IT-Experte durchsuchte sämtliche österreichische IPs nach ungesicherten Systemen und Geräten

Es ist ein spannendes Experiment, das der IT-Fachmann Christian Haschek in den letzten Wochen durchgeführt hat. Er hat, so formuliert er es, ganz Österreich auf Sicherheitslücken gescannt. Konkret: Alle der rund 11,2 Millionen IP-Adressen, die der Alpenrepublik zugewiesen sind. Das Ergebnis ist spannend und zeigt auch einige Sicherheitsprobleme auf. Denn neben einfachen Webseiten entdeckte er auch Industriesteuerungen, Überwachungskameras und längst veraltete Server, die mit wenigen Klicks zugänglich sind. In einigen Häusern kann jedermann das Licht ein- oder ausschalten oder Musik abspielen, da ihre Smart Home-Steuerung über das Netz zugänglich ist, sagt Haschek zum STANDARD.

Im ersten Durchgang wollte er wissen, wie viele ungepatchte und direkt angreifbare Windows-Systeme sich dabei finden. 1.273 Systeme waren es, aber zumindest war keines davon für "Eternalblue" anfällig. Dabei handelt es sich um eine Schwachstelle, die 2017 bekannt geworden war und von der NSA zuvor über fünf Jahre lang für Spionage ausgenutzt wurde.

foto: haschek.at Das Overlay der Überwachungskamera wurde von einem Unbekannten mit dem Orwell'schen Schriftzug "1984" versehen.

Über 2.000 IPs anfällig für DDoS-Attacken

Entdecken konnte er auch über 8.700 öffentlich erreichbare DNS-Server. Ein Viertel davon sind "Open Resolver" und Antworten auch Anfragen von IP-Adressen, die sich gar nicht in ihrer Domain befinden.

Das lässt sich für Angriffe missbrauchen. Denn für eine Anfrage muss eine Datenmenge von 40 Bytes verschickt werden, für die Antwort jedoch das Hundertfache. Das ermöglicht es, schon mit geringer Uploadbandbreite ganze Firmennetzwerke per DDoS-Attacke lahmzulegen, in dem man den DNS-Server mit Anfragen flutet.

Einige Uralt-Server noch im Einsatz

Aufgetaucht sind auch über 17.000 Webserver, die sich von außen ansprechen ließen und Inhalte zurück liefern. Dabei handelte es sich oftmals um normale Webseiten, teilweise allerdings laufend auf uralten Systemen. So gibt es etwa noch Seiten die mit Version 1.3.12 des Apache-Webservers laufen, die im Jahr 2012 veröffentlicht wurde.

Vier Server liefen gar noch auf Basis von Windows CE. Die 1996 veröffentlichte Plattform hat zuletzt im Jahr 2003 Patches erhalten. Der Login-Screen nennt den Internet Explorer 5.5, Netscape 7.1 und Mozilla 1.4, also die erste Generation des heutigen Firefox als ideale Browser.

foto: haschek.at

Kameras und Kläranlagen



Auch allerlei ungeschützte Geräte konnten gefunden werden. Darunter neun Drucker des Herstellers HP, die sich aus der Ferne bedienen ließen und diverse private Webcams, die etwa auf Hauseinfahrten oder Tankstellenzapfsäulen gerichtet waren. Auch konnte Haschek Zugriff auf Smart Home-Systeme erlangen und hätte diese fernsteuern können.

Beachtliches Gefahrenpotenzial bergen zudem offene Industriesteuerungsanlagen. Dokumentiert hat Haschek etwa das Kontrollsystem einer Kläranlage, das sich ebenfalls ohne weiteres über seine IP-Adresse erreichen ließ.

Die problematischsten Funde hat Haschek nach eigenen Angaben den Inhabern der jeweiligen Server gemeldet, sofern sich diese herausfinden ließen. In allen anderen Fällen wurde ein Bericht an das österreichische Cert übermittelt. (Georg Pichler, Markus Sulzbacher, 08.02.2019)