CyberCompare

Shodan und Google Hacking: Wie kann ich selbst kurz prüfen, welche meiner Geräte einfach angreifbar sind?

Google-Hacking

Noch immer sind erstaunlich viele Steuerungsgeräte aus der Automatisierungs- und Gebäudetechnik über das Internet erreichbar – und oft angreifbar

Was bedeutet hierbei „Google Hacking“?

Hinter dem Begriff „Google Hacking“ – auch „Google Dorks“ genannt, weil bei Bekanntmachung der Technik 2002 unachtsame Administratoren verunglimpft wurden – verbirgt sich einfach die gezielte Suche mittels zusätzlicher Eingabeparameter im Google Eingabefenster. Damit lassen sich mit Google zusätzliche Informationen ausgeben, die man in der Alltagssuche nicht angezeigt bekommt. Es geht nicht darum, Google zu hacken. Sondern man greift auf den Google Index zu, in dem Google Inhalte aus öffentlich zugänglichen Daten und Webseiten speichert – alles, bei dem die Speicherung nicht explizit als verboten gekennzeichnet wurde.

Ein praktisches Beispiel, gerne zum Ausprobieren:

  1. Wer bei google.de in das Suchfenster Siemens S7 (eines der am weitesten verbreiteten Steuerungsgeräte) eintippt, erhält ungefähr folgendes Suchergebnis:

  1. Wer stattdessen nach inurl:“portal.mwsl“ „Status“ sucht, erhält ein Ergebnis wie folgt (die roten Felder sind von uns eingesetzt, um die IP-Adressen etc. zu verbergen):

  1. Und wenn man dann auf einen der angezeigten Links klickt, kommt man wahrscheinlich auf eine Seite, die ungefähr so aussieht (wieder mit roten Feldern zum Schutz von Daten, die Anlage in unserem Fall hatte wohl etwas mit Gas zu tun):

Das ist das Web-Interface der besagten SPS.

Einige der angezeigten Treffer sind natürlich „Honeypots“, also bewusst ausgelegte Köder für Angreifer.

An dieser Stelle schließen wir selbstverständlich den Browser vorsichtig, und genau das sollten Sie dann auch tun – bitte auf keinen Fall testen, was bei Klicks oder Eingaben in Felder passiert (z.B., wenn man die Standard Benutzernamen und Passwörter der jeweiligen Geräte probiert), denn das ist nicht nur unethisch, sondern in vielen Fällen auch illegal.

Genauso lassen sich öffentlich zugängliche Schnittstellen wie z.B. zu Web-Cams finden, z.B. über inurl:“ViewerFrame?Mode=“.

Mit Google lassen sich sogar in Einzelfällen Zugangsdaten (User/Passwort) beschaffen, beispielsweise über Suchbegriffe wie !Host=*.* intext:enc_UserPassword=* ext:pcf für Cisco VPN-Applikationen. Schon lange gibt es Listen für entsprechende Suchbegriffe, z.B. unter Google Hacking Database (GHDB) – Google Dorks, OSINT, Recon (exploit-db.com) . Und selbstverständlich sind Programme bzw. Softwareanwendungen verfügbar, um diese Suchen automatisiert durchzuführen. Aufgrund dessen ist Google Hacking fester Bestandteil der meisten sogenannten Penetration Tests. Hierbei wird professionell im Auftrag des Herstellers, Integrators oder Betreibers versucht, die Schwachstellen eines System oder eines IoT-Device zu finden. Dieses geschieht meistens am Anfang zur Informationsbeschaffung (Reconnaissance).

Shodan

Wozu dient dann „Shodan“?

Shodan gibt es seit 2009 und ist eine Suchmaschine speziell für IP-Adressen von IoT-Geräten (heute meistens noch auf Basis IPv4). Mit Shodan kann man also nicht nur Geräte erreichen, die über eine Webseite angesteuert werden können, wie oben beschrieben. Sondern wir können damit auch die IP-Adressen von bspw. Verkehrsampeln, Kaffeemaschinen, Druckern, Zapfsäulen an Tankstellen, Röntgengeräte in Praxen oder sonstigen technischen Anlagen finden, wenn diese (auch über Umwege) mit dem Internet verbunden sind. Ähnliche Funktionen bietet z.B. Censys , Shodan ist allerdings zum heutigen Stand wesentlich bekannter.

Ganz komfortabel zeigt Shodan ebenso an, wo sich das Gerät ungefähr auf der Landkarte befindet und welche Hersteller- und Gerätemodellbezeichnungen es gibt. Dies erfolgt über die Metadaten, die Shodan in sogenannten „Service Banner“ ausliest. Die Inhalte der Service Banner variieren stark zwischen Herstellern und Modellen. Natürlich checkt Shodan gleich auch noch mit, welche Ports erreichbar sind.

Optimiert für Usability visualisiert Shodan – ICS Radar industrielle Steuerungen (SCADA etc.) hübsch auf einem Globus.

