SHODAN – Der Ausfall kritischer Infrastrukturen leicht gemacht

Diverse Medien berichten über die gestiegene Anzahl von Hackerangriffen auf kritische Infrastrukturen mit der Schlagzeile: „Mehr Hacker-Angriffe auf kritische Infrastruktur beim BSI gemeldet“. Die Meldung als solches kommt nicht unerwartet, wurde doch bereits 2013 auf CNN über die Suchmaschine SHODAN berichtet. SHODAN ermöglicht es dem Anwender bestimmte Systeme, die mit dem Internet verbunden sind, zu ermitteln. Dabei ist es unerheblich, ob es sich um einen Webserver, eine Telefonanlage oder einen SSH Zugang handelt.

Allein in Stuttgart werden fast 400 Systeme gefunden, die mit geöffnetem Port 5060 (SIP) im Internet verfügbar sind. Je nach Konfiguration der dahinter liegenden Telefonanlage lässt sich hier hoher wirtschaftlicher Schaden durch beispielsweise Anrufe an teure Hotlines im Ausland verursachen. 

Inwiefern die Systeme gegen mögliche Exploits abgesichert sind, geht aus der ersten, schnellen Suche nicht hervor. Allerdings lassen sich über entsprechende Filter, Engineering und Zusatztools auch hier die gewünschten Informationen ermitteln. 

Überraschende Ergebnisse liefert die Suche nach Industrieanlagen (beispielsweise Windkraftwerke). Der Zugriff auf die entsprechenden Portale ist nicht nur unverschlüsselt möglich, auch kann der Aufruf ohne VPN erfolgen.

Bei ein wenig Stöbern in der Datenbank findet sich auch ein System, welches unter anderem über Port 102 (Siemens S7), 5060 und 443 erreichbar ist. Der Zugriff auf den Webserver liefert weitere Informationen: Zugrunde liegt ein SBS2011, der Exchange 2010 inklusive OWA bereitstellt. Und SHODAN liefert mögliche Schwachstellen des Systems. 

Ein Ausfall wäre bei geöffneten Schwachstellen mit einfachen Mitteln und ohne großes Know-How zu provozieren. Erschreckend sind weitere Suchen: Teilweise stehen Server von Bundesbehörden unverschlüsselt im Netz und sind mit Software bestückt, die über eine hohe Anzahl Schwachstellen verfügt (CVE-2010-4221, 4652, 3867, etc.). Zusätzlich wird der SSH-Schlüssel ausgegeben und ein paar Informationen zum installierten FTP Server (inklusive wenigstens eines Benutzernamens) werden bereitgestellt.

Bei Betrachtung diverser Vorfälle der Vergangenheit: (Januar 2019 – Hack und Veröffentlichung privater Daten deutscher Politiker, Februar 2018 – externer Zugriff auf das Netz der Bundesregierung, Ende 2016 – Yahoo), der stetig wachsenden Anzahl mit dem Internet verbundener Geräte (Fernseher, Heizungen, etc.) und der vorhandenen Möglichkeiten, mit frei zugänglichen Tools (SHODAN, Kali Linux, Search Diggity, etc.) Informationen zu ermitteln und Schaden zu verursachen, muss sich das Verständnis für die Notwendigkeit von IT-Security weiterentwickeln. Dabei spielt es keine Rolle, wie groß das Unternehmen oder die Behörde ist.

Das Schadenspotential ist immens hoch: Manipulation von Schweißrobotern in der Automobilindustrie, Manipulation der Temperatur in einem Klärwerk oder die Abschaltung von Energiegewinnungsanlagen.

Ein umfassendes IT-Security Konzept ist ebenso unerlässlich, wie die Auswahl der richtigen Schutzlösungen und die fachgerechte Implementierung und Administration.

Verfasser: Marco Schmidt

Steht Ihr IT-Security Konzept? Sind Ihre Systeme ebenfalls öffentlich steuerbar? Haben Sie den richtigen Partner für IT-Security? Wir beraten Sie gerne.