beitragen, aber auch zum Nachdenken anregen. Ist es auch in einem solchen Fall gerechtfertigt, dass Hersteller und Händler mit den Schultern zucken und die Verantwortung auf die Kunden abwälzen? Oder ist es schlicht unverantwortlich, ohne technischen Sachverstand eine Überwachungskamera in Betrieb zu nehmen?
Im Folgenden wird erläutert, welche Sicherheitsmängel die Kameras aufweisen, warum sich unsichere Kameras im Internet leicht finden lassen und welche Vorsichtsmaßnahmen sicherheitsbewusste Nutzer jetzt ergreifen können.
Unzureichender Kundenservice
Hunderte Maginon-Kameras sind momentan ungeschützt im Internet erreichbar. Mit geringem Aufwand ist es für jedermann möglich, Einblick in das Privatleben ihrer Besitzer zu bekommen. Wie so oft spielen Hersteller und Händler das Problem herunter. Sie verweisen auf ein Sicherheitsupdate, das schon seit einigen Monaten verfügbar sei.
Aber wie sollen die Kunden davon erfahren? Im Unterschied zur Automobilbranche gibt es bei Sicherheitslücken in Hard- und Software immer noch keine Rückrufaktion. Ein Plakataushang in den Läden wäre das Mindeste.
Login erforderlich, aber kein Passwort
Die betroffenen Maginon-Kameras sind ab Werk unsicher konfiguriert. Die Weboberfläche der Kamera setzt zwar eine Authentifizierung voraus, im Auslieferungszustand ist dieser Mechanismus jedoch völlig wirkungslos: Wie im Handbuch und auf vielen Internetseiten nachzulesen ist, kann man sich einfach mit dem Benutzernamen „admin“ ohne Passwort anmelden.
Unsichere Standardkonfigurationen waren bis vor kurzem auch bei Routern an der Tagesordnung. Deren Hersteller gehen inzwischen allerdings dazu über, jedes Gerät mit einem zufälligen Standard-Passwort auszuliefern, das auf einem Etikett aufgedruckt ist. Teilweise werden die Nutzer bei der Inbetriebnahme auch gezwungen, selbst ein Passwort zu vergeben. Beides gehört inzwischen zur „Best Practice“. Hier könnte die Regulierung ansetzen, um den Vertrieb unsicherer Produkte zu unterbinden.
In der Weboberfläche der Maginon-Kameras gibt es noch einen weiteren Sicherheitsmangel. Die Oberfläche zeigt die in der Kamera hinterlegten Passwörter an. Dadurch gelangen Unbefugte etwa an das WLAN-Passwort oder die Zugangsdaten zu einem E-Mail-Server, den die Kamera zur Alarmierung ihres Nutzers verwendet.
Eine mangelhafte Authentifizierung wäre nicht so schlimm, wenn eine Kamera nur in einem passwortgeschützten WLAN erreichbar wäre. So denken offenbar auch viele Kunden: „Ein Passwort für die Kamera? Das brauche ich nicht, bringt ja auch keine zusätzliche Sicherheit.“
UPnP: Eine Komfortfunktion mit Tücken
Warum sind aber so viele Maginon-Kameras unter öffentlichen IP-Adressen im Internet erreichbar? Schuld daran ist eine wenig bekannte Technik namens „Universal Plug-and-Play“ (UPnP), die in viele Internetrouter integriert ist. UPnP ist eine Komfortfunktion, die dem Nutzer das Einrichten von Portweiterleitungen auf dem Router ersparen soll. Im Auslieferungszustand ist bzw. war sie bei vielen Routern aktiviert (z.B. bei der AVM Fritz!Box). Die meisten Nutzer haben allerdings vermutlich noch nie davon gehört. Es ist daher auch zu diskutieren, inwiefern die Router-Hersteller eine Mitschuld an der Misere trifft.
Mittels UPnP kann jedes Endgerät im Heimnetz den Router anweisen, seine Firewall so umzukonfigurieren, dass das Endgerät aus dem öffentlichen Internet erreichbar ist. Die Maginon-Kameras machen ab Werk von dieser Möglichkeit Gebrauch, allerdings ohne den Nutzer darauf hinzuweisen oder über die Folgen aufzuklären. Sie sind nach dem Einschalten sofort auf Port 80 (teilweise 81 oder 82) unter der IP-Adresse erreichbar, die der Internetanbieter dem Anschluss zugewiesen hat.
Unsichere Kameras leicht zu finden
Wie viele unsichere Maginon-Kameras verkauft worden sind, ist nicht bekannt. Es müssen Tausende sein. Sie lassen sich leicht mit der Suchmaschine Shodan anhand ihres charakteristischen Webservers („mcdhttpd“) finden. Der geeignete Shodan-Suchbegriff ist keineswegs Geheimwissen; jeder Besitzer einer Maginon-Kamera kann ihn in Erfahrung bringen, indem er sich die HTTP-Header mit einem Browser-Add-On anzeigen lässt.
