c't deckt auf: Dateien, IoT und Industrieanlagen ungeschützt im Netz

Angriffe auf die IT-Umgebungen von Unter­nehmen sind mitunter unglaublich einfach. Wir haben das Internet systematisch nach ungesicherten Servern durchsucht.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 192 Beiträge

(Bild: Pexels via Pixabay)

Von
  • Jan Mahn
  • Merlin Schumacher

Die IT-Umgebungen von Unternehmen anzugreifen, ist manches Mal unfassbar einfach. Häufig kann man Daten abgreifen oder Industriesteuerungen übernehmen, ohne überhaupt Sicherheitsmechanismen umgehen zu müssen. Die c't-Redaktion hat deshalb den Portscanner angeworfen und das gesamte Internet abgesucht. Dabei ist sie auf jede Menge ungeschützte Freigaben gestoßen, sie entdeckte ungesicherte Industrieanlagen und unverschlüsselte Pager-Netze ebenso wie viel zu gesprächige Wordpress-Installationen.

Paradiesische Zustände müssen das gewesen sein, als die Vorläufer des Internets erfunden wurden: Das gesamte Netzwerk bestand aus einer Handvoll freundlich gesinnter Nutzer aus Forschungseinrichtungen und wer einen Dienst anbot, konnte mit Dankbarkeit und gutgemeinten Ratschlägen rechnen. Dass das im heutigen Internet anders aussieht, hat sich mittlerweile herumgesprochen – sollte man zumindest annehmen. Im Internet tummeln sich längst nicht nur freundliche Zeitgenossen und schon als gewöhnlicher Nutzer muss man ständig auf der Hut sein.

Ungleich aufmerksamer muss man sich aber verhalten, wenn man selbst einen Dienst im Internet veröffentlichen möchte. Immer dann, wenn Sie die Konfigurationsoberfläche des eigenen Routers öffnet und eine Portweiterleitung einrichtet, sollten Sie sich bewusst machen, welche Verantwortung damit verbunden ist. Ein handelsüblicher Router, der nebenbei als Firewall arbeitet, lehnt alle Anfragen von außen grundsätzlich ab und schützt die Geräte im Netz vor Anfragen aus dem Internet.

Mit einer Portweiterleitung bohrt man gezielt ein Loch in diese Firewall und legt fest, welcher Port zu welchem Gerät im privaten Netz weitergeleitet werden soll. Das kann ein Webserver sein, die Steuerung des Smart-Homes oder ein Mailserver. Wichtig ist jetzt: Der veröffentlichte Dienst muss unbedingt mit einer Anmeldung versehen, verschlüsselt und die verwendete Software stets aktuell sein. Vor allem aber sollten Sie die Finger von Portweiterleitungen lassen, wenn Sie sich unsicher sind.

c't spürt weltweit Datenlecks auf

Wer unbedacht Ports aufreißt, der riskiert, dass ihm Daten gestohlen werden oder andere im privaten Netz umherspazieren und dort Schaden anrichten. Doch leider sind solche Fehlkonfigurationen keine Seltenheit. Immer wieder bekamen wir in der Vergangenheit Hinweise auf einzelne Fälle, die Hinweisgeber zufällig entdeckt haben. Besonders prominente Fälle waren eine Arztpraxis und die Autovermietung Buchbinder, beiden wurden ungeschützte Dateifreigaben zum Verhängnis. Doch sind solche Probleme Einzelfälle oder eher die Regel? Um das herauszufinden, haben wir das Internet systematisch unter die Lupe genommen. In diesem und den folgenden Artikeln stellen wir eine Auswahl unserer Erkenntnisse vor. Die Fälle stehen exemplarisch für viele weitere Funde – gleichzeitig geben wir Ratschläge, wie Sie als Administrator solche Fehler vermeiden können.

In diesem Beitrag beschreiben wir, wie wir vorgegangen sind, und zeigen beispielhaft am Protokoll SMB, welche Folgen eine Fehlkonfiguration haben kann. Außerdem haben wir uns gezielt mit Industriesteuerungen und dem IoT-Protokoll MQTT auseinandergesetzt – in Industrieanlagen können offene Systeme in kurzer Zeit besonders viel Schaden anrichten. Quasi nebenbei stießen wir bei unseren Recherchen auf weitere Konfigurationsfehler – wie unachtsame Admins Feuerwehr- und Rettungsdienstnachrichten im Internet veröffentlichten.

