Frigate: Unzählige Sicherheitskameras von Nutzern offen im Netz
von caschy | 4 Kommentare
Wer sich mit dem Thema Smart Home und Videoüberwachung beschäftigt, stolpert vielleicht früher oder später über einen Namen: Frigate. Während viele Hersteller versuchen, euch in teure Abos für die Cloud-Erkennung zu locken, geht Frigate den sympathischen Weg der lokalen Kontrolle.
Frigate ist ein Open-Source NVR (Network Video Recorder), der eure „dummen“ IP-Kameras schlau macht, sodass ihr von überall Zugriff habt. Das Ganze passiert lokal, also ohne dass eure privaten Aufnahmen auf fremden Servern landen. Ihr nutzt es über Docker auf eurem NAS, dem Mini PC und dann geht es direkt los.
Besonders beliebt ist das Tool, weil es sich hervorragend in Home Assistant einbinden lässt. So könnt ihr zum Beispiel das Licht im Garten nur dann einschalten lassen, wenn wirklich ein Mensch erkannt wird. Kurzform also: Frigate ist euer eigenes Sicherheitssystem für daheim.
Jetzt kommt der erhobene Zeigefinger, denn der ist hier extrem wichtig. In den letzten Tagen bin ich über Hunderte von offenen Frigate-Instanzen gestolpert. Wer die Suchmaschine seiner Wahl mit den Worten live und Frigate füttert, findet Unmengen offener Frigate-Installationen auf Port 5000 und bekommt auf Wunsch Einblick in fremde Gärten, Wohnungen, Höfen, dies das eben. Das beschränkt sich dann nicht nur auf die Live-Ansicht, sondern auch auf frühere Streams.
Wohlgemerkt, da kann Frigate nichts dafür, da haben Nutzer etwas falsch konfiguriert oder sich von irgendwelchen Leuten etwas erzählen lassen. Kameras und NVR-Software sind sensible Ziele. Wer sein Frigate-Interface ungeschützt ins Netz stellt, lädt Fremde quasi auf einen virtuellen Rundgang durch sein Zuhause ein. Standardmäßig ist Frigate (auf Port 5000) unverschlüsselt und ohne Passwort erreichbar. Nutzer haben vermutlich für den externen Zugriff die Ports freigeräumt oder verfügen über eine Infrastruktur, die alles zulässt.
Wer deine IP kennt, sieht deine Kameras – und ja, die Adressen werden u. a. von Google und DuckDuckGo indexiert. Das willst du im Internet absolut nicht haben. Natürlich lässt sich das Ganze absichern, zum einen mit Passwörtern, auf der anderen Seite kann man einen Reverse Proxy mit Authentifizierung einrichten – oder eben klassisch ein VPN wie WireGuard oder Tailscale.
Das soll hier kein „Haha, schau mal, wie dumm andere sind!“-Beitrag sein, nur ein lieb gemeinter Hinweis, dass man generell bei eigenen Dingern zu Hause darauf achtet, dass nicht jeder zugreifen kann. Es betrifft ja nicht nur Frigate, die Shoadan-Suche zeigt ja auch unfassbar viel offene Dinge.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
in diesem Kontext sei mir ein Link Share gestattet, wo ich erkläre, wie man WireGuard, Tailscale oder Teleport einrichtet und was sie Vor- und Nachteile der verschiedenen VPN Geschmäcker sind: https://www.selbstausloeser.de/tech/vpn-wireguard-vs-unifi-teleport-vs-tailscale-einrichtung-und-vergleich/
Vielleicht hilft es jemandem, schönen Weihnachtsendspurt.
Nicer Artikel! Als weitere Option möchte ich noch Cloudflare in den Ring werfen. Als Privatnutzer kann man bei denen gratis für bis zu 50 Nutzer Zero-Trust Applikationen bereitstellen, das komplette Frontend wird von Cloudflare gemanaged, inklusive der SSL Zertifikate, zudem muss man am eigenen Router keine eingehenden Ports öffnen. (Disclaimer: das ist nichts für Leute die Cloudflare nicht vertrauen, aber darum soll es hier nicht gehen)
Ganz kurz: Cloudflare Connector als Docker Container zu Hause laufen lassen, Applikation als Zero Trust App einrichten, Route zur App im Connector-Tunnel eintragen, fertig.
Ganz einfaches Beispiel: https://svenvg.com/posts/self-hosting-securely-with-cloudflare-tunnels/
Zugegeben, das ist nichts für absolute Laien, aber das ist hier immerhin ein Techblog :-).
Auch wenn es nicht die Intention des Artikels sein sollte – ich gebe ganz offen zu, dass immer wenn ich sowas in der Art lese, ich tatsächlich als Erstes denke „Wie blöd kann man sein…“ 🙂
Gleichzeitig beschleicht mich auch immer eine gewisse Schadenfreude. Wenn das Auto oder die Waschmaschine kaputt ist, dann akzeptieren die meisten Leute ohne Weiteres, dass das etwas ist, wo sich jemand drum kümmern muss, der sich damit auskennt. Und der dann halt auch dafür bezahlt werden will. Bei Computerzeugs hingegen hat sich schon seit vielen Jahren aus mir völlig unverständlichen Gründen in der Bevölkerung die Meinung durchgesetzt, dass das im Grunde jeder kann und man dafür keine speziellen Kenntnisse bräuchte. Und da kommt dann eben sowas wie das hier bei raus, oder auch alles mögliche andere.
Bei Leuten, die online in irgendeiner Form abgezockt werden, bin ich ebenfalls sicher, dass es bei mindestens 9 von 10 eigene Schuld ist…
Der größte Vorteil und aus meiner Sicht gleichzeitig die stärkste Schubkraft bei der Entwicklung von (Heim)Computern in den letzten 40 Jahren ist gleichzeitig ihre größte Schwäche: Man kann alles selber machen, man darf alles selbst machen, muss sich aber auch ganz alleine um die Qualitätssicherung kümmern. Seit den 80ern vermitteln Zeitschriften, Medien und später das Internet, wie einfach es ist, am PC alles alleine zu erledigen. Kein Meistertitel wie bei Strom, Gas oder Wasser ist nötig – schließlich kann physisch wenig kaputtgehen, und kein Leben ist in Gefahr. Standards und Normen sind für Laien oft nur so weit relevant, dass „es funktioniert“. Ein Bewusstsein für Datensicherheit und -schutz wäre zwar sinnvoll, aber nee, mache ich irgendwann, es geht ja auch ohne. Und wer beschäftigt sich in seiner Freizeit schon ernsthaft mit IT-Security? 0,1%? Dazu kommt die Consumer-IT-Industrie: Alles soll möglichst einfach sein, damit es sich verkauft, bloß keine Vorschriften für den Kunden, sonst kauft er bei der Konkurrenz. Hand in Hand geht das mit der „Wertschätzung“ für IT-Berufe. Autoservice: Werkstatt, Heizungswartung: der Meisterbetrieb, PV-Anlage anschließen: Elektrofirma. Und wer ruft den Computerservice um die Sicherheit des Heimnetzes zu checken? Eher niemand. Schadenfreude habe ich nicht, wenn jemand einen privaten Sicherheitsvorfall hat. Ich finde es eher schade, dass es so wenig Bewusstsein für das ganze Thema gibt.
Andererseits wären wir sicher heute nicht (im positiven Sinne) mit privater Computernutzung da wo wir jetzt sind, wenn irgendwann die Pflicht etabliert worden wäre, Firewallregeln von einem Meisterbetrieb einrichten zu lassen.