Natürlich sind auch Produkte anderer Hersteller betroffen. Einige Kameras stellen ihr Videobild direkt über RTSP (Port 554) zur Verfügung. Bei diesen Modellen zeigt Shodan in den Suchergebnissen ein Vorschaubild an. Bei den Maginon-Kameras gelingt dies (noch) nicht, da ein Login-Formular vorgeschaltet ist. Manche Kameras lassen sich auch mit Google finden, wie Ars Technica schon 2011 berichtete. Mit InSeCam gibt es inzwischen sogar ein Verzeichnis, in dem die unsicheren Kameras nicht nur nach Ländern getrennt aufgelistet werden, sondern auch gleich verschlagwortet sind.
Woher erfährt Shodan, unter welchen IP-Adressen mcdhttpd-Webserver erreichbar sind? Die Suchmaschine verbindet sich dazu kontinuierlich mit allen existierenden IP-Adressen und speichert die erhaltenen Antworten. In Deutschland enthält die Ergebnisliste für diesen Webserver über 10.000 Treffer, unter denen auch viele ungesicherte Kameras sind.
Viele Treffer sind zum Zeitpunkt der Suche nicht (mehr) aktuell, da sich die IP-Adresse des Internetzugangs seit der Aufnahme in die Shodan-Datenbank geändert hat. Manche Internetanbieter (z.B. Anbieter von TV-Kabel-Anschlüssen) vergeben allerdings sehr langlebige IP-Adressen. Nach kurzem Stöbern blickt man durch zahlreiche ungeschützte Kameralinsen. Die Auswahl reicht von schlafenden Babys und verschlafenen Bewohnern beim Frühstücken über Haustüren und Vorgärten bis hin zu Garagen, Heizungsanlagen und einem Pferdestall – dank integrierter Infrarot-Beleuchtung auch bei Nacht interessant. Auch die Abläufe in Friseursalons und diversen Einzelhandelsgeschäften lassen sich überwachen. Neugierige müssen die von Shodan generierte Liste nicht einmal von Hand durchprobieren. Diese Arbeit lässt sich mit einem Skript automatisieren.
Die Besitzer der Kameras bekommen von ihren ungebetenen Zuschauern nichts mit. Ein Zugriffsprotokoll gibt es auf den Kameras nicht. Dass es bei vielen Kameras unbefugte Zuschauer gibt, lässt sich leicht daran erkennen, dass der Beschreibungstext um „hacked“, „lol no passwd“ oder „PWNED“ ergänzt wurde, um sich zu verewigen.
Eingriffe sind problematisch
Ob man die Besitzer der Kameras durch invasivere Maßnahmen, auf das Problem aufmerksam machen soll, ist umstritten. Es wäre etwa denkbar, Aufmerksamkeit zu erregen, indem man die Kamera wild hin- und herschwenkt, wenn ein Mensch im Raum ist. Ebenso fragwürdig ist die Idee, das leere Passwort durch ein zufälliges zu ersetzen, um weitere Überwachungsversuche durch Fremde zu verhindern. Schließlich würde man dadurch auch den Besitzer aussperren. Setzt er die Kamera zur Fehlerbehebung dann wieder auf die unsicheren Werkseinstellungen zurück, ist am Ende nichts gewonnen.
Selbstverteidigung
Die Erkenntnis aus dem Maginon-Sicherheitsdebakel: Machen Sie bei der Sicherheit keine Annahmen über andere! Solange es keine Möglichkeit gibt, den Vertrieb unsicherer Produkte zu verhindern, müssen sich Nutzer von vernetzten Endgeräten selbst um ihre Sicherheit kümmern. Orientieren Sie sich dazu an den folgenden drei Empfehlungen:
- Setzen Sie bei allen Geräten, also auch bei Geräten, die scheinbar „nur“ im lokalen Netz erreichbar sind, ein Passwort.
- Deaktivieren Sie die UPnP-Funktion in Ihrem Router, wenn Sie sich nicht sicher sind, dass im lokalen Netz nur sicher implementierte Software bzw. Endgeräte betrieben werden.
- Prüfen Sie gelegentlich, ob unter Ihrer IP-Adresse offene Ports existieren. Dazu können Sie zum Beispiel den Netzwerkcheck des Heise-Verlags verwenden (https://www.heise.de/security/dienste/portscan/test/go.shtml)
Ausblick: Externalisierung von Kosten eindämmen
In den nächsten Jahren werden zahlreiche neue vernetzte Geräte auf den Markt kommen (Stichwort „Internet of Things“). Wir müssen schon jetzt darüber nachdenken, wie Regulierung und Recht darauf reagieren sollen. Wenn wir nicht wollen, dass Hersteller auch in Zukunft die Kosten externalisieren, die durch mangelnde Sicherheit ihrer Produkte verursacht werden, dann müssen wir Wege finden, sie dafür haftbar zu machen.
Über den Autor: Dominik Herrmann ist Mitglied des Präsidiums und Junior Fellow der Gesellschaft für Informatik. Er hat an der Universität Hamburg über datenschutzfreundliche Techniken promoviert und vertritt derzeit eine Professur für IT-Sicherheitsmanagement an der Universität Siegen.