Unschöne Probleme kann man sich auch als Betreiber von Newsletter-Formularen eintreten. WIr zeigen auf, wie Unachtsamkeiten bei Kontaktformularen und Newsletter-Anmeldungen Spammern und Phishern zum Erfolg verhelfen. Allzu kommunikativ sind auch falsch konfigurierte Wordpress-Umgebungen. Doch nicht nur im Internet wird gern unverschlüsselt und ungeschützt kommuniziert. Auch im Funkspektrum findet man mit einem günstigen Empfänger mehr offene Datenübertragung, als die DSGVO erlaubt.

Viele unfreiwillige Dienstanbieter sitzen einem gewaltigen Irrtum auf, der auch immer wieder in Foren und Blogs als gut gemeinter Ratschlag zu lesen ist: Solange man keine Domain einrichte, die per DNS auf die Adresse auflöst, sei eine IP-Adresse in den Weiten des Internets quasi geheim. Es gebe schließlich über 4 Milliarden Adressen, daher sei es unmöglich, einen veröffentlichten Dienst unter einer beliebigen Adresse zu erraten.

Diese Erzählungen gehören definitiv ins Reich der Mythen. Schon die vermeintlichen 4,2 Milliarden IP-Adressen existieren nur in der Theorie. Abziehen lassen sich zunächst alle Broadcast-Adressen sowie sämtliche reservierten Adressbereiche, zusammen rund 600 Millionen. Die verbliebenen rund 3,6 Milliarden IPv4-Adressen reichen keinesfalls aus, damit ein Dienst anonym bleiben kann.

Wer offene Ports im Internet finden will, muss nur systematisch danach suchen. Ein bewährtes Werkzeug unter Sicherheitsforschern ist die Suchmaschine shodan.io. Deren Betreiber haben Server mit Portscannern eingerichtet – ein solcher Portscanner probiert nacheinander die Ports an einer Adresse durch und protokolliert, auf welchen Ports er eine Antwort bekommen hat. Für die Suche im gesamten Internet muss das 3,6 Milliarden mal wiederholt werden.

Shodan geht dann noch einen Schritt weiter und stellt für zahlreiche Protokolle eine Verbindung her und speichert die Antworten in seiner Datenbank. Über eine Weboberfläche lassen sich gezielt nach Protokollen oder Antworten suchen. Einen ähnlichen Dienst gibt es bei censys.io. Ganz einfache Suchen sind kostenlos, kommerzielle Nutzung und Filter kosten Geld.

Für unseren Sicherheitsreport wollten wir uns aber nicht auf gefilterte und aufbereitete Datensätze von anderen verlassen. Solche Suchmaschinen bringen die Funde in eine eigene Reihenfolge und finden einige Adressen gar nicht. Stattdessen entschieden wir uns, selbst ein System zum systematischen Scannen des gesamten IPv4-Internets vorzubereiten. Dafür mussten wir das Rad nicht neu erfinden. Grundlage für unseren automatischen Scanner ist das Open-Source-Kommandozeilenwerkzeug ZMap. Das scannt das gesamte Internet und schreibt alle IP-Adressen mit einem offenen Port in eine Datei.

Bemerkenswert ist die Geschwindigkeit, die ZMap an den Tag legt: Ein Scan für einen Port über alle Adressen dauert nach Angaben der Entwickler nur 5 Minuten, wenn dafür eine 10-GBit/s-Leitung genutzt würde. Wir entschieden uns, die Scans auf angemieteter Hardware bei einem Hoster zu starten, und drosselten ZMap auf unter 25 MBit/s. So mussten wir teilweise einige Tage auf einen kompletten Scan des Internets warten.

c't magazin 23/2020

Dieser Artikel stammt aus c't 23/2020. Darin hat die Redaktion weltweit Datenlecks aufgespürt, sie stellt Apps & Gadgets gegen den Corona-Blues vor und hat aktuelle Android-Launcher getestet. Außerdem stieß die Redaktion auf einen fatalen Bug in neuen Geräten mit dem HDMI-Port Version 2.1. c't 23/2020 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

Den ersten Scan starteten wir auf SMB-Port 445. Windows-Nutzer kennen das Protokoll von den Windows-Dateifreigaben, aber auch Linux-Maschinen und NAS können SMB anbieten. Die Liste der Ergebnisse war lang. Bei etwa 63.000 IPs meldete sich ein SMB-Dienst. Auf diese Liste ließen wir ein Skript los, das einen SMB-Verbindungsaufbau ohne Zugangsdaten probierte.

