Камера в квартире Петербурга, светофор на улице в Сиэттле и роутер в Австралии — к чему можно подключиться при помощи несложного поисковика.
Вы, наверное, слышали фразу "интернет вещей" — этим странным словосочетанием обозначают любое устройство, имеющее выход в Сеть. Не только ноутбуки или смартфоны, но и чайники, автомобили, кофеварки и даже парковочные системы. Выход Интернета из привычного компьютера в плюс-минус любую бытовую вещь — тенденция сподручная: можно включить чайник, выезжая с работы, и запустить со смартфона стиральную машину. Но есть проблема: к вашей кофеварке и IP-камере могут подключиться ещё сотни тысяч человек, которым для этого не понадобится даже начальное техническое образование. Достаточно знать лишь два слова: Shodan или Censys.
Найдётся всё
[Spoiler (click to open)]
Это две поисковые системы, что-то вроде знакомого вам Google и Yandex, но ищут они не сайты, а подключённые к Интернету девайсы. Shodan, названный в честь главной злодейки из игры System Shock, подаёт сигналы на порты устройств, те отвечают, и поисковик "видит", какого типа механизмы стоят перед ним. Грубо говоря, Shodan может определить не только подключённый к Интернету принтер, но и его местоположение, и примерный уровень защиты, и есть ли веб-интерфейс, с которым можно взаимодействовать. Представьте себе всемирную карту, где подсвечены работающие с Сетью вещи, — вы можете их поискать даже в своём городе.
Shodan создал IT-специалист Джон Мэзерли ещё семь лет назад — но по-настоящему сервис стал известен после ряда диких случаев. В начале 2016-го разгорелся скандал: какой-то мужчина подключался к чужой видеоняне и пугал по ночам ребёнка, разговаривая с ним страшным голосом. Злоумышленник мог разными способами получить доступ к девайсу, но, скорее всего, воспользовался упомянутым поисковиком.
Специалисты отмечают, что при помощи Shodan можно творить и более жуткие вещи: в частности, была возможность "залезть" в управление атомной электростанции или расписание поездов — и удалённо вносить изменения.
Другой поисковик, Censys, работает по схожему принципу — он тоже опрашивает интернет-устройства, но задача сервиса другая: искать уязвимости. Censys придумали в стенах Мичиганского университета, а аппаратная часть предоставлена Google. Польза от поисковика уже есть — недавно выяснилось, что ноутбуки фирмы Dell не обладают надёжным шифрованием и можно путём ряда манипуляций перехватить у них веб-трафик, включая, например, пароли. Censys чем-то напоминает предостерегающие фильмы про мошенников: он одновременно и закрывает брешь в защите, и тиражирует информацию, как эту брешь найти.
Но важно понимать, что сами поисковики ничего не взламывают — они лишь, как почтальоны, ходят по подъездам и домам, нажимая на дверной звонок. Другой вопрос, что двери иногда бывают открыты настежь — и никто не увидит, если туда зайти.
Власть машин
Штука в том, что Shodan находит не только местоположение и тип устройства, но и позволяет "постучать" в администраторскую панель. Рассмотрим всем известный пример — управление роутером. Все хоть раз заходили в "админку" своего D-Link или другого разносчика Интернета. Вспомните, что нужно сделать, чтобы туда попасть? Впрочем, мы сейчас угадаем: ввести логин (admin) и пароль (admin), верно? Если так, то поздравляем, вы на крючке: роутер можно без проблем отыскать в Shodan, применить вот эту связку, и всё — внутри вашего устройства копается чужой человек, и совершенно непонятно, что он будет делать. Может, ничего не тронет, а может — и это самое безболезненное — собьёт вам настройки. И будет сбивать и дальше, пока не придумаете нормальный пароль.
Но самое страшное для бытового пользователя — это проникновение в IP-камеру. Как писало издание The Verge в 2014 году, Shodan "засёк" более 70 тысяч камер с обычным, встроенным паролем — и неизвестно, сколько ещё людей поставили в графу Password очевидный набор вроде "qwerty" и "12345". Весь этот гигантский массив чужой, но открытой жизни всего в паре кликов от вас. Вам даже не нужно ничего вбивать, потому что заботливые пользователи распределили незащищённые камеры по тегам. Достаточно щёлкнуть по такой подборке, и вам выпадет более ста объективов, снимающих чьи-то дома, дворы, улицы, гаражи, магазины и даже спальни. России это тоже касается — если в вашем рабочем кабинете где-нибудь под потолком висит такая штуковина, уточните у техотдела, ставил ли он пароли. Если нет, то не исключено, что, пока вы это читаете, за вашим затылком наблюдает несколько десятков человек.
А теперь примеры. Вот что нам удалось найти всего за час-полтора — за то время, что вы потратите на новую серию "Мира дикого Запада", мы увидели:
Чей-то двор частного дома — видимо, хозяин поставил камеру, надеясь следить за машиной. А чтобы добавить к охране ещё сотню-другую любопытных глаз, оставил стандартный пароль "admin".
