На прошлой неделе в англоязычной прессе активно обсуждались новости, связанные с Shodan — самой большой поисковой системой по интернету вещей. Дело в том, что недавно сервис запустил новый раздел — отдельный поисковик с опцией сёрфинга по уязвимым и незащищённым камерам слежения. Так что теперь в пару кликов любой пользователь может оказаться на чьей-то марихуановой плантации, в чужом гараже или поминках, начать подглядывать за чужим ребёнком в детской или наблюдать, как вы готовите яичницу у себя на кухне, — бесконечный спектр возможностей для углублённого кибервуайеризма.

Мы перевели основные тезисы материала издания Ars Technica, посвящённого Shodan и проблеме безопасности интернета вещей.

 

Shodan: Тёмная сторона интернета вещей. Изображение № 1.

Камеры безопасности, системы отопления, холодильники, гаражные ворота — всё это подключено к интернету и может быть легко обнаружено извне. 

Shodan придумал швейцарский программист Джон Мэтерли ещё в 2009 году. Изначально сервис был рассчитан на крупные технологические компании вроде Cisco или Juniper, которые с его помощью могли отслеживать, где и как используется их программное обеспечение. Спустя шесть лет Shodan разросся в гигантскую поисковую систему, что-то вроде «теневого Google» для хакеров, исследователей и специалистов по безопасности, направлённую на обнаружение подключённых к интернету уязвимых устройств.

Камеры безопасности, системы отопления, холодильники, гаражные ворота — всё это подключено к интернету и может быть легко обнаружено извне. Масштаб такой сети на самом деле огромный. По оценке специалиста по кибербезопасности Дэна Тентлера, в настоящий момент число только незащищённых камер исчисляется миллионами. И их количество растёт с каждым годом.

Сам Тентлер уже несколько лет исследует проблему взлома и проникновения в системы, документирует уязвимости и регулярно выкладывает в своём твиттере скриншоты с различных устройств. Этим, впрочем, занимается и официальный твиттер Shodan, где есть даже регулярная рубрика «Вещь дня». Сюда попадали, например, панель контроля влажности в финской саунебатарея накопления солнечной энергии где-то в Германиисистема утилизации бытовых отходов в Арабских Эмиратах и станция очистки воды

В своём интервью журналу Vice в 2013 году владелец сервиса Джон Мэтерли рассказывал, что с помощью своей платформы ему как-то даже удалось подключиться к ускорителю заряженных частиц и мегаваттной гидроэлектростанции: «Циклотрон — это оборудование для проведения экспериментов в области теоретической физики, оно очень, очень нестабильно. Были и другие странные вещи вроде крематориев. Вы видите имя человека и получаете доступ к различным параметрам кремирования. Для этого не требуется никакой аутентификации, никаких паролей, вообще ничего. Ещё была огромная мегаваттная гидроэлектростанция во Франции. При этом за ней уже числилась история отказов — город рядом с ней был как-то затоплен из-за ошибки в контроллерах станции».

С новыми функциями доступ к устройствам стал ещё проще — сайт предлагает платную регистрацию, после которой пользователь попадает в каталог из сотен уязвимых веб-камер. Некоторые запрашивают пароль, но большая часть никак не защищена, а многими даже можно удалённо управлять с компьютера.  

 

 

 

 

Технические возможности Shodan лишь

высвечивают масштабы будущих проблем,

когда сеть станет по-настоящему глобальной,

а интернет вещей превратится в абсолютную

цифровую реальность. 

  

 

 

   

Законность работы подобного сервиса вызывает много вопросов. И, видимо, не зря Shodan клеймят «поисковиком по спящим детям» и обвиняют в покушении на личное пространство. 

Уязвимость камер связана с использованием протокола RTSP (потокового протокола реального времени) без должной аутентификации, благодаря чему изображение с этих устройств доступно любому, кто к ним подключится. Shodan ищет подключённые к сети устройства с открытыми портами. Если подключиться к нему можно без аутентификации и он транслирует видео, то программа делает скриншот и сканирует сеть дальше. 

Конечно, законность работы подобного сервиса вызывает много вопросов. И, видимо, не зря Shodan клеймят «поисковиком по спящим детям» и обвиняют в покушении на личное пространство. Но контекст проблемы гораздо шире, чем просто угроза приватности, и касается угрозы интернету вещей в целом. Shodan — это всего лишь поисковый движок, причём далеко не единственный, который работает так же, как Google или Yandex. Технические возможности Shodan лишь высвечивают масштабы будущих проблем, когда сеть станет по-настоящему глобальной, а интернет вещей превратится в абсолютную цифровую реальность.

Об этом в разговоре с Ars Technica говорит и исследователь безопасности Скотт Эрвен: «Чем больше мы будет расширять сеть, тем больше система будет влиять на общественную безопасность и человеческую жизнь: автомобили, медицинские приборы, инфраструктура — здесь последствия отказа контроллера намного страшнее, чем просто подглядывание за чужими детьми через веб-камеру».

По мнению эксперта, нынешняя ситуация с незащищённостью устройств стала следствием сложившихся рыночных механизмов. Сегодня большинство пользователей не задаются вопросом безопасности и конфиденциальности при покупке камер слежения и других устройств, подключаемых к интернету, и, соответственно, не готовы платить за это лишние деньги. Производители также не стремятся повысить осведомлённость покупателей и рассказать им о губительных последствиях такого подхода, ведь это влечёт для них дополнительные затраты. А между тем такая незащищённая «интеллектуальная» электроника уже сегодня используется хакерами в массовой рассылке спама, а в будущем может участвовать в DDoS-атаках. Пока большая часть кибератак направлена на кражу финансовой информации и интеллектуальной собственности, но с ростом масштаба сети нас может ожидать совсем новый вид угрозы — физические атаки. Хакеры смогут взломать и заразить трояном нательные веб-камеры полицейских, отправить автомобиль в кювет или отключить систему уличного движения. В какой-то момент наша зависимость от технологий начет расти быстрее, чем способность обеспечить от них защиту, поэтому к интернету вещей стоит начать относиться серьёзно уже сейчас.