Die meisten Server brachen die Verbindung ab oder verlangten ein Login. Etwa 1500 Server antworteten bereitwillig auf unsere Anfragen und listeten die verfügbaren Freigaben. Einige Server boten sogar noch SMB 1 an, für das seit Jahren Exploits bekannt sind. Uns interessierten – schon um jeden rechtlichen Ärger zu vermeiden – aber nur die Freigaben, die ohne jede Anmeldung les- und/oder beschreibbar waren. Davon gab es viele: So fanden wir die gesamte Buchhaltung zweier südamerikanischer Baufirmen und eines mittelamerikanischen Urlaubsclubs, Verträge, Rechnungen und Beschlüsse einer asiatischen Regionalverwaltung und viele NAS-Geräte.

Über 63.000 SMB-Server fanden wir weltweit im Internet. Auf viele konnte man ohne Zugangsdaten zugreifen.

Bei den NAS handelt es sich um ein systematisches Problem, nicht immer hat der Nutzer die Portweiterleitung per Hand im Router aktiviert. Viele Router gestatten es Geräten im Netzwerk, per UPnP eine solche Weiterleitung selbst einzurichten. Öffnet das NAS Port 445 in der Firewall, ist die Katastrophe perfekt. Deaktivieren Sie daher UPnP-Freigaben in Ihrem Router. Die Fritzbox listet unter "Internet / Freigaben / Portfreigaben" alle Geräte mit offenen Ports auf. Entfernen Sie hier alle Haken in der Spalte "Selbstständige Portfreigabe" und klicken Sie auf "Übernehmen".

Möchte man verhindern, dass das NAS per UPnP ein Loch in die Firewall bohrt und Daten ungewollt mit der Welt teilt, muss man die Funktion im Router deaktivieren.

Manche NAS bieten Freigaben für Apples Backup-System Time Machine an, die grundsätzlich ohne Anmeldung erreichbar sind. Im lokalen Netz mag das praktisch sein, um den Mac zu sichern, in Kombination mit einer Portfreigabe ist das verheerend. Wir fanden zahlreiche Komplett-Backups von Apple-Nutzern weltweit. Bei vielen NAS waren wir auch nicht die ersten Besucher. Hier hatten schon Verschlüsselungstrojaner zugeschlagen.

Auch ein grober Schnitzer aus Deutschland war dabei, zur Abwechslung mal kein NAS. Ein nordrhein-westfälischer Büromöbelhändler hatte seinen Windows-Server ins Netz gestellt, damit die Mitarbeiter bequem auf die Daten zugreifen können – leider konnte das auch jeder nicht angemeldete Besucher. Die gesamte Unternehmenskommunikation war per SMB für jedermann zugänglich, darunter Rechnungen der letzten Jahre, Kundenlisten, Umsatzauswertungen, Kostenvoranschläge. Wir haben den Anbieter darauf aufmerksam gemacht; er hat die Lücke zügig geschlossen und zugesichert, den zuständigen Landesdatenschutzbeauftragten zu informieren.

Die Freigaben lagen auch nicht auf einer Maschine im eigenen Netz, sondern auf einer virtuellen Maschine bei einem Hoster. Die haben oft keine separate Firewall, sodass man sich unbedingt darum kümmern muss, die Firewall des Betriebssystems einzurichten. Im Gespräch mit uns war der IT-Verantwortliche des kleinen Unternehmens überrascht, dass die Freigabe in den Weiten des Netzes gefunden werden konnte. Den Vorfall nahm er zum Anlass, VPN bei einem Dienstleister in Auftrag zu geben.

All diese Freigaben fanden wir mit einem oberflächlichen Scan, wir mussten keine Zugangssicherungen überwinden. Eine Absicherung der Freigaben per Authentifikation ist zwar schon ein Schritt mehr, reicht gegen Angreifer aber nicht aus. SMB gehört zu den sehr geschwätzigen Protokollen. Auch wenn man von außen nicht auf die Freigaben selbst, sondern nur auf die Übersicht zugreifen kann oder Details zur verwendeten Software sieht, ist das schon zu viel. Aus unserer Sicht gehört SMB ins lokale Netz, nicht ins Internet! Wer Netzwerkfreigaben braucht, muss ein VPN einrichten.

Alternativ können Sie über eine selbstgehostete Nextcloud-Instanz nachdenken (sofern Sie Admin-Erfahrungen mitbringen). Und selbst Server von Google, Amazon und Microsoft sind immer noch ein datenschutzfreundlicherer Ort als eine laienhaft ins Internet gehängte SMB-Freigabe.

Heise investigativ

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

(jam)