Setzten Videoüberwachungsanlagen die Öffentlichkeit dem Risiko von Cyberangriffen aus?

Wie unsicher arbeitet Überwachungstechnologie gegen uns?

Die vorliegende Studie wurde erstmals auf der DefCon 2014 vorgestellt. Sie wurde als Teil von Kaspersky Labs Beitrag zu Securing Smart Cities veröffentlicht – einer globalen gemeinnützigen Initiative, deren Ziel die Lösung der bestehenden und künftigen, die Cybersicherheit betreffenden Probleme von Smart Cities ist, und zwar durch die Zusammenarbeit zwischen Unternehmen, Regierungen, Pressekanälen, gemeinnützigen Initiativen und Individuen auf der ganzen Welt.

Thomas Kinsey von Exigent Systems Inc. hat einen Beitrag zu diesem Bericht geleistet.

Spät in der Nacht hielten ein Kollege und ich es für eine gute Idee, mitten in der Innenstadt auf eine öffentliche Brunnenanlage zu klettern. Plötzlich ertönte eine körperlose Stimme aus dem Himmel, die uns aufforderte, wieder von dem Brunnen herunterzusteigen. Wir bekamen einen gewaltigen Schreck, doch dann bemerkten wir eine Reihe von Kameras, die mit Lautsprechern ausgestattet waren und uns von verschiedenen Laternenpfählen aus beobachteten. Für uns war es das erste Mal, dass wir uns so direkt überwacht fühlten. Daher beschlossen wir, einmal genauer zu untersuchen, wie dieses System eigentlich funktioniert.

Es ist nichts Neues, dass Polizeibehörden und Regierungen ihre Bürger über Jahre hinweg mit Hilfe von Überwachungskameras beobachtet haben, die über verschiedene Städte verteilt sind. Heutzutage sehen die meisten Menschen das als einen fairen Kompromiss an – sie opfern einen Teil ihrer Privatsphäre in der Hoffnung, auf diese Weise besser vor Kriminellen und Terroristen geschützt zu werden. Doch wir erwarten auch, dass mit unseren privaten Daten – in diesem Fall Videoaufnahmen von unserem öffentlichen Leben – verantwortungsvoll und sicher umgegangen wird, so dass die Überwachung am Ende nicht mehr Schaden als Nutzen bringt.

In unserer jüngsten Studie stießen wir in vielen Städten auf drahtlose Technologien, die für Sicherheitskameras und Infrastruktur genutzt werden, anstelle der fest verdrahteten Installationen, die früher üblich waren. Diese Änderung bringt eine höhere Kosten- und Zeiteffizienz für die Stadtverwaltungen mit sich.

Leider liegt das Problem darin, dass die drahtlose Technologie gerade jetzt nicht so sicher ist wie sie sein könnte. Als sicherheitsbewusste Menschen haben wir auf den ersten Blick gesehen, dass die Daten, wenn sie auf diese Weise verarbeitet werden, gegenüber einer Reihe von Attacken potenziell angreifbar sein könnten. Daher wollten wir herausfinden, ob diese Systeme so umgesetzt wurden, dass unsere Daten sicher sind, oder ob die Daten problemlos zu bösartigen Zwecken manipuliert werden könnten.

Obwohl drahtlose Technologie selbst angreifbar sein kann, gibt es immer noch viele zusätzliche Verbesserungen, die eingebaut werden können, um so ein ausreichendes Sicherheitsniveau zu erreichen. Idealerweise sollten möglichst viele Sicherheitslevels vorhanden sein, so dass ein Hacker, nachdem er eine Hürde genommen hat, sich mit einer nur noch größeren Herausforderung konfrontiert sieht. Das war hier allerdings nicht der Fall.

Die Untersuchung

Unsere Untersuchung begann auf physischer Ebene: Wir fuhren zu verschiedenen Standorten in der Stadt und schauten uns an, wie die Hardware installiert ist. Dabei stellten wir auf den ersten Blick fest, dass die Stadt nicht ausreichend Überlegungen und Anstrengungen investiert hat, um ihre eigenen Systeme ordentlich zu handhaben.

