Kamera-Tricks: Datenschutzbedenken nach massivem Verstoß gegen Überwachungskameras

Cyber Security News

Im Bild: eine Überwachungskamera der Dome-Serie von Verkada. (Verkada).

Ein Hackerkollektiv kompromittierte etwa 150.000 mit dem Internet verbundene Überwachungskameras von Verkada, Inc. und gewährte ihnen Zugriff auf Live- und archivierte Video-Feeds in mehreren Organisationen, darunter Produktionsstätten, Krankenhäuser, Schulen, Polizeidienststellen und Gefängnisse.

Die Hacktivistin Tillie Kottmann gehört Berichten zufolge zu denjenigen, die die Verantwortung für den Vorfall übernehmen und sagte gegenüber Bloomberg, dass ihre Tat dazu beigetragen hat, die Sicherheitslücken der modernen Überwachungsplattformen aufzudecken. Diese Behauptung ist schwer zu bestreiten – und nun äußern sich Experten zu den potenziellen Folgen, die auf eine Organisation zukommen können, wenn Sicherheitsfilmmaterial durchgesickert oder in die falschen Hände geraten ist.

“Heute sind weltweit mehr als 1 Milliarde Überwachungskameras im Einsatz, und bei vielen von ihnen wird die Sicherheit vernachlässigt, was zu Spionage und unrechtmäßiger Überwachung ahnungsloser Opfer führt”, so Sam Curry, Chief Security Officer bei Cybereason.

Nach Ansicht der Vordenker könnte die Kompromittierung von Videodaten zum Diebstahl von geistigem Eigentum, zur Bedrohung der physischen Sicherheit, zur Verletzung der Privatsphäre, zu Erpressung und möglicherweise zu behördlichen Strafen führen. Erschwerend kommt hinzu, dass die Kameras Gesichtserkennungstechnologie verwenden, was die Frage aufwirft, ob ein Angreifer die von der Kamera erfassten Personen tatsächlich identifizieren und sie dann als Ziel für Social-Engineering-Programme oder etwas noch Ruchloseres verfolgen könnte.

Wenn Überwachung zu Spionage führt

Gestohlenes Videomaterial von Verkada, das von Bloomberg eingesehen wurde, enthielt Bilder, die angeblich Arbeiter an einem Fließband in einem Tesla-Lager in Shanghai zeigten. Telsa erklärte jedoch später gegenüber Reuters, dass das Video tatsächlich von der Produktionsstätte eines Zulieferers in der Provinz Henan stamme und dass die Fabrik und die Ausstellungsräume in Shanghai nicht betroffen seien.

Dennoch sagte Kottmann, dass sie Zugang zu 222 Kameras hatten, die in Tesla-Fabriken und -Lagern installiert waren. Und Unternehmen wie das Web-Performance-Unternehmen Cloudflare und der Anbieter von Identitäts- und Zugriffsmanagement Okta verwendeten Berichten zufolge ebenfalls Verkada-Kameras in ihren jeweiligen Arbeitsumgebungen.

Solche Enthüllungen lassen die Frage aufkommen, ob ein heimtückischerer Akteur einen ähnlichen Hack durchführen könnte, um Industriespionage zu betreiben, indem er Entwicklungs- und Produktionsaktivitäten ausspioniert. Oder vielleicht könnte er die Bewegungen von Arbeitern, Management und Sicherheitspersonal vor Ort überwachen, um zu einem späteren Zeitpunkt einen physischen Einbruch durchzuführen.

“Wenn sich ein Angreifer Zugang zu Überwachungskameras verschafft, kann die Menge an Wissen, die er erlangen kann, enorm sein und stellt eine sehr reale Bedrohung für die physische Sicherheit dar”, so James Smith, Principal Security Consultant und Leiter der Penetrationstests bei Bridewell Consulting. “Die Möglichkeiten für einen Kriminellen sind immens, wenn er in der Lage ist, Schichtmuster von Mitarbeitern, Öffnungs- und Schließzeiten und regelmäßige Lieferungen von hochwertigen Waren zu studieren.”

“Es wäre möglich, bei detaillierter Betrachtung der Videos Elemente der betrieblichen Sicherheit zu kompromittieren”, stimmt Mike Hamilton, Mitbegründer und Chief Information Security Officer von CI Security und ehemaliger CISO von Seattle, zu. “Zum Beispiel: Passwörter, die getippt oder gepostet werden, bestimmte Bewegungen oder Befehle, mit denen Kontrollsysteme aktiviert werden, um Türen zu öffnen oder zu entriegeln, usw.”