А это подсобка небольшого магазина в Кемерове — сейчас там никого нет, но иногда заходят рабочие и спят на диванчике.
Парикмахерская. Пожилого мужчину в прямом эфире стрижёт женщина, за этим наблюдает мастер и ещё много-много человек. Что странно, никто не реагирует на камеру, бешено вращающуюся где-то в углу.
Очень сложно сказать, что здесь происходит: судя по всему, это рабочее место вот этого мужчины в кадре, увлечённо тыкающего в телефон. Обычно за соседним столом сидит молодая женщина, но сейчас она куда-то вышла.
Мы целенаправленно игнорировали объективы внутри домов и квартир, но, поверьте, найти их — совсем не проблема. В России пока не принято обставлять периметр жилья IP-камерами, но в США каждая третья ссылка ведёт в чью-то спальню или детскую. Когда о Shodan узнала широкая публика, на англоязычных веб-форумах вроде Reddit и 4chan появились целые списки незащищённых камер. А ещё скриншотов с трансляций — конечно же, почти полностью изображающих обнажённых жильцов.
Что важно, злоумышленник может не только поглазеть на чужую жизнь — но и полноценно туда вмешаться. Если камера обладает PTZ-функциями, ею можно удалённо управлять и увеличивать зум — в настройках даже разрешается включить уведомление на почту, когда перед объективом что-то начнёт двигаться. Если в камере есть разъём под микрофон, то где-то на другом конце планеты могут не только услышать, что происходит дома, но и крикнуть в ответ — наверное, это последнее, что хотелось бы от устройства, призванного защитить вашу жизнь, не правда ли? Вдвойне страшно представить, кто и зачем будет следить за камерами, установленными в детских комнатах. Вы хотели обезопасить ребёнка, приглядывая за ним на работе — а на деле подключили к просмотру ещё с десяток вуайеристов, превратив собственный дом в круглосуточное реалити-шоу.
Впрочем, "под колпаком" может быть не только частная жизнь, но и, например, корпоративные секреты. Как рассказал Лайфу специалист IT-отдела одной крупной сети продуктового ретейлера, незащищённые устройства — это проблема.
В нашей сети предусмотрена очень строгая система доступа во внутреннюю структуру. Например, нельзя попасть через привычную связку логин-пароль, а только через ключи шифрования. С этим строго. Но когда ставят на новый объект оборудование, сотрудники иногда оставляют дефолтную систему защиты — тот самый обычный пароль. Мы такие пробелы находим и ликвидируем, потому что это серьёзная брешь в защите и Shodan — один из способов в эту брешь пробраться
Cпециалист IT-отдела крупной сети продуктового ретейлера
Конечно, Shodan — это не угроза всему миру, не средство для кибертерроризма и даже друг для начинающих хакеров. Несмотря на то что с его помощью можно, например, собрать армию ботов для DDoS-атаки, поисковик в таких целях использовать бессмысленно: у настоящих взломщиков есть более быстрые и эффективные решения. По тем же причинам Shodan слабо подходит для полноценного интернет-шпионажа — с таким же успехом профессиональный фотограф может променять дорогую зеркалку на камеру в смартфоне.
Но и Shodan, и Censys — это хорошее напоминание: мы живём в век внезапно наступившего господства технологий, и к этому большинство населения оказалось не готово. Людям всё ещё тяжело понять, что всю их подноготную можно вытащить наружу, приложив минимум усилий. В последнем сезоне "Чёрного зеркала" была серия про интернет-шантаж: подросток мастурбировал перед ноутбуком, его засняли через веб-камеру и заставили делать неприятные вещи. Увы, это давно никакое не мрачное будущее, а полноценное настоящее — технологии помогают нам жить шире и активнее, но они же могут и отправить на тот свет; как огонь несколько тысячелетий назад. И если вы не хотите проснуться ранним утром и обнаружить себя в главной роли в Watch_Dogs 2, то будьте осторожны — хотя бы в отношении устройств, способных транслировать вас по всему миру. Как рассказал наш источник, достаточно придерживаться простейших правил:
В первую очередь, конечно, нужно сменить пароль и логин, не оставляя оригинальные. Ни в коем случае не ставить легко угадываемые пароли: "qwerty", первые буквы алфавита, простые числа и так далее. Что касается роутера, то можно отключить у него возможность удалённого подключения, тогда не получится взять контроль со стороны — правда, тогда будет нельзя настроить роутер, например, на работе.
В итоге, чтобы защитить частную жизнь от вмешательства любопытных глаз, нужно всего лишь не лениться. Конечно, если против вас начнут целенаправленно "копать", то никакой пароль не спасёт: Марк Цукерберг не зря заклеивает веб-камеру на своём ноутбуке. Но простым гражданам достаточно понять, что вход в их личное интернет-пространство должен быть заперт настолько же надёжно, как и в квартиру.
источник