Ist Shodan wirklich die gefährlichste Suchmaschine der Welt?

Mittlerweile assoziieren die Leute das Internet wahrscheinlich mehr mit Zeitverschwendung als -ersparnis. Wir werden immer fauler: Wir können das Internet mit Garagentüren vernetzten, die Temperatur an Kühlschränken regulieren, Wireless-Router zu vorprogrammierten Zeiten abschalten und sowieso so ziemlich alles im Haushalt mit einer [Handy-App](http://www.electronichouse.com/article/32iphoneappstocontrolyourhome/ kontrollieren). Alle diese Erfindungen brauchen das Internet, um zu funktionieren und Shodan—eine privat entwickelte Suchmaschine—ist damit beschäftigt, sie ausfindig zu machen. Die Software durchkämmt das Internet auf angeschlossene Geräte. Neben Kühlschränken und Wireless-Routern hat sie die Control Panels von Energie- und Utility-Systemen gefunden, anfällige wissenschaftliche Ausrüstung, Krematorien und sogar eine Dammvorrichtung in Frankreich. Bedeutet also, dass jemand mit dem richtigen kriminellen Know-How diese Geräte finden, auf sie zugreifen und eine ganze Stadt lahm legen oder überfluten könnte, oder mit einem Mausklick ein Kraftwerk zusammenbrechen lassen könnte. Die Hintertür zu Geräten, die mit dem Internet verbunden sind, zu finden, ist keine neue Sache. Vor nicht allzu langer Zeit hat ein Typ namens Adrian Hayter stolz der Welt eine Website präsentiert, über die man auf Überwachungskamera-Aufnahmen zugreifen konnte. Aber die Entdeckungen von Shodan haben potentiell gefährlichere Konsequenzen als nur Datenschutzverstöße. Also habe ich mich mit John Matherly getroffen, dem Erfinder der Suchmaschine, um über die möglichen Auswirkungen seiner Software zu reden.

John Matherly.

VICE: Hi John. Wann hast du angefangen, an Shodan zu arbeiten?
John Matherly: Ich habe mit einer Dell-Maschine für 100 Pfund (ca. 120 Euro) in meiner Freizeit angefangen und es lief langsam über drei Jahre weiter. Ganz am Anfang habe ich 10.000, 100.000 Suchergebnisse im Monat hinzugefügt und jetzt bin ich bei mehreren Hundert Millionen pro Monat. Die Geschwindigkeit, mit der ich das Internet durchsuchen kann, hat sich extrem beschleunigt. Wow, das ist eine Menge. Was ist der Zweck von Shodan?
Na ja, am Ende wurde es etwas anders genutzt, als ich mir das ursprünglich vorgestellt hatte. Ich habe Shodan für Firmen geschrieben, die verfolgen wollen, wie ihre eigene Software benutzt wird. Was dann passiert ist, ist, dass Sicherheitsexperten es benutzt haben, um diese Softwares und die ganzen Geräte zu finden. OK.
IT-Forscher haben schon lange Schwachstellenanalysen für Kraftwerke und diese ganzen Systeme gemacht, aber vor Shodan hatten sie keine echten empirischen Daten, um sagen zu können: „Das ist eine wirkliche Gefahr“. Am Ende haben sie Shodan benutzt, um eine empirische Basis für ihre Argumente zu schaffen—um zu beweisen, wo es möglich ist, in Software-Systeme von zum Beispiel Kraftwerken oder einem Damm einzusteigen. Funktioniert Shodan so ähnlich wie Google?
Es ist ähnlich, ja. Google durchsucht URLs—ich mache das gar nicht. Das Einzige, was ich mache, ist, dass ich zufällig eine IP-Adresse von allen, die existieren, egal ob online oder nicht, aussuche und versuche, sie mit verschiedenen Ports zu verbinden. Es ist wahrscheinlich nicht Teil des sichtbaren Internets in dem Sinne, dass du einfach einen Browser benutzen kannst. Es ist nicht etwas, was Leute so einfach finden können, weil es nicht so wie eine Website sichtbar ist.

Kontrollen eines Krematoriums, auf das man von seinem eigenen Rechner zugreifen kann. 

Also, was für Geräte, auf die du Zugriff hast, sind mit dem Internet verbunden? Gab es irgendwas, das du so nicht erwartet hattest?
Na ja, der Zyklotron—ein Partikelbeschleuniger—war einer davon. Das ist wissenschaftliche Ausstattung aus der theoretischen Physik und es hätte niemals online sein dürfen. Dann sind da noch alle diese komischen Sachen, zum Beispiel Krematorien. Die sind echt gruselig. Du siehst, wie der Name eines Patienten auftaucht und es gibt verschiedene Einstellungen—zum Beispiel eine für Kleinkinder. Du brauchst keine Authentifizierung, kein Passwort, nichts.

