Kaspersky Lab

Städtische Überwachungskameras sind nicht sicher

Kaspersky-Experten haben die Überwachungskameras einer Stadt untersucht und sind zu dem Schluss gekommen, dass das System nicht sehr sicher ist.

Brian Donohue
4 Jun 2015

Städte und Polizeibehörden verlassen sich immer mehr auf vernetzte Überwachungskameras, um städtische Gebiete zu überwachen. London ist dafür ein berüchtigtes Beispiel: Dort kommt angeblich eine Kamera auf elf Einwohner – eine Ironie, wenn man bedenkt, dass George Orwells vorausahnender Roman „1984“ schon vor über 65 Jahren erschienen ist.

Es überrascht nicht, dass viele dieser Kameras in London und anderen Städten kabellos mit dem Internet verbunden sind, so dass sie von den Strafverfolgungsbehörden aus der Ferne genutzt werden können. Allerdings sind viele dieser drahtlosen Verbindungen nicht sicher. Und auch wenn sie eigentlich dafür da sind, Kriminalität zu bekämpfen, so haben Kriminelle dadurch nicht nur die Möglichkeit, das Bild der Kameras passiv anzusehen, sondern können sogar eigenen Code in die Netzwerke einspeisen, der gefälschte Bilder übermittelt oder die Systeme komplett ausschaltet.

Vasilios Hioureas, Virusanalyst bei Kaspersky Lab, erzählt, wie er einmal auf einen großen Brunnen an einem öffentlichen Platz geklettert ist, nur um eine laute Stimme aus einem Lautsprecher zu hören, die ihm freundlich, aber bestimmt sagte, sofort wieder von dem Brunnen herunter zu steigen. Die Stimme wurde natürlich durch das übertragene Bild einer Sicherheitskamera ausgelöst. Das brachte Hioureas dazu, sich die Sicherheit solcher vernetzten Kameras, die in Städten rund um die Welt eingesetzt werden, anzusehen. Seine Ergebnisse sind gleichzeitig besorgniserregend und ermutigend.

Hioureas lief durch eine nicht genannte Stadt und untersuchte die Geräte, die Teil der Infrastruktur der Überwachungskameras sind. Was er dabei entdeckt hat, ähnelt zum Großteil dem folgenden Bild, das einem Knoten im großen Überwachungskamerasystem entspricht:

Wie die Unkenntlichmachung im Bild zeigt, sind auf vielen der Geräte, die im Netzwerk zu finden sind, Namen und Seriennummer gut zu erkennen. Das machte es für Hioureas und seinen Kollegen Thomas Kinsey von Exigent Systems Inc. einfach, das Netzwerk im Labor nachzustellen. Dafür mussten sie nur online gehen und die Spezifikationen der verwendeten Hardware aufrufen, einige allgemein bekannte Sicherheitslücken sowie deren Exploits finden und schon konnten sie die Geräte ganz einfach hacken.

Um eines klarzustellen: Sie haben sich nicht in die echten Überwachungssysteme gehackt, sondern die Hardware und die Kommunikationsprotokolle untersucht und ein verkleinertes Modell gebaut. Dabei konnten sie aber die Datenpakete ansehen, die drahtlos durch das Netzwerk geschickt werden und fanden heraus, dass diese Pakete nicht verschlüsselt sind. Sie konnten also alle Daten des Netzwerks im Klartext einsehen – in diesem Fall das Videobild und andere Kommunikationsdaten.

Um eines klarzustellen: Sie haben sich nicht in die echten Überwachungssysteme gehackt, sondern die Hardware und die Kommunikationsprotokolle untersucht und ein verkleinertes Modell gebaut.

Die gute Nachricht ist laut den Forschern, dass die verwendeten Geräte sehr solide Sicherheitskontrollen besitzen. Die schlechte Nachricht ist aber, dass diese Kontrollen in der echten Welt nicht zum Einsatz kommen.

In Heimnetzwerken verbinden sich alle internetfähigen Geräte über einen Router mit dem Internet und untereinander. Die ganze Kommunikation mit dem Internet und den anderen Geräten läuft über diesen Router. Jedes Gerät, das mit diesem Router verbunden ist, könnte den anderen Geräten vormachen, es sei selbst der Router und in einer so genannten Man-in-the-Middle-Attacke deren Daten überwachen oder verändern. Das Netzwerk der Überwachungskameras, das von Hioureas und Kinsey untersucht wurde, ist komplizierter als so ein Heimnetzwerk, da die Daten über größere Distanzen übertragen werden müssen.

Einfach gesagt, werden die Überwachungsdaten von jeder Kamera über eine Reihe von Knotenpunkten übertragen und kommen schließlich zu einem Zentrum, also zum Beispiel dem Polizeirevier. Der Datenverkehr folgt dem Weg des geringsten Widerstands, bei dem jeder Knoten (oder jede Kamera) die Fähigkeit hat, mit mehreren anderen zu kommunizieren und den einfachsten Weg zum Revier auswählen kann.

Viele polizeiliche #Überwachungskameras bieten laut @Kaspersky-Forschung nur schlechte #Sicherheit
Tweet

Hioureas und Kinsey haben eine Reihe gefälschter Knoten aufgebaut, die vorgaben, eine direkte Kommunikationslinie zum Polizeirevier zu bieten. Da sie alle in dem Netzwerk verwendeten Protokolle kannten, konnten sie einen Man-in-the-Middle-Knoten einrichten, der den Weg des geringsten Widerstands zu bieten schien und die echten Knoten dazu brachte, ihren Datenverkehr über den schädlichen Knoten zu lenken.

Eine Schlussfolgerung aus dieser Attacke ist eine Art Hollywood-Szenario, bei dem Cyberkriminelle das Videobild, das an das Polizeirevier gesendet wird, fälschen und es für die Beamten damit so aussieht, an einem bestimmten Ort wäre ein Eingreifen nötig, um sie vom eigentlichen Verbrechen an einem anderen Ort abzulenken. Von den Gefahren für die Privatsphäre abgesehen, könnten Kriminelle darüber hinaus auch Einzelpersonen verfolgen, indem sie die Bilder der Überwachungskameras abfangen oder sogar an ein falsches Polizeirevier umleiten, so dass die echten Beamten überhaupt keine Bilder mehr empfangen.

Die Forscher haben die Betreiber des im Experiment nachgestellten Netzwerks bereits informiert, die bereits daran arbeiten, die Sicherheitsprobleme zu lösen. Ähnliche Systeme sollten WPA-Verschlüsselung mit starken Passwörtern im ganzen Netzwerk verwenden, zudem sollten Produktaufkleber entfernt werden, so dass die genutzten Geräte schwerer identifiziert werden können, und das Videobild sollte bei der Übertragung an das Polizeirevier verschlüsselt werden.

Die 10 besten Zitate aus Tim Cooks Rede zu Privatsphäre und Sicherheit

Vor Kurzem hielt Apple-CEO Tim Cook bei der Veranstaltung EPIC’s Champions of Freedom eine Rede zu Privatsphäre und Sicherheit. Wir präsentieren die 10 besten Zitate daraus.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Städtische Überwachungskameras sind nicht sicher

1998 in Prag: Die Geschichte einer bahnbrechenden Technologie

5 Dinge, die wir auf dem Kaspersky Cybersecurity Summit gelernt haben

Die 10 besten Zitate aus Tim Cooks Rede zu Privatsphäre und Sicherheit

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie