Unsichere IP-Kameras sind weiteres Beispiel für IoT-Geräte, deren Hersteller die Grundzüge der IT-Sicherheit vernachlässigen und so Nutzer und Netzwerke gefährden.
Der Sicherheitsanbieter F-Secure hat 18 zum Teil kritische Sicherheitslücken in IP-Kameras des Herstellers Foscam gefunden. Angreifer können aufgrund der Schwachstellen die Kontrolle über die Kameras übernehmen, auf den Video-Feed zugreifen und Daten auf den integrierten Web-Server hoch- oder von diesem herunterladen. Zusätzlich lässt sich eine verwundbare IP-Kamera für DDoS-Attacken auf andere Geräte oder als Ausgangspunkt für weitere Attacken nutzen.
»Die gefundenen Schwachstellen erlauben Angreifern so ziemlich jede Aktion«, sagt der Entdecker der Sicherheitslücken, Harry Sintonen, Senior Security Consultant bei F-Secure. »Schlimmer geht es nicht. Ein Angreifer kann eine Schwachstelle nach der anderen ausnutzen oder verschiedene Lücken kombinieren um sich weitreichende Rechte im Netzwerk und auf dem Gerät zu verschaffen.«
Der chinesische Anbieter Foscam vertreibt weltweit IP-Kameras unter dem eigenen Namen, bietet die Hardware aber auch anderen Herstellern an. Sintonen hat die Schwachstellen in den zwei Modellen Opticam i5 HD und Foscam C2 gefunden, letztere wird auch in Deutschland angeboten. Laut Sintonen liegt es nahe, dass andere Foscam-Produkte ebenfalls anfällig sind.
Insgesamt wurden 18 Schwachstellen in den untersuchten Kameras gefunden, sie bieten Angreifern mehre Zugriffsmöglichkeiten. So erlauben etwa unsichere, fest hinterlegte Zugangsdaten einen einfachen administrativen Zugriff. Die Software auf den Geräten erlaubt den Zugriff auf kritische Daten und Verzeichnisse ohne Überprüfung der Nutzerberechtigungen. Dadurch können Angreifer Kommandos einspeisen, Passwörter per Brute-Force-Angriff knacken oder Attacken wie Cross-Site-Scripting und Buffer Overflow durchführen. Können sie sich einen Root-Zugriff verschaffen, haben sie die volle Kontrolle über das Gerät und können es als Ausganspunkt für Attacken auf andere Netzwerkkomponenten nutzen.
»Die Sicherheit wurde bei diesen Produkten komplett ignoriert«, so Sintonen. »Augenscheinlich ging es dem Hersteller nur darum, das Gerät schnell fertigzustellen und auf den Markt zu werfen. Gängige Sicherheitspraktiken wurden links liegen gelassen, das gefährdet Nutzer und Netzwerke. Ironischerweise sollen diese Kameras mehr Sicherheit zu Hause bieten –während sie gleichzeitig das virtuelle Heim unsicherer machen.«
Sintonen empfiehlt, die Geräte in einem separaten Netzwerksegment zu betreiben um die Auswirkungen bei einem erfolgreichen Angriff so gering wie möglich zu halten. »Das voreingestellte Passwort sollte ebenfalls gewechselt werden,« so Sintonen. »Leider ist es in diesem Fall fest im System hinterlegt und gewährt Angreifern selbst dann Zugriff, wenn der Administrator ein neues Kennwort vergeben hat.«
Die IP-Kameras von Foscam sind die aktuellsten Beispiele dafür, wie nachlässig manche Hersteller von IoT-Geräten mit dem Thema Sicherheit umgehen. Smarte Autos, Überwachungskameras, digitale Videorekorder, vernetzte Wasserkocher und Router gehören zu den Produkten, in denen zuletzt weitreichende Schwachstellen gefunden wurden. Besondere Aufmerksamkeit erhielten diese Sicherheitslücken im Oktober 2016, als das Mirai-Botnet unsichere Kameras und Videorekorder für Denial-of-Service-Attacke mit bislang ungekanntem Ausmaß nutze. Der Angriff legte zahlreiche Internet-Dienste lahm.
Foscam wurde bereits vor mehreren Monaten über die gefundenen Lücken informiert, bis heute wurde kein Update ausgerollt.
Weitere Informationen zu den einzelnen Schwachstellen sowie Tipps zur Absicherung der Geräte finden Sie zusammen mit dem kompletten Report in unserem Blogeintrag (Englisch). https://safeandsavvyde.files.wordpress.com/2017/06/vulnerabilities-in-foscam-ip-cameras_report.pdf
Verwundbare Netzwerkkameras demonstrieren die Gefahren des Internet of Things
IP-fähige Kameras, vor einigen Jahren noch eine Neuheit, sind inzwischen überall. Die Preise fallen stetig, sowohl Unternehmen wie auch Privatpersonen überlegen die Anschaffung dieser Produkte. Warum auch nicht, sie schrecken Diebe ab und können im Einbruchsfall wichtige Hinweise zur Aufklärung liefern. Das sorgt dafür, dass netzwerkfähige Kameras zu den meistgenutzten Geräten im Internet of Things gehören (oder, wie unser Chief Research Officer Mikko Hypönnen sagt: dem Internet of Insecure Things). Die Popularität erstreckt sich aber nicht auf die Sicherheitsfunktionen.
