Что не так с безопасностью в Интернете Вещей: Как Shodan стал «поисковиком спящих детей»



    Знаменитый поисковый сервис Shodan не так давно запустил раздел, позволяющий пользователям просматривать изображения с уязвимых подключенных к интернету веб-камер. За короткое время работы в кадр уже попали плантации конопли, задние дворы банков, детские спальни, кухни, гостиные, бассейны, школы и колледжи, лаборатории, магазины.

    Shodan ищет подключенные к сети устройства с открытыми портами. Если подключиться к порту можно без пароля и он транслирует видео, то робот делает скриншот и двигается дальше. Помимо вопросов о правомерности подобных действий со стороны администрации Shodan, новый раздел проекта подчеркивает сегодняшний уровень безопасности Интернета Вещей.

    Исследователь информационной безопасности Дэн Тентлер в разговоре с изданием Ars Technica сказал, что с помощью Shodan теперь можно увидеть «все, о чем только можно подумать».



    Уязвимость камер заключается в том, что они используют для передачи видео протокол RTSP (Real Time Streaming Protocol) без надлежащей аутентификации. В итоге изображение с этих устройств доступно любому, кто к ним подключится.

    По оценкам Тентлера, в настоящий момент число таких незащищенных веб-камер исчисляется миллионами.



    По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.

    Безопасность устройств Интернета Вещей в 2015 году неоднократно оказывалась в центре внимания — исследователи публиковали информацию о том, что видеоняни популярных производителей содержат серьезные уязвимости, позволяющие злоумышленникам получать над ними контроль и разговаривать с детьми или просматривать видеотрансляцию.

    Кроме того, широко обсуждался тот факт, что многие нательные веб-камеры, которые носят американские полицейские, оказались инфицированы трояном Win32/Conficker.B!inf, который в 2008 году заразил более 15 млн Windows-компьютеров по всему миру. Кроме того, еще в 2013 году эксперты Positive Technologies находили уязвимости в программном обеспечении систем видеонаблюдения Samsung DVR — ошибки позволяли злоумышленникам получить доступ к внутренним страницам интерфейса управления системой видеонаблюдения, просматривать данные учетных записей пользователей системы и получить над ней полный контроль

    Эксперты Positive Technologies рекомендуют пользователям помнить о том, что механизмы безопасности большинства современных устройств Интернета Вещей далеки от идеала. Поэтому следует с осторожностью подключать их к сети, поскольку с высокой долей вероятности, получить доступ к передаваемой и обрабатываемой ими информации смогут и посторонние.
    Positive Technologies
    171,02
    Компания
    Поделиться публикацией

    Комментарии 14

      +1
      Ключевое (жирный цвет — мой):
      По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.

      Распечатать и в рамочку…

      Мне кажется в 90% случаев так… :((
        +21
        Я лично, когда работал в W3C, много раз пытался поднять эту тему. Производители IoT делают шокирующие вещи. Они вполне способны в одной и той же презе написать на одном слайде «всё железо сейчас дешёвое, поэтому мы можем впихнуть полноценный комьпютер во что угодно», а на другом — «в силу фигового железа мы не можем сделать нормальные секьюрные протоколы, поэтому считаем нормальным передачу нешифрованного сигнала и аутентификацию по принципу ‘доверенная сеть’».

        Увы, всем пофигу.
          0
          Безопасность появляется в тот момент, когда устройство начинает использоваться людьми высокой квалификации.

          Как показывает опыт, вся «безопасность» современных криптостойких соединений — фиговый листок, который в лучшем случае прикроет вас от любознательного соседа (и то, если тот — не хакер с опытом работы в каком-нибудь АНБ).

          Все мы, как мне кажется, в первую очередь защищены «принципом неуловимого джо».
            +10
            Безопасность — это всего лишь отношение цены атаки к полученному профиту. Если для взлома нужен хакер с опытом работы в АНБ и ботнет — то это очень неплохая безопасность.

            Сейчас стоимость атаки === 0. Даже делать ничего не надо, всё уже сделано за нас тем же Shodan-ом. И это в первую очередь вина производителя, который вообще ничего не делает для того, чтобы этот цена стала ненулевой.