Ja, das ist gruselig. Aber auch irgendwie auf morbide Weise faszinierend. Gibt es irgendwas anderes?
Überwachungskameras sind sehr beliebt, einfach, weil normale Leute das auch verstehen. Die Leute mögen es, irgendein Büro zu finden und da einen Blick hinzuwerfen. Da war auch ein riesiger Megawatt-Hydroelektro-Damm, der in Frankreich entdeckt wurde und online war. Interessanterweise hatte der Damm schon oft Ausfälle. Die Stadt in der Nähe wurde überschwemmt, weil der Damm ausgefallen ist. Sollten so Sachen wie Kraftwerke nicht bessere Sicherheitssysteme haben?
Einer der Gründe für diese Probleme ist, dass sie Geld sparen wollen. Das Internet gab es noch nicht einmal, als viele dieser Werke gebaut wurden. Also haben sie einfach einen Adapter gekauft, um ihr System ans Internet anzuschließen und Geld gespart, anstatt es richtig installieren zu lassen. Natürlich haben sie dabei nicht an Sicherheit gedacht und jetzt müssen sie mit den Konsequenzen umgehen. Und du hast gesagt, dass man für viele Sachen nicht mal Passwörter braucht?
Ja, das stimmt. Und selbst die Geräte, bei denen man eine Authentifizierung braucht, benutzen meistens voreingestellte Daten, also geht man einfach auf Shodan und sucht das voreingestellte Passwort und kann sich dann ganz einfach einloggen.

Kontrollen eines Kläranlage, auf die man ebenfalls aus den eigenen vier Wänden aus zugreifen kann. 

Also ist heute alles mit dem Internet verbunden, richtig?
Dieses Jahr ist angeblich das Jahr des „Internets der Dinge“. Soll heißen, die meisten Geräte kommen schon mit Internetverbindungsfähigkeit. Aber die Leute realisieren nicht, dass es Sicherheitsauswirkungen hat, wenn sie ihre Webcams anschließen, um ihr Baby von der Arbeit aus zu sehen oder diese ganzen Sachen auf ihren Handys machen. Nur weil du dich nicht auf Google finden kannst, heißt das nicht, dass du nicht such- und findbar bist. Was ist dein Anliegen?
Es gibt verschiedene Niveaus von Sicherheitsproblemen. Die Webcams sind wahrscheinlich nur eine minimale Bedrohung, aber natürlich beeinflussen sie den Datenschutz. Kleine Geräte selbst stellen technisch gesehen keine nationalen Sicherheitsprobleme dar. Aber ich glaube, dass sie ein großes Problem werden können, wenn du vielleicht hunderttausend davon kompromittieren kannst. Denn wenn du die Kontrolle über so viele Geräte in einem Land hast, dann kannst du wirklich viel Schaden anrichten. Es wird also definitiv kritischer, wenn du größere Mengen an Geräten hast. Überrascht es dich, dass noch nichts Schlimmes passiert ist?
Ich glaube, die Leute unterschätzen das technische Wissen, das du brauchst, um vom Entdecken zu einer erfolgreichen Ausbeutung dieses Wissens überzugehen. Und die zweite Sache ist, dass du nicht weißt, wie lange das System tatsächlich beeinflusst wurde. Du könntest diese Systeme kompromittieren, etwas Inaktives reinsetzen und wann immer du es für einen strategischen Zweck benutzen willst, wieder darauf zugreifen. Also könnte womöglich schon ein Virus in einem wichtigen Utility-System schlummern?
Ja, das könnte durchaus sein. Ich meine, man braucht schon einiges an Domain-Wissen—du kannst nicht mit 16 ein Kraftwerk übernehmen, so einfach ist das nicht. Du wärst vielleicht in der Lage, es mit Shodan zu finden, aber von dann dazu zu kommen, deinen eigenen Code zu installieren, benötigt schon einiges an Wissen über das Gerät selbst, besonders bei größeren Dingen, wie Kraftwerken. Also, was hindert einen abgebrühten Kriminellen daran, Shodan zu benutzen?
Die Leute, die wissen, was sie tun und etwas Illegales machen wollen, werden Shodan nicht benutzen, weil sie nicht wollen, dass man ihre Taten verfolgen kann. Shodan ist kein anonymer Service. Wenn du Shodan benutzt und mehr als 50 Ergebnisse haben willst—und 50 sind nicht viel—musst du mir deine persönlichen Daten geben. Wenn Leute etwas wirklich Illegales machen wollen, werden sie Botnets benutzen, um für sie die Informationen zu sammeln. Danke, John!