Tausende private und gewerbliche Webcams entdeckt, auf die jeder zugreifen kann.
Sicherheitsforscher haben jüngst herausgefunden, dass auf rund 15.000 private Webcams weltweit praktisch jeder zugreifen kann, der über eine Internetverbindung verfügt.
Webcams diverser Hersteller betroffen
White-Hat-Hacker Avishai Efrat, der für Wizcase arbeitet, hat die gefährdeten Geräte identifiziert. Sie stammen von unterschiedlichen Anbietern, darunter AXIS Net Cameras, Cisco Linksys Webcam; IP Camera Logo Server, IP WebCam, IQ Invision Web Camera; Mega-Pixel IP Camera, Mobotix, WebCamXP 5 und Yawcam. Nach derzeitigem Kenntnisstand handelt es sich um Kameras, die sowohl von Privatanwendern genutzt werden als auch im Firmenumfeld. Betroffen sind Nutzer in Europa, Amerika und Asien.
„Schmeißen Sie ihre Webcam in den Müll“
Der angesehene Sicherheitsexperte Sam Curry, Chief Security Officer der Firma Cybereason, nimmt den aktuellen Fall für einen Rundumschlag gegen diese Geräte und deren Hersteller zum Anlass: "Ich habe einen praktischen Rat an alle privaten und gewerblichen Nutzer, die davon ausgehen, dass sie Webcams mit integrierten Sicherheitsfunktionen gekauft haben: Schmeißen Sie das Zeug besser in den Müll.“
>>>Nachlesen: So einfach kann man WLAN-Nutzer ausspionieren
Sogar Menschenleben in Gefahr
Mit diesem drastischen Appell möchte er auch auf die allgemeinen Sicherheitsmängel bei vernetzten Geräten hinweisen. Von denen hätten wir mehr im Einsatz als je zuvor. Sie fallen in die Kategorie des „Internet der Dinge“ (Internet of Things / IoT). Laut Curry müsse sich die Menschheit mit der Tatsache auseinandersetzen, dass, wenn IoT-Sicherheit nicht sehr schnell sehr ernst genommen werde, auch Menschenleben in Gefahr seien. „Wenn es uns nicht gelingt, IoT-Schwachstellen in den Griff zu bekommen, dann werden wir uns mit DDoS-Angriffen gegen kritische Dienste auseinandersetzen müssen. Bespitzelungen und Spionage über kompromittierte Geräte werden an der Tagesordnung sein, und Hacker haben eine enorme Bandbreite an Hilfsmitteln zur Verfügung mit der sie nach Gutdünken operieren können.“
Gegenmaßnahmen
Curry nennt auch vier Grundlegende Dinge, mit der laut seiner Meinung die IoT-Sicherheit gewährleistet werden könnte:
-
Jedes einzelne Gerät, das in den Handel geht, sollte über eine eigene Identität verfügen. Maschinen sollten eindeutig identifizierbar und über dauerhafte Identitäten nachvollziehbar sein.
-
Kein Standard, keine vollständige Wirksamkeit von Identitätskontexten mit oder ohne schwache Passwörter. Sämtliche Geräte sollten ausschließlich mit Identitätskontext betrieben werden oder sie sollten an bekannte, nachprüfbare Identitäten gebunden sein.
-
Es sollten Hardware-basierte ‘Roots of Trust’ zum Einsatz kommen wie sie in starken kryptographischen Funktionen verwendet werden – vor allem innerhalb einer vertrauenswürdigen Ausführungsumgebung. Dazu kommen weitere wichtige Funktionen, die über den gesamten Lebenszyklus der Geräte hinweg überprüft werden sollten, einschließlich der Integrität und der Lizenzen von Fremdsoftware. Schlussendlich kommt noch die sichere Bereitstellung dazu und der Schutz der IP hinsichtlich der zugrunde liegenden Code-Basis.
- Unverzichtbar sind umfassende Update-Möglichkeiten, angefangen bei der Firmware. Im Idealfall kommen grundlegende Kontrollen dazu, die beispielsweise den Einsatz bestimmter Protokolle limitieren. Denn wer braucht schon Ping-Flooding über Kameras.... "
>>>Nachlesen: In Österreich sind 148 Webcams betroffen