Auch die Verhaltensmuster und Gewohnheiten einzelner Mitarbeiter könnten untersucht werden – zu deren Nachteil.

“Selbst wenn das Filmmaterial nicht in großem Umfang veröffentlicht wird, ist die Gesichtserkennungstechnologie weit genug fortgeschritten, um bestimmte Personen innerhalb des erhaltenen Filmmaterials zu identifizieren, was zu einer ganzen Reihe von Problemen für diese Personen führen kann”, so Smith weiter.

Denken Sie zum Beispiel an ein durchgesickertes Video, das Bloomberg gesehen hat, in dem acht Krankenhausmitarbeiter des floridianischen Krankenhauses Halifax Health einen Mann anzugreifen und ihn an ein Bett zu fesseln schienen. Oder ein anderes Video, in dem Polizeibeamte aus Massachusetts einen in Handschellen gefesselten Mann in Gewahrsam verhören. Kottmann soll sogar einige der Videos auf Twitter gepostet haben, die später das Konto des Hackers und die beleidigenden Tweets gelöscht haben.

Episoden wie diese bringen erhebliche Auswirkungen auf die Privatsphäre mit sich, da sensible Aufnahmen von Gefangenen oder Patienten in einem Krankenhaus oder einer psychiatrischen Einrichtung verwendet werden könnten, um Personen in Verlegenheit zu bringen und schließlich zu erpressen.

Es ist schwer, das Ausmaß des Schadens für die Privatsphäre zu überschätzen, der von einem Hack dieses Ausmaßes ausgehen kann”, sagte John Davisson, Senior Counsel beim Electronic Privacy Information Center, oder EPIC. “Es ist zutiefst invasiv für jeden, der gefilmt wird.”

Beim Betrachten dieser Videos können Angreifer beginnen, Metadaten über die Verhaltenspräferenzen einer Person zu sammeln – Informationen, die laut Setu Kulkarni, Vice President of Strategy bei WhiteHat Security, für gezielte Phishing-Kampagnen verwendet werden könnten. “Sie könnten diese Metadaten nutzen, um ein Bild des sozialen und physischen Umfelds einer Person zu konstruieren – genug, um Sicherheitsfragen zu beantworten, um die Kontrolle über die Online-Konten von Personen zu erlangen”, so Kulkarni weiter. Was mir am meisten Angst macht, ist, dass die Gegner mit diesen Daten und ihrer Analyse nicht nur Cyberkriminalität begehen könnten, sondern auch physische Verbrechen wie Plünderungen oder Entführungen.”

In der Tat: “Es ist leicht vorstellbar, wie dieses Filmmaterial genutzt werden könnte, um zumindest Rückschlüsse auf die persönliche Gesundheit einer Person zu ziehen”, so Jeff Costlow, CISO von ExtraHop. “Man muss auch in Betracht ziehen, ob diese Kameras so positioniert waren, dass sie möglicherweise Informationen auf einer Krankenakte oder sogar Ausweisinformationen eines Krankenhausmitarbeiters aufgenommen haben. Diese Art von Informationen können für Dinge wie Identitätsdiebstahl extrem wertvoll sein.”

Kulkarni schlug sogar vor, dass das Filmmaterial ausreichen könnte, um “Deep-Fakes zu entwickeln, die sich als Sie ausgeben könnten.”

Costlow stimmte zu und fügte hinzu: “Deepfakes werden immer häufiger. Könnte dieses Filmmaterial manipuliert werden, um es so aussehen zu lassen, als wäre jemand in einer Einrichtung gewesen, obwohl er es nicht hätte sein sollen? Oder es könnte der Anschein erweckt werden, dass die Person einen Gesundheitszustand hat? Sie können sich den Reputationsschaden vorstellen, der durch so etwas verursacht werden könnte.”

Einige Experten spekulierten, dass bei dem Vorfall gegen bestimmte Datenschutzgesetze und -vorschriften verstoßen worden sein könnte. “Die Chancen stehen gut, dass hier mehr als eines verletzt wurde”, sagte Davisson.

