engelhuber.de //blog

Gehirnfürze aus der Sicht eines Nerds

Shodan – Die Suchmaschine für Kriminelle im Netz

12. April 2013 von Engelhuber | 3 Kommentare

ShodanShodan ist eine neue Art von Suchmaschine, die aber nicht wie Google auf Content bezogen ist, sondern darauf spezialisiert ist Geräte (Drucker, Switche, Webcams, Router, …), die frei zugänglich mit dem Internet verbunden sind, zu indexieren. Monatlich kommen so rund 500 Millionen neue Geräte hinzu.

Vor einiger Zeit gab es schon mal bei Google eine Welle wo beschrieben wurde, wie man mit den richtigen Suchbegriffen Webcams etc. im Netz finden kann.
Shodan geht aber noch einen Schritt weiter und ist eben nur auf diese Suche spezialisiert. Da heutzutage sehr viele Geräte im Haushalt und auch in Firmennetzen (unbewusst) mit dem Internet verbunden sind und da sich viele Leute nicht sehr viel Gedanken um die Sicherheit dieser Gerät machen und Standard-Passwörter die seitens des Herstellers vergeben wurden eingerichtet lassen, muss man wohl nicht weiter beschreiben was das für Folgen haben kann.

Vor Kurzem gab es schon mal einen ähnlichen Fall bei dem ein unbekannter Hacker das Internet mit Hilfe von frei zugänglichen, privaten Routern vermessen hat. Der Spiegel hat über das Carna Botnetz einen ausführlichen Bericht verfasst. Mich wundert es dass er jetzt ein solcher Fall bekannt geworden ist.

Zurück zu Shodan. Ich habe mir mal den Spaß erlaubt und einfach mal nach „HP Color LaserJet“ gesucht, da diese über ein Webinterface verfügen und darüber gesteuert werden können. Wie zu erwarten hat die Suchmaschine direkt tausende Ergebnisse gelistet.

Shodan_Suche

(IPs unkenntlich gemacht)

Kopiert nun eine der IPs in die Adresszeile des Browsers, ist man mit dem Webinterface des Druckers verbunden und kann ohne Passwort schon einige Dinge bewerkstelligen. Zum Beispiel Test-Seiten ausdrucken. Ich habe das natürlich nicht getan 🙂
Hat der Drucker nun auch noch das vom Werk verwendete Standard-Passwort vergeben, kann man noch viel mehr „kaputt“ machen.
Drucker waren jetzt nur ein Beispiel, es wird auch bereits von größeren Steuerungsanlagen wie z.B. ein Eishockeyfeld berichtet, das auf Knopfdruck abgetaut werden kann.
Auch Verkehrsleitsysteme und Kraftwerke sind im Index enthalten.

Allerdings muss man dazu sagen, dass Shodan ohne einen Login nur auf 10 Treffer limitiert ist. Auch nach Anmeldung ist die Anzahl der Treffer limitiert. Möchte man mehr sehen muss man ein Motivationsschreiben und eine Gebühr an den Betreiber abdrücken.

Autor: Engelhuber

Wenn dir der Post hilfreich war bzw. er dir gefallen hat, würde ich mich über ein Kommentar freuen. Natürlich ist auch negative Kritik gerne gesehen ;)

3 Kommentare

Schreibe einen Kommentar →

  1. Gerd Bentis
    22. Oktober 2013 um 09:51

    Sehr gute Kurzeinführung

  2. Daniel aus Magdeburg
    18. Februar 2016 um 14:24

    Ein Wahnsinn finde ich, das neulich im TV ein Bericht darüber kam, wie man schließlich Webcams anzapft. Ich habs probiert, und es ist ein Kinderspiel. Jeder zweite Treffer war ein voller Erfolg. Das mit dem Drucker finde ich eher lustig, eine Seite hätt ich vielleicht mal gedruckt 🙂

    Daniel

  3. Flix
    5. Dezember 2018 um 19:20

    Wie hast du denn das mit der Webcam geschafft? Ich versuche es immer, aber es erscheinen nur verschlüsselte.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.