Статьи

Shodan — контроль над электростанцией

shodan logoПоисковая машина Shodan, созданная программистом Джоном Мазерли, которая ищет не веб-страницы, а устройства, подключенные к сети — от радионянь до инженерных систем, многие из которых запрограммированы на ответ.

Shodan находит автомобили, кардиомониторы, системы кондиционирования и освещения в офисных зданиях, установки для очистки сточных вод, системы управления электростанциями, светофоры и глюкометры.
Запрос на поиск радионянь показывает, что более 40000 людей используют IP-камеры и могут оказаться легкой добычей для хакеров.

Shodan уже использовали для обнаружения видеокамер наблюдения со слабой системой защиты: достаточно набрать их IP-адрес в браузере, чтобы получить возможность подглядывать за тем, что происходит в домах у людей, в офисах полиции, в операционных больниц, в детских садах и даже у наркодилеров.

Дэн Тентлер, специалист по вопросам безопасности, консультировавший Twitter, создал программу под названием Eagleeye, которая обнаруживает камеры со слабой защитой при помощи Shodan, подключается к ним и делает скриншоты.

После обнаружения «дыр» в программном обеспечении управления зданиями специалист по безопасности Cylance Билли Риос, используя Shodan и еще одну программу, нашел офисы банков, жилые дома и даже штаб-квартиру Google в Австралии, чьи системы безопасности, освещения и кондиционирования мог легко взять под контроль хакер извне. «Прямо сейчас вы можете найти в интернете около 2000 зданий и получить контроль над ними, достаточно лишь угадать или узнать их IP-адрес», — рассказывает Риос. Ранее в этом году Министерство национальной безопасности США сообщило, что хакеры уже воспользовались слабой защитой и в 2012 году взломали системы управления отоплением в одном из «правительственных учреждений», сделав температуру там «необычайно теплой».

В отраслевом отчете производителя электроники Ericsson говорится, что к 2020 году примерно 50 млрд устройств будут иметь подключение к сети и вместе они образуют «интернет для устройств» (Internet of Things). «Я не думаю, что моя система вызывает страх, — говорит Мазерли. — Куда страшнее то, что электростанции подключены к интернету».

Поисковик использует freemium-модель. Бесплатный поисковый запрос выдаст вам только 10 результатов. Около 10 000 пользователей выкладывают до $20 за один запрос, показывающий 10 000 результатов. Десятки корпоративных пользователей — это фирмы, занимающиеся компьютерной безопасностью, — платят каждый год пятизначную сумму за доступ ко всей базе данных Мазерли, куда занесено 1,5 миллиарда устройств, подключенных к сети.

Все устройства, которые подключаются к сети, должны быть защищены паролями, но большинство людей забывают об этом, используют слишком простые пароли или пару логин — пароль по умолчанию. В прошлом году анонимный пользователь взял под свой контроль более 400 000 подключенных к интернету устройств, использовав для этого всего лишь четыре пароля по умолчанию. «Все говорят о высококлассных эксплойтах и кибервойнах, — написал этот хакер. — Но четыре простых и глупых пароля для Telnet могут дать вам доступ к сотням тысяч потребителей и к десяткам тысяч промышленных устройств по всему миру».

Мазерли надеется, что создание Shodan обеспечит большую прозрачность и общественное порицание тех компаний, которые продают уязвимые системы, но при этом он не испытывает особого оптимизма. «Хотим мы этого или нет, но все оказывается в интернете», — говорит Мазерли.

Подробнее о поисковой системе Shodan http://www.shodanhq.com/