“Ich würde sagen, dass Sie über staatliche Datenschutzgesetze, staatliche und bundesstaatliche Gesetze gegen unfaire und betrügerische Handelspraktiken sprechen, [and] potenziell HIPAA-Haftung für Gesundheitseinrichtungen, die sich auf ein System verlassen, das unzureichende Sicherheitsprotokolle verwendet”, so Davisson weiter. “Wenn ich ein Staatsanwalt oder ein Verbraucherschutzbeamter auf Landes- oder Bundesebene wäre, würde ich sicherlich einen sehr genauen Blick auf das werfen, was hier passiert ist, und ich würde denken, dass es zu Klagen und Durchsetzungsverfahren kommen muss.”

“Erwarten Sie viele Audits, viele zusätzliche Untersuchungen und wahrscheinlich nachgelagerte Bußgelder”, sagte Steve Moore, Chief Security Strategist bei Exabeam.

Natürlich könnte die mögliche Androhung von Bußgeldern den Angreifern eine weitere Möglichkeit eröffnen, unrechtmäßige Gewinne zu machen.

“Mit der zunehmenden Verbreitung von Datenschutzgesetzen auf staatlicher Ebene – und den damit verbundenen gigantischen Bußgeldern – könnte es häufiger vorkommen, dass peinliche Videos gestohlen und zur Erpressung des Opfers für einen Betrag verwendet werden, der geringer ist als eine Geldstrafe”, so Hamilton. “Diese Datenschutzgesetze konzentrieren sich hauptsächlich auf das Tracking im Internet, aber Video könnte ebenfalls in den Anwendungsbereich fallen.”

Schwachstellen

In einem Update seiner offiziellen Erklärung am Mittwoch bestätigte das in San Mateo, Kalifornien, ansässige Unternehmen Verkada, dass sich die Angreifer zwischen dem 7. und 9. März illegalen Zugriff über “einen Jenkins-Server verschafft haben, der von unserem Support-Team verwendet wird, um Massenwartungsarbeiten an Kundenkameras durchzuführen, wie z. B. die Anpassung von Kamerabildeinstellungen auf Kundenwunsch.”

Über diesen Server erlangten die Angreifer “Anmeldedaten, die es ihnen ermöglichten, unser Autorisierungssystem zu umgehen”, so die Erklärung weiter.

Berichten zufolge gab es mehrere Schwachstellen, die es dem als APT 69420 Arson Cats bekannten Hackerkollektiv ermöglichten, das Filmmaterial zu kapern. Experten sagen, dass Unternehmen diese Erkenntnisse nutzen sollten, um ihre eigenen internen Sicherheitsrichtlinien und ihre Überwachungskamera-Einrichtungen zu verbessern.

Zunächst einmal erlangten die Hacker über einen kompromittierten “Super Admin”-Account, dessen Anmeldedaten laut Kottmann öffentlich im Internet gefunden wurden, Zugang zu einer so großen Anzahl von Verkada-Kameranetzwerken. Vordenker raten, die Verwendung dieser skelettschlüsselähnlichen Konten zu reduzieren oder zu eliminieren.

“Super-Admin-Konten oder Konten der obersten Ebene sollten im Zugriff auf diejenigen beschränkt werden, die sie explizit benötigen”, so Smith.

“Was hat Verkada falsch gemacht? Sie hatten angeblich nicht die Kontrolle über das eine Konto, das sie brauchten”, sagte Patrick Hunter, Director of Sales Engineering, EMEA, bei One Identity. “Der größte Fehler war, dass sie die Macht eines einzigen Kontos unterschätzt haben, das ihnen den Zugriff auf die Daten aller Mitarbeiter ermöglichte. Zumindest hätte es eine Form von Multi-Faktor-Authentifizierung oder einen Passwort-Tresor geben müssen, um die [server] Konto zu schützen. Jedes Mal, wenn ein Administrator darauf zugreift, müsste er beweisen, dass er derjenige ist, der er vorgibt zu sein, was eine einfache, billige und effektive erste Verteidigungslinie ist.”

“Oder, noch besser, bieten Sie den Admins einfach eine Sitzung an, die sie nutzen können, ohne jemals ein Passwort zu kennen”, so Hunter weiter. “Das macht es schwieriger zu hacken, da niemand das Passwort kennt und es in einem tief gesicherten Tresor verschlüsselt wird.”

