17.03.2015 06:50

IT-Experte

«Eine Webcam lässt sich innert Minuten knacken»

Wie schwierig ist es, eine Webcam zu hacken? 20 Minuten hat es mithilfe eines IT-Experten ausprobiert.

von
T. Bolzern
1 / 4
Über spezielle Websites lassen sich ungenügend geschützte Webcams finden, die ihre Signale ins Internet streamen - darunter sind auch zahlreiche Cams aus der Schweiz.

Über spezielle Websites lassen sich ungenügend geschützte Webcams finden, die ihre Signale ins Internet streamen - darunter sind auch zahlreiche Cams aus der Schweiz.

20 Min
Im Tamedia-Gebäude in Zürich: In einem Experiment versucht der 19-jährige Informatiker-Lehrling Nicholas Hansen für 20 Minuten auf eine Webcam in Rapperswil-Jona SG zuzugreifen. Er probiert mehrere Angriffs-Methoden - nach rund einer Stunde hat er sich Zugriff verschafft.

Im Tamedia-Gebäude in Zürich: In einem Experiment versucht der 19-jährige Informatiker-Lehrling Nicholas Hansen für 20 Minuten auf eine Webcam in Rapperswil-Jona SG zuzugreifen. Er probiert mehrere Angriffs-Methoden - nach rund einer Stunde hat er sich Zugriff verschafft.

20 Min
Die Kamera zeigt den Serverraum einer Sicherheitsfirma - inklusive gross angeschlagenem (fiktiven) Admin-Passwort. Die Firma wusste im vorhinein um den Eindringling Bescheid. «Einen effektiven Schutz vor unerlaubten Zugriffen bietet nur eine optische Abdeckung», sagt Bernhard Tellenbach, Dozent für IT-Sicherheit an der ZHAW.

Die Kamera zeigt den Serverraum einer Sicherheitsfirma - inklusive gross angeschlagenem (fiktiven) Admin-Passwort. Die Firma wusste im vorhinein um den Eindringling Bescheid. «Einen effektiven Schutz vor unerlaubten Zugriffen bietet nur eine optische Abdeckung», sagt Bernhard Tellenbach, Dozent für IT-Sicherheit an der ZHAW.

20 Min

Der direkte Blick in Stuben und in Schlafzimmer: Live-Bilder von Hunderten Schweizer Webcams sind Ende 2014 im Netz gelandet. Unbekannte Hacker hatten die Webcams rund um den Globus angezapft. Mittlerweile ist die Website offline. Doch auf anderen spezialisierten Websites lassen sich noch immer Hunderte unzureichend geschützte Webcams finden, auch solche aus der Schweiz.

Um sich ohne Erlaubnis Zugriff auf eine Kamera zu verschaffen, gibt es verschiedene Wege: «Ein mögliches Einfallstor bieten etwa Lücken in der Kamera-Software des Geräts, oder wenn noch immer das Standardpasswort oder ein schwaches Passwort verwendet wird», sagt Bernhard Tellenbach, Dozent für IT-Sicherheit an der Zürcher Hochschule für Angewandte Wissenschaften und Präsident von Swiss Cyber Storm (siehe Box). Um zu zeigen, welche Gefahren drohen, hat er ein Experiment aufgesetzt.

Das Passwort im Serverraum

Im Serverraum einer Firma in Jona wurde zu Testzwecken eine Webcam aufgestellt – mit direktem Blick auf ein grosses Schild mit dem neuen Passwort für den Server. Wäre das Szenario echt, wäre dies ein gefundenes Fressen für einen Eindringling. Für 20 Minuten mimt der 19-jährige Nicholas Hansen den Hacker und versucht von Zürich aus, auf die Kamera zuzugreifen.

Das im Serverraum aufgestellte Modell hat einen integrierten Webserver. Da Hansen die IP-Adresse der Kamera kennt, landet er schnell auf der Log-in-Site der Cam. «Ich probiere also einmal alle Standardpasswörter durch, manchmal hat man schon mit ‹admin› und ‹password› Erfolg», sagt der Zürcher Informatiker-Lehrling. Mit dieser Kombination passiert allerdings nichts.

Biblisches Passwort? Fehlanzeige

Dann probiert er einen Angriff via Brute-Force-Methode, also ein automatisches Ausprobieren von verschiedenen Passwörtern. «Die beste Passwortliste ist im Übrigen die Bibel, da hier die meisten Wörter aus dem täglichen Sprachgebrauch vorkommen», so Tellenbach. Doch auch diese Methode führt nicht zum Ziel.

Erst das Ausnutzen einer Sicherheitslücke in der Datenbank der Login-Site bringt Hansen zum Ziel – und zum fiktiven Passwort des Servers. «Ist eine Kamera ungenügend gesichert, kann man sie innerhalb von Minuten kapern», mahnt der IT-Sicherheits-Dozent Tellenbach. Hält man aber die Software – bei externen Webcams wie auch bei allen anderen Geräten – à jour, sei es auch für einen erfahrenen Hacker nicht so einfach, auf diese zuzugreifen.

Abkleben ist eine Variante

Unter Umständen bekommt man von einem Angriff aber gar nichts mit. «Zwar gibt es bei Webcams ein Lämpchen, das zeigt, ob das Gerät aktiv ist – doch auch diese Sicherung kann umgangen werden», sagt Tellenbach. «Softwaremässig gibt es keinen absoluten Schutz, dass eine Webcam nicht unerlaubt aktiviert werden kann», so der Experte. Das sicherste sei ein optischer Schutz, so Tellenbach.

Eine mögliche Lösung bietet hier das Schweizer Start-up soomz.io. Es bietet Abdeckungen in unterschiedlichen Farben für Webcams an. Diese lassen sich sowohl auf Notebooks als auch auf Handys, Tablets und Geräte mit Webcam kleben. Die Abdeckung soll indes nicht nur die Privatsphäre schützen.

Die Macher erhoffen sich auch, dass die Klappe einen Effekt auf die Nutzer hat: «Wenn man vor dem Einschalten der Kamera auch die Klappe aufschieben muss, hat man einen bewussteren Umgang mit der Kamera», sagt Rainer Brenner, Mediensprecher von soomz.io. Wer es noch einfacher – allerdings auch weniger elegant – haben will, der klebt die Kamera kurzerhand ab, muss diese improvisierte Abdeckung aber vor jedem Gebrauch wieder abziehen.

Swiss Cyber Storm

Wettbewerb für Nachwuchs-Cyber-Talente: Beim Swiss Cyber Storm Security Challenge können 15- bis 30-Jährige IT-Begeisterte in Online-Aufgaben zeigen, was sie drauf haben. Dabei gibt es verschiedene Disziplinen (z.B. Reverse Engineering, oder das Knacken einer Web-Applikation). Wer die Aufgaben löst, bekommt Punkte. Die besten zehn Teilnehmer landen in einer nationalen Ausscheidung. Danach messen sich wiederum die Besten an der European Cyber Security Challenge.

Dieses Jahr nehmen sechs Länder Teil. Das Final findet am 21. Oktober 2015 im KKL in Luzern statt. Beim Event geht es nicht darum Hacker zu finden, sondern IT-Sicherheitsexperten. Um Punkte zu bekommen muss man nicht nur Sicherheitslücken finden, sondern auch eine Lösung (Fix) vorschlagen, um diese zu stopfen. (tob)

Fehler gefunden?Jetzt melden.