Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.
Das zumindest dachte ich, wurde heute jedoch (mal wieder) eines Besseren belehrt.
Im Rahmen eines IT-Security-Kurses führte ich wieder einmal die Suchmaschine shodan.io vor, die schon in den Medien von sich reden gemacht hat.
Hierzu gehört natürlich auch die gezielte Suche nach verschiedenen Geräten um die aktuelle Sicherheitslage, die digitale Sorglosigkeit und viele weitere Möglichkeiten zu demonstrieren. Allem voran natürlich die gezielte Suche nach frei zugänglichen Webcams.
Jeder ITler, der in seinem Leben schon einmal Netzwerke konfiguriert hat, kennt die von ihm benötigten Ports. Wer diese nicht kennt, weiß zumindest im Handbuch seiner Geräte nachzusehen um festzustellen, dass Webcams zumeist auf Port 554 zu finden sind und dort ungeschützt streamen. Deshalb gestattet der Profi seiner Webcam auch nicht die Konfiguration seiner Firewall via UPNP. Dies sei nur erwähnt um hier eine potentielle Sicherheitslücke zu nennen.
Wie an dem Screenshot zu sehen ist, wurde dabei ein in Deutschland ansässiges Lokal gefunden, dass seine Raumüberwachung munter frei ins Netz streamte.
Die Webcam konnte auch sofort und ohne Probleme, also für die Teilnehmer des Kurses live zu beobachten, mit dem kostenlos erhältlichen VLC Player geöffnet und gesehen werden.
Der Betreiber des Lokals verstößt hier gleich gegen mehrere rechtliche Regelungen, denn seine Kamera filmt öffentlichen Wegegrund, was ebenso unzulässig ist, wie das Veröffentlichen im Internet. Durch die Veröffentlichung riskiert dieser Betreiber Bußgelder, da er gegen die Rechte der Kunden und der Mitarbeiter/innen verstößt.
Da das präsentierte Suchergebnis auch schon einige Tage alt war, ist es nun auch kein Geheimnis, dass dieses Problem bereits länger besteht.
Also entschloss ich mich, in dem Wissen, dass das Posting durch den Betreiber auch sofort gelöscht werden kann, auf Facebook die Frage zu posten ob seine Kunden wissen, dass seine Kamera das Lokal live und ungeschützt ins Netz streamt. Natürlich hängte ich einen Screenshot seiner aktuellen Ausstrahlung an.
Doch dieser Zeitgenosse ist ein wunderbares Beispiel für Überheblichkeit und Arroganz. Ein unerfahrener Profi hätte höflich gefragt wo die Sicherheitslücke zu finden ist. Ein erfahrener Profi hätte sie schnell gefunden und sich für den Hinweis bedankt.
Dieser jedoch beweist, dass es keiner professionalität bedarf um sich Admin nennen zu dürfen.
In aller Deutlichkeit! Ich habe ihn lediglich auf sein Problem hingewiesen. Ohne jede Werbung, ohne jedes Angebot. Also auch kein Hinweis auf etwaige kostenpflichtige Dienstleistungen.
Diese wurde dann mit der abgebildeten, netten Nachricht von diesem kommentiert.
So hat er sich nun um die Chance gebracht zu erfahren wo das technische Problem zu suchen ist, sein psychologisches kann ich ihm ohnehin nicht erklären.
Bleibt noch die Frage zu klären ob er das Profilbild überhaupt verweden darf. Es könnte eine Copyrightverletzung des Unternehmens sein, dass diesen Biomüll im Logo führt. (Angebissenes Obst kommt bei mir in den Biomüll und nicht auf den Schreibtisch)
Was aber möchte ich mit diesen Beitrag aussagen?
Ein guter ITler ärgert sich nicht über Mängel in der Sicherheit, besonders dann nicht, wenn sie ohne Schaden auffallen. Er freut sich über wertvolle Hinweise, behebt die Lücke und lernt für die Zukunft. Das natürlich auch dann, wenn sein System tatsächlich erfolgreich angegriffen wurde und der Angreifer ihm dann noch die Mängel verrät.
Doch was hätte dem Unternehmen wirklich passieren können, wäre ich, wie unterstellt, auf Geschäftsschädigung aus gewesen.
Ein Unternehmen riskiert damit erhebliche Bußgelder. Schon die Videoaufzeichnung des öffentlichen Wegegrunds ist ein Verstoß. Daneben das Aufzeichnen und zudem noch Veröffentlichen der Kunden und der Angestellten. Dabei drohen unter Umständen nicht nur Bußgelder sondern auch Schadensersatzforderungen.
Das hier im Bild (geschwärzt) auch Kennzeichen vorbeifahrender KFZ zu sehen sind, lasse ich dabei bewusst unbewertet.
Die evtl. Verfahrenskosten, insbesondere von Unterlassungsklagen brauchen wir auch nicht erwähnen. Viel schwieriger wird das Problem für das Unternehmen, wenn diese Streams irgendwo im Internet verbreitet und die Geschädigten dann dessen Entfernung aus dem Netz einklagen.
Der bei dieser Sache aufgefallene Verstoß gegen die Impressumspflicht auf seiner Facebookseite verschwindet da im Hintergrund.
Es ist wohl klar, dass zum Ziel der Geschäftsschädigung hier keine Information von mir an den Betreiber sondern direkt an das Ordnungsamt und ähliche Einrichtungen gegangen wäre.
Einmal mit Profis arbeiten :-)