Wie das Bild zeigt, wurde das Sicherheitssystem unsauber installiert. Die Einheiten, die unsere Daten verarbeiten, wurden nicht im Geringsten getarnt; auf manchen Einheiten konnten wir deutlich den Namen und das Modell der Hardware erkennen, so die Geräte identifizieren und unsere Studie starten.

Warum ist es so wichtig, die Beschriftung der Hardware, die man benutzt, zu verbergen? Ein Beispiel soll illustrieren, warum das eine so große Schwachstelle darstellt. Soll ein Server geschützt werden, so besteht eine der wichtigsten Maßnahmen zum Schutz vor Kompromittierung darin, dass man die Server-Binärdatei nicht öffentlich zugänglich macht. Der Grund hierfür ist, dass ein Forscher, der Zugriff auf die Binärdatei erhält, diese rückentwickeln und studieren kann, um so Bugs und Sicherheitslücken aufzuspüren. Es kommt selten vor, dass eine Sicherheitslücke entdeckt wird, ohne dass der Programmcode eingesehen werden kann. Daher kann eine sichtbare Gerätebeschriftung – scheinbar nur ein kleiner Fehler – tatsächlich massive Auswirkungen haben.

Zurück zum Kameranetzwerk: Wenn ein Hacker die drahtlosen Sicherheitseinstellungen dieser Systeme umgehen sollte (wobei nur die Standardverschlüsselungsprotokolle WEP oder WPA für WLAN aktiv sind), so könnte er an diesem Punkt nur unbekannte Protokolle, Header und WLAN-Pakete sehen, ohne Hinweise darauf, zu welchem System sie gehören. Bei unserer Analyse wussten wir zunächst nicht, welche Software diese Pakete erzeugt, da es ein proprietäres System ist. Ohne Zugriff auf den eigentlichen Code wäre es mehr oder minder unmöglich gewesen, das Protokoll, das sie benutzen, mittels Reverse Engineering herauszufinden, was aber der einzige Weg ist, das Netzwerk vernünftig zu untersuchen. An diesem Punkt war unsere Arbeit unterbrochen.

Nachdem wir in den Besitz der Hardware gekommen waren, stellten wir zweierlei fest: Die Netzwerk-Einstellungen der Polizeibehörde waren zwar schwach, doch die von ihnen ausgesuchte Hardware stellte tatsächlich ganz und gar nicht das Problem dar. Die vermaschten Knoten waren tatsächlich eine sehr komplexe und gut gemachte Lösung, und eingebaute Module schützen die Kommunikation über die zugrunde liegende WLAN-Sicherheit. Hier war nur noch eine ausreichend kompetente Person gefragt, die diese Technologie installiert und ordentlich konfiguriert. Leider mussten wir, nachdem wir viele der Pakete analysiert hatten, schnell feststellen, dass diese Verschlüsselungsmodule weder konfiguriert noch implementiert worden waren. Klartextdaten wurden durch das Netzwerk geschickt und waren für jeden Beobachter sichtbar. Es gab keine Verschlüsselung, die umgangen werden musste. Daher war uns klar, dass wir lediglich unsere eigene Version dieser Software rückentwickeln mussten, um die Daten, die sie verarbeitet, zu manipulieren.