            Я бы даже сказал, что проблема не в жадности — всё-таки маржа на умных девайсах сейчас приличная, от внедрения https чай не разорятся — а просто в тупости. В индустрию приходят люди, которые вообще не понимают, что такое безопасность, и не считают нужным нанять специалиста (да-да, вот того хакера с опытом работы в АНБ) для разработки своих продуктов.
              +6
              Я, в общем и целом, с вами согласен. Кроме одного нюанса. И выскажу я сейчас, возможно, не самую популярную точку зрения, но всё же надеюсь на понимание.

              Если вы не закрыли жалюзи на окнах в вашей квартире, то подсматривающий, конечно, нарушает вашу приватность, но… вы же не будете всерьез обвинять фирму-производителя жалюзей за то, что не обеспечила достаточную безопасность, так ведь? Но почему-то когда речь заходит о камерах наблюдения, то в их небезопасности виноваты производители.

              Почему так?

              Всякий раз, когда речь заходит о высокотехнологичном устройстве, пользователь представляется в роли этакого недееспособного идиотика, который слишком глуп, чтобы защитить себя и который ставит Эту Умную Штуку в своей спальне в надежде, что на адрес 123.45.67.89, ведущий прямиком в его постель, заглянет только он сам и его мама. То есть человек:
              1. Либо не прочитал инструкцию к прибору, где всё написано черным по белому (надеюсь, таковая инструкция была приложена, если нет — то виновата действительно компания-производитель),
              2. либо просто наплевал на то, кто может его увидеть сквозь «незашторенное окно». А то, что вуайерист не в соседней высотке, а на другом конце шарика — ничего страшного, какая разница.

              Я считаю, что если вы ставите камеру в свой дом, то вы должны сами быть ответственными за security. Это жестоко, но справедливо. А производитель должен по умолчанию настраивать наиболее удобный режим трансляции. Чтобы человек, который ставит камеру на улице в своем дворе, и которому вообще наплевать, кто его двор увидит, мог просто поставить ее и включить.

              Я не закончил выше свою мысль и меня, очевидно, не поняли. Разумеется, взлом имеет цену и в данном случае эта цена по неприятности оказалась равной 0. Но главная причина небезопасности — в повальной безграмотности населения. Я в свое время слышал от одного профессионального сисадмина, что если бы хотя бы 30% населения умели настраивать брендмауэр на роутере (и помогла с настройкам своим близким и знакомым), то такого понятия, как «ботнет» просто не существовало бы.

              Здесь то же самое, я считаю.
                +4
                На эту тему я высказался сто лет назад: habrahabr.ru/post/102627

                Предпринимаемые меры безопасности должны быть адекватны цене ошибки. Мост без перил — хреновая затея.
                  +1
                  В этом — согласен. Но тут же не «мост без перил». Тут — «замок от честного человека». Это — немного другое, всё же.
                    +5
                    Не вижу разницы. Незапароленная веб-камера гораздо опаснее незапароленного роутера. В частности, работа домушников существенно упрощается — сразу видно, что в доме есть, где лежит, когда хозяева приходят-уходят и так далее. Простор для шантажа тоже немаленький.
          –11
            +1
            Без проплаченного аккаунта не оценить.
              +4
              www.shodan.io/search?query=port%3A554+has_screenshot%3Atrue

              Можно добавить в строку поиска country:ru или city:Moscow, чтобы искать по стране или городу. Некоторые камеры открываются в VLC (по url: rtsp://ip) с логином и паролем типа admin или user.
              +4
              Сложно сгенерировать пароль и распечатать его на стикере перед упаковкой товара?
              И сделать кнопочку reset (утопленную в корпус), которая будет сбрасывать пароль, открывать админку, которая первым делом будет — та-да! — генерировать новый пароль.
              2 простых действия. Этим можно будет отсечь 90% таких историй.
                +2
                HP вот с доступом к системе упралвения серверами iLO уже делает так лет 10, если не больше. У каждого сервера тэг с паролем имеется, рандомно сгенерированным.
                0
                с помощью Shodan теперь можно увидеть «все, о чем только можно подумать».
                Музыкой навеяло

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое