Webcams mit Internetanschluss erfreuen sich großer Beliebtheit. Kein Wunder, sie sind inzwischen enorm günstig zu haben und die Konfiguration für den Internetzugriff hat sich dank automatischer Portfreigaben via UPnP oder Web-Portalen der Anbieter vereinfacht. Das Problem dabei: Ist die Firmware der Kameras schlampig programmiert, schafft man so statt einer Sicherheitsfunktion für sich selbst ein Überwachungstool für Spanner und andere neugierige Internetnutzer.
Was wie die fixe Idee eines Verschwörungstheoretikers klingt ist – zumindest für die Besitzer von älteren Trendnet-Webcams –, seit etwa einem Jahr Realität: Vor gut einem Jahr erschien im Blog der Console Cowboys ein Beitrag, in dem der Verfasser auf eine Schwachstelle in verschiedenen Trendnet-Kameras hinweist. Diese macht es möglich, dass man den Live-Stream der Kamera selbst dann als anonymer Nutzer abrufen kann, wenn eigentlich ein Nutzername und Passwort gesetzt ist. Tatsächlich hat Trendnet am 7. Februar 2012 eine Firmware veröffentlicht, die das Sicherheitsproblem aus der Welt schafft.
Man möchte meinen, dass damit das Problem behoben ist, schließlich müssten die jeweiligen Besitzer oder ihre IT-Verantwortlichen nur die Firmware aktualisieren. Doch offenbar haben sich nicht alle Besitzer der Kamers diesen Rat zu Herze genommen. Denn noch finden sich reichlich angreifbare Kameras offen im Netz. Wie leicht das passiert, demonstrierte eine Website. Sie zeigte auf einer Weltkarte die gerade ohne weiteren Login zugänglichen Webcams. Ein Klick auf die Markierung startete den Livestream der Kamera. Inzwischen hat Google den Zugriff der Cam-Übersichtsseite auf die API seines Maps-Angebots unterbunden. Die verwundbaren Kameras sind dennoch weiterhin abrufbar. Entsprechende Listen mit IP-Adressen finden sich an verschiedenen Stellen im Web.
Das anhand der Cams aufgezeigte Problem ist nicht neu. Denn für Netzwerkhardware fehlt in vielen privaten, kleineren und mittleren Netzwerken oftmals die eine Strategie zum Umgang mit Sicherheitsupdates. Das gilt nicht nur für Kameras, sondern beispielsweise auch für Router, IP-Telefone, Netzwerkspeicher oder Netzwerkdrucker. Privatpersonen und Unternehmen sollten also in jedem Fall die Hardware mit in ihre Update-Pläne einbeziehen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.