“Gemäß den besten Sicherheitspraktiken hätten sie zusätzliche Schutzschichten einbauen sollen, indem sie die Privilegien der Admins segmentieren, um Situationen wie diese zu vermeiden”, fügte Costlow hinzu. “Niemand möchte einen Einbruch erleiden, aber im Falle eines Einbruchs möchte man sicherlich nicht [want to] einen vollständigen, ungehinderten Zugriff zu erhalten. Indem man die Kontrollen aufbricht, ist man in der Lage, eine viel widerstandsfähigere Sicherheitspraxis aufzubauen.”

Ein weiteres Problem war die Fähigkeit der Hacker, auf einigen Kameras Root-Zugriff zu erlangen, wodurch sie ihren eigenen Code und Befehle auf den Geräten ausführen konnten. Laut Bloomberg war dafür kein zusätzliches Hacken erforderlich, da der Root-Zugriff bereits eingebaut war.

Aber es ist kein Feature, sagte Costlow. “Es ist ein Fehler. Und einer, der sofort vom Lieferanten der Kameras behoben werden sollte. Es gilt wieder die Funktionstrennung und das Prinzip des geringsten Zugriffs. Es gibt keinen Grund, warum diese Funktionalität für allgemeine Benutzer des Produkts existieren sollte, insbesondere ohne eine Art von erhöhten Anmeldedaten oder Multi-Faktor-Authentifizierung. Es ist die beste Praxis, wegen genau dieses Risikos für jedes Gerät einen anderen Satz von Anmeldeinformationen zu verwenden.”

“Dies ist ein Designfehler”, stimmte Kulkarni zu. “Es ist wahrscheinlich, dass die [role-based access control] Frameworks für Softwaresysteme einfacher zu entwerfen und zu implementieren ist, aber wenn es um OT/IoT-Geräte geht, werden falsche Annahmen darüber getroffen, wie auf die Geräte zugegriffen wird und wie begrenzt der Zugriff auf diese Geräte ist. Diese Geräte sollten als integraler Bestandteil des Softwaresystems betrachtet werden und den gleichen Designprinzipien unterliegen, die man bei sicherer Software hat.”

“Schauen Sie sich das Mac-Betriebssystem an. Man kann den Root-Zugriff aktivieren, aber man muss durch eine Menge Sicherheitsschleifen springen, nur um ihn zu aktivieren”, bemerkte Terry Dunlap, CSO und Mitbegründer von ReFirm Labs.

Drittens hatten die Hacker Zugriff sowohl auf Live- als auch auf archivierte Kameraaufzeichnungen. Experten merkten an, dass sensibles archiviertes Filmmaterial nach einer gewissen Zeit abgesondert und separat gespeichert oder ganz gelöscht werden kann.

“Mehrere Anbieter von Sicherheitskameras speichern Filmmaterial in der Cloud. Je nach Anbieter und Dienst kann der Endbenutzer festlegen, dass sie nach einer bestimmten Zeit gelöscht werden. Alle sensiblen Daten sollten nur so lange gespeichert werden, wie es erforderlich ist und in Übereinstimmung mit etwaigen Datenschutzrichtlinien”, so Smith.

“Langfristige Datenspeicherung ist oft eher eine Belastung als ein Vorteil”, fügte Costlow hinzu. “Ich mache mir auch Sorgen über die rechtlichen Implikationen der Sache. Wenn ein Kunde von Verkada verlangt, dass alle seine Daten gelöscht werden, kann Verkada dem aufgrund des Verstoßes wahrscheinlich nicht mehr nachkommen. Da die Daten nun kompromittiert wurden, wird es wahrscheinlich unmöglich sein, sicherzustellen, dass keine weiteren Kopien existieren. Unter Gesetzen wie GDPR und CCPA hat dies massive Auswirkungen für Verkada.”

Letztendlich stellt das IoT weiterhin Sicherheitsherausforderungen für Unternehmen dar, und wie hier deutlich gezeigt wurde, sind Sicherheitskameras keine Ausnahme.

Aus diesem Grund glaubt Davisson von EPIC, dass der beste Schutz gegen diese Art von Vorfällen darin besteht, überhaupt keine IoT-Überwachungskameras zu verwenden. Natürlich ist dies für einige Institutionen nicht praktikabel. In diesen Fällen empfiehlt Davisson, die Datenerfassung zu minimieren, die Gesichtserkennung zu vermeiden, “die einfach eine zutiefst fehlerhafte und problematische Technologie ist”, und die Daten nur so lange zu speichern, “wie es für den Zweck, für den sie erfasst wurden, absolut notwendig ist”.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com