Foto: Haschek.at

Private Webcams, Kläranlagensteuerung: Scan zeigt Österreichs tausende Sicherheitslücken

8. Februar 2019, 11:28

IT-Experte durchsuchte sämtliche österreichische IPs nach ungesicherten Systemen und Geräten

Es ist ein spannendes Experiment, das der IT-Fachmann Christian Haschek in den letzten Wochen durchgeführt hat. Er habe, so formuliert er es, ganz Österreich auf Sicherheitslücken gescannt. Konkret: jede der rund 11,2 Millionen IP-Adressen, die der Alpenrepublik zugewiesen sind. Das Ergebnis ist spannend und zeigt auch einige Sicherheitsprobleme auf. Denn neben einfachen Webseiten entdeckte er auch Industriesteuerungen, Überwachungskameras und längst veraltete Server, die mit wenigen Klicks zugänglich sind. In einigen Häusern könne jedermann das Licht ein- oder ausschalten oder Musik abspielen, da deren Smart-Home-Steuerung über das Netz zugänglich seit, sagt Haschek zum STANDARD.

Im ersten Durchgang wollte er wissen, wie viele ungepatchte und direkt angreifbare Windows-Systeme darunter zu finden seien. 1.273 Systeme waren es, aber zumindest war keines davon für "Eternalblue" anfällig. Dabei handelt es sich um eine Schwachstelle, die 2017 bekannt geworden war und von der NSA zuvor über fünf Jahre lang für Spionage ausgenutzt wurde.

Das Overlay der Überwachungskamera wurde von einem Unbekannten mit dem Orwell'schen Schriftzug "1984" versehen.
foto: haschek.at

Über 2.000 IPs anfällig für DDoS-Attacken

Entdecken konnte er auch über 8.700 öffentlich erreichbare DNS-Server. Ein Viertel davon sind "Open Resolver" und Antworten auch Anfragen von IP-Adressen, die sich gar nicht in ihrer Domain befinden.

Das lässt sich für Angriffe missbrauchen. Denn für eine Anfrage muss eine Datenmenge von 40 Bytes verschickt werden, für die Antwort jedoch das Hundertfache. Das ermöglicht es, schon mit geringer Upload-Bandbreite ganze Firmennetzwerke per DDoS-Attacke lahmzulegen, indem man den DNS-Server mit Anfragen flutet.

Einige Uralt-Server noch im Einsatz

Aufgetaucht sind auch über 17.000 Webserver, die sich von außen ansprechen ließen und Inhalte zurückliefern. Dabei handelte es sich oftmals um normale Webseiten, teilweise allerdings auf uralten Systemen laufend. So gibt es etwa noch Seiten, die mit der Version 1.3.12 des Apache-Webservers laufen, die im Jahr 2012 veröffentlicht wurde.

Vier Server liefen gar noch auf Basis von Windows CE. Die 1996 veröffentlichte Plattform hat zuletzt im Jahr 2003 Patches erhalten. Der Log-in-Screen nennt den Internet Explorer 5.5, Netscape 7.1 und Mozilla 1.4, also die erste Generation des heutigen Firefox als ideale Browser.

foto: haschek.at

Kameras und Kläranlagen

Auch allerlei ungeschützte Geräte konnten gefunden werden. Darunter neun Drucker des Herstellers HP, die sich aus der Ferne bedienen ließen, und diverse private Webcams, die etwa auf Hauseinfahrten oder Tankstellenzapfsäulen gerichtet waren. Auch konnte Haschek Zugriff auf Smart-Home-Systeme erlangen und hätte diese fernsteuern können.

Beachtliches Gefahrenpotenzial bergen zudem offene Industriesteuerungsanlagen. Dokumentiert hat Haschek etwa das Kontrollsystem einer Kläranlage, das sich ebenfalls ohne weiteres über seine IP-Adresse erreichen ließ.

Die problematischsten Funde hat Haschek eigenen Angaben zufolge den Inhabern der jeweiligen Server gemeldet, sofern sich diese herausfinden ließen. In allen anderen Fällen wurde ein Bericht an das österreichische Cert übermittelt.

Cert sieht "leider nichts neues"

Dort zeigt man sich über die Resultate der IP-Scans wenig überrascht. Das Ergebnis zeige "leider nichts neues". Insbesondere in Sachen Smart Home sieht man einen Trend hin, zu immer mehr Geräten und folglich auch immer mehr Fällen, in denen diese in Betrieb genommen und dann nie mehr gewartet werden. Positiv merkt man an, dass aber auch immer häufiger Problem nach Bekanntwerden ordentlich behoben werden. Diese "Clean-up-Rate" steige jedoch "trotzdem zu langsam".

Privatnutzern empfiehlt man, bei der Anschaffung von Smart Home-Geräten darauf zu achten, dass diese über eine automatische Updatefunktion verfügen. Zudem solle man die vernetzten Produkte – sofern möglich – nicht direkt aus dem Heimnetzwerk mit dem Internet verbinden. (Georg Pichler, Markus Sulzbacher, 08.02.2019)

Update, 18:10 Uhr: Stellungnahme des österreichischen Cert ergänzt.