Ein kurzer Vergleich, der zeigen soll, wie das vermaschte Netz arbeitet, um die Video-Feeds zu transportieren, wird zu einem besseren Verständnis beitragen, was genau wir lernen mussten, um das System zu manipulieren. In einem traditionellen WLAN-Netzwerk ist jedes Gerät typischerweise mit einem Router verbunden, der als Schaltzentrale dient. Um ein Datenpaket in einen anderen Teil des Netzwerks zu senden, nimmt es seinen an die entsprechende Geräte-Adresse über den Router. Das funktioniert in unmittelbarer Nähe gut, aber um über eine große Distanz kommunizieren zu können, verwendete das Kamera-Netzwerk eine Topologie und ein Protokoll, das wir in diesem Artikel nicht nennen werden.

imagecctv2

Traditionelle Topologie eines drahtlosen Heimnetzwerks. Jedes mit dem Internet verbundene Gerät kann ein Client sein

Ein Angreifer gibt sich gegenüber dem Nutzer als Router aus und gegenüber dem Router als Nutzer. Auf diese Weise fängt er den Traffic von und zum Webserver ab

Ganz allgemein ist es für jeden, der mit einem beliebigen drahtlosen Netzwerk verbunden ist – einem Heimnetzwerk beispielsweise – möglich, eine Man-in-the-Middle-Attacke unter Verwendung von Methoden wie beispielsweise ARP-Spoofing durchzuführen. Dadurch ist der Nutzer in der Lage, jegliche Daten zu manipulieren, die an den Router fließen oder von ihm gesendet werden. Doch aufgrund der Natur der vermaschten Software wäre diese Standardmethode zumindest in ihrer einfachen Form nicht von großem Nutzen. Grundsätzlich kann jeder Knoten in dem vermaschten Netz nur eine direkte Sichtlinie zu einigen der vielen Knoten haben, die in dem Netzwerk existieren. Um ein Paket an ein Gerät zu senden, das nicht in Reichweite ist, muss das Paket vom Ursprungspunkt durch mehrere andere Knoten wandern und schließlich den Zielknoten erreichen. Das Hardwaresystem des Anbieters setzt einen Pathfinding-Algorithmus um, um Daten effizient zu transportieren und die verlässlichsten Routen zum Ziel zu finden. Der Algorithmus ist denen sehr ähnlich, die üblicherweise in Videospielen verwendet werden, um den Weg zu definieren, den ein Charakter zu seinem Ziel einschlagen wird und dabei Hindernisse vermeiden will. Ein gutes Beispiel dafür sind Echtzeitstrategiespiele.

Bespiel Echtzeitstrategiespiel: Der Pathfinding-Algorithmus findet Routen für die Charaktere, die sich basierend auf Variablen wie etwa Schwierigkeiten im Terrain fortbewegen

Der für die Überwachungskameras verwendete Pathfinding-Algorithmus fußt auf einer Reihe von Variablen. Doch am wichtigsten sind die Signalstärke zwischen einem Knoten und dem nächsten sowie die Zahl der Knoten, die das Paket auf seinem Weg zum Ziel durchläuft.

imagecctv5

Das Paket kommt von Knoten A (Node A) und wandert durch B zu C und schließlich zu seinem Ziel (fingiertes Polizeirevier). Zwischenzeitlich gehen alle anderen Knoten einen komplett anderen Weg. Diese können nicht durch das Lauschen an einem einzelnen Ort abgefangen werden

Genau das haben wir uns zunutze gemacht. Indem wir den anderen Knoten vorgetäuscht haben, wir wären ein Knoten und würden die Pakete über eine direkte Verbindung zum fingierten Polizeirevier weiterleiten, begannen die in der Nähe installierten Kameras tatsächlich damit, ihre Pakete aufgrund der A*-Implementation direkt an uns zu senden. Mit dieser Aufstellung ist ein klassisches Man-in-the-Middle-Szenario möglich, jetzt aber für eine große Zahl von Video-Feeds. Um noch einmal auf den Vergleich oben mit dem Echtzeitstrategiespiel zurückzukommen: Mit dieser Methode baut man eine Brücke über den See, über die dann alle Charaktere gehen, anstatt am Seeufer entlangzuwandern.

Was sind die Folgen?