Die Idee, dass sich Hacker erfolgreich eine IP-Kamera übernehmen können ist dabei längst kein theoretisches Gedankenspiel mehr. Das zeigt der neue F-Secure-Report »Vulnerabilities in Foscam IP Cameras«. Unser Experte Harry Sintonen fand insgesamt 18 Schwachstellen in Kameras des Herstellers Foscam. Diese sind dabei so kritisch, dass Angreifer Zugriff auf alle Gerätefunktionen erhalten und die Kamera selbst in eine Angriffsplattform umwandeln können. Entdeckt wurden die Schwachstellen in den Produkten Opticam i5 und Foscam C2 (die auch in Deutschland vertrieben wird).
»Ein Angreifer kann den Video-Feed einsehen, die Kamera kontrollieren und Daten auf den internen FTP-Server hinauf und von dort herunterladen«, so der Bericht. Zudem ist es möglich, bösartige Programme auf der Kamera zu installieren und von dort aus weitere Komponenten im Netzwerk anzugreifen.
Foscam wurde frühzeitig über die gefundenen Schwachstellen informiert. Nachdem über Monate keine Reaktion erfolgte, hat sich F-Secure dazu entschlossen, die Sicherheitslücken öffentlich zu machen. Das ist nicht das erste Mal, dass in Produkten von Foscam Sicherheitslücken stecken. 2016 etwa konnte sich ein Hacker Zugriff auf Baby-Kameras des Herstellers verschaffen und das schlafende Kind wachbrüllen.
Janne Kauhannen, F-Secure Cyber Security Services, rät allen Käufern von smarten Geräten eindringlich dazu, das voreingestellte Passwort zu ändern. Doch selbst diese Maßnahme läuft bei den Foscam-Geräten ins Leere: Sie besitzen fest in den Code eingebettete Zugangsdaten, die sich vom Nutzer nicht ändern lassen. Ein Angreifer kann mit diesen Informationen auf die Geräte selbst dann zugreifen, wenn der Anwender ein vermeintlich sicheres Kennwort gesetzt hat.
Und das ist nur die Spitze des Eisbergs. Harry Sintonen, F-Secure Cyber Security Services und Entdecker der Schwachstellen, beschreibt sie als »so schlimm wie nur möglich«. Die schiere Anzahl an kritischen Schwachstellen bietet Angreifern zahlreiche verschiedene Einbruchsmöglichkeiten und Wege, die Kamera zu übernehmen.
Wenn Sie eine dieser Kameras besitzen, sollten Sie sicherstellen, dass sie nicht mit dem öffentlichen Internet kommunizieren kann. Eine Firewall kann eine Infektion signifikant reduzieren. Ein smarter Router wie beispielsweise F-Secure SENSE kann dank dem Einsatz von künstlicher Intelligenz zur Überwachung des Datenverkehrs ebenfalls erkennen, ob Kameras oder Babyphones missbraucht werden.
Kameras sind ein gutes Beispiel, wie nachlässige Hersteller unsere Sicherheit gefährden. Wir bieten diesen Geräten einen einmaligen, oft intimen Einblick in unser Leben. Doch wo versprochen wird, dass uns die Geräte mehr Sicherheit verschaffen, öffnen sie oft unser digitales Leben für Kriminelle. Dazu kommt, dass sie sich als Angriffsplattform für weitere Attacken missbrauchen lassen. Eindrucksvoll bewiesen das die DDoS-Angriffe des Mirai-Botnets. Dieses nutze im Herbst 2016 IP-Kameras, Router und digitale Videorekorder, um das Internet großflächig lahmzulegen.
»Das Problem ist größer als IP-Kameras, größer als dieser Hersteller«, sagt Janne. »Smarte Geräte sind oft verwundbar. Ich denke, das liegt daran, dass Anbieter die Sicherheit nicht als Verkaufsargument sehen. Und Endkunden scheinen auch nicht darauf zu bestehen.«
Möglicherweise ändert die Vorstellung von zehntausenden verwundbaren IP-Kameras etwas an dieser Einstellung.
Den ausführlichen Report können Sie hier runterladen: Sicherheitslücken in Foscam IP Kameras
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
IoT: Internet-gestützte Endgeräte werden trotz Sicherheitsbedenken immer beliebter
Sicherheit 2017: IoT-getriebene DDoS-Angriffe und SCADA-Vorfälle werden 2017 für Schlagzeilen sorgen
IoT-Sicherheit: Vier Lehren aus dem massiven DDoS-Angriff auf DynDNS
IoT-Umfrage: Wearables zählen zu den größten Sicherheitsbedrohungen
Hemmen Befürchtungen in Bezug auf Geräteeinschränkungen die IoT-Sicherheit?