Auch dazu ein kleines Beispiel:

  1. Wenn man bei Shodan in das Eingabefenster einen Begriff wie LOGIX5370* eingibt, erhält man folgendes Ergebnis:

  1. Der Suchbegriff führt uns zu einer Serie von Rockwell SPS (CompactLogix 5370 Controller, Allen-Bradley). Ein Klick auf eine der angezeigten IP-Adressen leitet uns dann auf eine Seite, die wie folgt aussieht:

Warum könnte das interessant sein?

Im Februar 2021 veröffentlichte die CISA (Cyber Security and Infrastructure Agency) eine Warnung (ein sogenanntes ICS Advisory ) genau zu diesen Industrie-Steuerungen. Angreifer können relativ einfach Zugriffsrechte auf die Steuerung erlangen. Die Schwachstellen wurden mit der höchsten Kritikalität eingestuft, also einem CVSS Score 10 von 10. Bemerkenswert daran: Nach eingehender Prüfung stellte der Hersteller Rockwell fest, dass sich die Schwachstelle nicht über ein Software-Patch lösen lässt. Diesen Umstand bewertete der bekannte Experte für Sicherheit von Industriellen Steuerungssystemen, Dale Peterson, als schwer nachvollziehbar. Die Executive Summary der CISA sagt eigentlich alles:

Gut daran ist, dass es inzwischen viele Organisationen gibt, die diese Art von Schwachstellen aufspüren und die Hersteller davor warnen. In diesem Beispiel waren es sogar unabhängig voneinander Forscher einer koreanischen Universität sowie Fachleute von Kaspersky und Claroty.

Shodan wird selbstredend hauptsächlich für Penetrationstests und Schwachstellenanalysen, aber eben auch von Angreifern genutzt.

Übrigens ist ein neues Tool verfügbar, um einzuschätzen, ob sich hinter einer IP-Adresse ein Honeypot oder ein tatsächliches Unternehmensnetzwerk verbirgt: https://honeyscore.shodan.io .

Der Selbsttest

Wie kann ich selbst prüfen, ob eigene Steuerungen aus dem Internet erreichbar sind?

Man kann Shodan einfach mal kostenlos nutzen, um nach den eigenen IP-Adressen oder Host-Namen zu suchen. Inzwischen gibt es auch einen speziellen Service dafür, die eigenen Netzwerke zu überwachen: Shodan Monitor. Über die API lassen sich auch eigene Überwachungsanwendungen schreiben, um die Shodan-Daten auszuwerten.

Wenn ich nichts bei Shodan gefunden habe: Bedeutet das, mein Unternehmen ist sicher?

Selbstverständlich nicht, aber es kann Angreifern Attacken erschweren. Je weniger Informationen über das eigene Netzwerk und die eigenen IoT-Geräte über öffentliche Suchmaschinen verfügbar sind, desto besser.

Der unautorisierte mögliche Zugriff auf Gebäude- und Automationstechnik mittels Standardpasswörter und unsicherer Netzwerkdienste gehört zu den simpelsten und aufwandsärmsten Methoden für Hacker.


Ein Update zu diesem Artikel, hinzugefügt am 7. April 2021:

Eine internationale Forschungsgruppe um die Universität Padua hat zudem kürzlich in einem Feldtest nachgewiesen, dass Shodan nur einen kleinen Bruchteil aller industriellen Geräte erkennt, die Daten über das Internet senden. Die Dunkelziffer ist bei Industrieprotokollen wie EtherCAT oder ProfiNet also extrem hoch. Beispielsweise können Shodan oder Censys keine offenen Ports von Geräten erkennen, die hinter NAT-Routern, den meisten Firewalls oder in V-LANs verborgen sind.

Weitere Erkenntnis aus den Untersuchungen: Mehr als 75% des industriellen Datenverkehrs über das Internet war noch immer unverschlüsselt und damit besonders anfällig für Angriffe. In vielen Fällen wurden Verschlüsselungs- und Authentisierungsfunktion von Protokollen wie MQTT nicht genutzt. Eine kurze Zusammenfassung der vorläufigen Ergebnisse findet sich hier.


Falls ich eigene Geräte bei Shodan gefunden habe: Was sollten die nächsten Schritte sein?

Das Sicherheitsmanagement sollte systematisch überprüft werden, insbesondere folgende technische Elemente:

  • Sichere Netzwerkarchitektur (bspw. das Hinterfragen notwendiger Verbindungen zum Internet, Einrichtung von demilitarisierten Zonen und weiterer Segmentierungen)
  • Ausschließliche Nutzung von https, VPN und Multifaktorauthentifizierung für Fernzugriffe
  • Starke Passwort-Richtlinien
  • Sichere Konfigurationen von FTP- und Webservern, Industrie-PCs und Steuerungen
  • Aktualisierung von Patches
  • Review der Service-Banner von Geräten (welche Informationen angezeigt werden sollen)
  • Geprüfte Anweisungen in Dateien wie robots.txt (NOINDEX/NOFOLLOW), die von Suchmaschinen-Crawlern genutzt werden
Disclaimer

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns)

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.