Wir sind keine Hacker – wir wollten nur ein Proof-of-Concept entwickeln, um zu zeigen, dass diese Art von Angriff möglich ist, um zu demonstrieren, dass es eine Sicherheitslücke gibt und um letztlich die Behörden auf eine Schwachstelle hinzuweisen, die beseitigt werden muss. Daher wurden unsere Untersuchungen auf unserer eigenen privaten Installation durchgeführt, die die Systeme der Polizei nachbildet. Wir haben deren Netzwerk in keiner Weise beschädigt.

Wenn Hacker mit kriminellen Absichten ihren Nutzen aus den von uns aufgezeigten Problemen ziehen wollen, können sich daraus viele gefährliche Szenarien ergeben, die Hollywood immer wieder gerne in seinen Filmen thematisiert. Die Möglichkeit, Man-in-the-Middle-Attacken auf die Videodaten durchzuführen, ist nur einen kleinen Schritt davon entfernt, die echten Videoaufnahmen durch selbst vorbereitetes Filmmaterial zu ersetzen. In so einer Situation könnte eine Cybercrime-Organisation die Polizei glauben machen, in der Stadt findet ein Verbrechen statt, um dann darauf zu warten, dass Beamte dorthin geschickt werden. Das würde wiederum die Möglichkeit eröffnen, in einem anderen Teil der Stadt ein Verbrechen zu begehen, wo nun keine Beamten mehr verfügbar sind. Und das ist nur eine Art, auf die jemand diese Systeme dazu missbrauchen könnte, um eine Straftat effizienter zu begehen. Insgesamt könnten diese Systeme damit mehr Schaden als Nutzen bringen. Leider handelt es sich dabei nicht nur um ein Hollywood-Szenario. Wir konnten diese Funktionalität in unserem Testlabor erfolgreich kopieren.

Wir vertrauen den Autoritäten, wenn sie auf unsere Daten zugreifen. Doch wenn diese Autoritäten nicht so viel Zeit und Ressourcen aufwenden wie notwendig sind, um verantwortungsvoll mit unseren Daten umzugehen, sind wir ohne diese Technologien insgesamt besser beraten. Glücklicherweise haben die Behörden der hier betroffenen Städte, nachdem wir sie über das Problem informiert hatten, ihre Besorgnis zum Ausdruck gebracht und seither gehandelt, um die Sicherheit zu verbessern.

Das ändert jedoch nichts an der unerfreulichen Wahrheit, dass heutzutage alles miteinander verbunden ist. Wenn neue Technologie flächendeckend etabliert wird, um ältere Systeme zu modernisieren, so bringt das auch unvermeidlich neue Sicherheitslücken mit sich. Neben den Überwachungssystemen, die wir an dieser Stelle analysiert haben, gibt es eine Vielzahl weiterer Systeme, die gegenüber verschiedenen Attacken angreifbar sind und bleiben werden. Es ist nun an „den Guten“, die Sicherheit auf den Prüfstand zu stellen, bevor „die Bösen“ Schwachstellen zu ihren schädlichen Zwecken ausnutzen können. Unsere Aufgabe besteht darin, dieses Ziel weiterhin zu verfolgen, um die Welt zu einem sichereren Ort zu machen.

Fazit

Die folgenden Überlegungen sind notwendig, um ein vermaschtes Netz auf ein vernünftiges Sicherheitsniveau zu heben:

  • Auch wenn es potenziell gehackt werden kann, so gehört WPA mit einem starken Passwort zu den minimalen Anforderungen, damit das System nicht zu einem leichten Ziel wird.
  • Eine verborgene SSID und ein MAC-Filter werden unausgebildete Hacker ebenfalls auf Abstand halten.
  • Stellen Sie sicher, dass alle Labels auf dem gesamten Equipment verdeckt oder innenliegend angebracht sind, um Angreifer abzuhalten, die kein Insiderwissen haben.
  • Die Sicherung von Videodaten unter Verwendung eines Public-Key-Verschlüsselungsverfahrens macht es mehr oder minder unmöglich, Video-Daten zu manipulieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.