Знаменитый поисковый сервис Shodan не так давно запустил раздел, позволяющий пользователям просматривать изображения с уязвимых подключенных к интернету веб-камер. За короткое время работы в кадр уже попали плантации конопли, задние дворы банков, детские спальни, кухни, гостиные, бассейны, школы и колледжи, лаборатории, магазины.

Shodan ищет подключенные к сети устройства с открытыми портами. Если подключиться к порту можно без пароля и он транслирует видео, то робот делает скриншот и двигается дальше. Помимо вопросов о правомерности подобных действий со стороны администрации Shodan, новый раздел проекта подчеркивает сегодняшний уровень безопасности Интернета Вещей.

Исследователь информационной безопасности Дэн Тентлер в разговоре с изданием Ars Technica сказал, что с помощью Shodan теперь можно увидеть «все, о чем только можно подумать».



Уязвимость камер заключается в том, что они используют для передачи видео протокол RTSP (Real Time Streaming Protocol) без надлежащей аутентификации. В итоге изображение с этих устройств доступно любому, кто к ним подключится.

По оценкам Тентлера, в настоящий момент число таких незащищенных веб-камер исчисляется миллионами.



По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.

Безопасность устройств Интернета Вещей в 2015 году неоднократно оказывалась в центре внимания — исследователи публиковали информацию о том, что видеоняни популярных производителей содержат серьезные уязвимости, позволяющие злоумышленникам получать над ними контроль и разговаривать с детьми или просматривать видеотрансляцию.

Кроме того, широко обсуждался тот факт, что многие нательные веб-камеры, которые носят американские полицейские, оказались инфицированы трояном Win32/Conficker.B!inf, который в 2008 году заразил более 15 млн Windows-компьютеров по всему миру. Кроме того, еще в 2013 году эксперты Positive Technologies находили уязвимости в программном обеспечении систем видеонаблюдения Samsung DVR — ошибки позволяли злоумышленникам получить доступ к внутренним страницам интерфейса управления системой видеонаблюдения, просматривать данные учетных записей пользователей системы и получить над ней полный контроль

Эксперты Positive Technologies рекомендуют пользователям помнить о том, что механизмы безопасности большинства современных устройств Интернета Вещей далеки от идеала. Поэтому следует с осторожностью подключать их к сети, поскольку с высокой долей вероятности, получить доступ к передаваемой и обрабатываемой ими информации смогут и посторонние.

Комментарии (14)


  1. PavelMSTU
    25.01.2016 18:00
    +1

    Ключевое (жирный цвет — мой):

    По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.

    Распечатать и в рамочку…

    Мне кажется в 90% случаев так… :((


  1. forgotten
    25.01.2016 18:08
    +21

    Я лично, когда работал в W3C, много раз пытался поднять эту тему. Производители IoT делают шокирующие вещи. Они вполне способны в одной и той же презе написать на одном слайде «всё железо сейчас дешёвое, поэтому мы можем впихнуть полноценный комьпютер во что угодно», а на другом — «в силу фигового железа мы не можем сделать нормальные секьюрные протоколы, поэтому считаем нормальным передачу нешифрованного сигнала и аутентификацию по принципу ‘доверенная сеть’».

    Увы, всем пофигу.


    1. bigfatbrowncat
      25.01.2016 18:35

      Безопасность появляется в тот момент, когда устройство начинает использоваться людьми высокой квалификации.

      Как показывает опыт, вся «безопасность» современных криптостойких соединений — фиговый листок, который в лучшем случае прикроет вас от любознательного соседа (и то, если тот — не хакер с опытом работы в каком-нибудь АНБ).

      Все мы, как мне кажется, в первую очередь защищены «принципом неуловимого джо».


      1. forgotten
        25.01.2016 18:59
        +10

        Безопасность — это всего лишь отношение цены атаки к полученному профиту. Если для взлома нужен хакер с опытом работы в АНБ и ботнет — то это очень неплохая безопасность.

        Сейчас стоимость атаки === 0. Даже делать ничего не надо, всё уже сделано за нас тем же Shodan-ом. И это в первую очередь вина производителя, который вообще ничего не делает для того, чтобы этот цена стала ненулевой.

        Я бы даже сказал, что проблема не в жадности — всё-таки маржа на умных девайсах сейчас приличная, от внедрения https чай не разорятся — а просто в тупости. В индустрию приходят люди, которые вообще не понимают, что такое безопасность, и не считают нужным нанять специалиста (да-да, вот того хакера с опытом работы в АНБ) для разработки своих продуктов.


        1. bigfatbrowncat
          25.01.2016 19:53
          +6

          Я, в общем и целом, с вами согласен. Кроме одного нюанса. И выскажу я сейчас, возможно, не самую популярную точку зрения, но всё же надеюсь на понимание.

          Если вы не закрыли жалюзи на окнах в вашей квартире, то подсматривающий, конечно, нарушает вашу приватность, но… вы же не будете всерьез обвинять фирму-производителя жалюзей за то, что не обеспечила достаточную безопасность, так ведь? Но почему-то когда речь заходит о камерах наблюдения, то в их небезопасности виноваты производители.

          Почему так?

          Всякий раз, когда речь заходит о высокотехнологичном устройстве, пользователь представляется в роли этакого недееспособного идиотика, который слишком глуп, чтобы защитить себя и который ставит Эту Умную Штуку в своей спальне в надежде, что на адрес 123.45.67.89, ведущий прямиком в его постель, заглянет только он сам и его мама. То есть человек:
          1. Либо не прочитал инструкцию к прибору, где всё написано черным по белому (надеюсь, таковая инструкция была приложена, если нет — то виновата действительно компания-производитель),
          2. либо просто наплевал на то, кто может его увидеть сквозь «незашторенное окно». А то, что вуайерист не в соседней высотке, а на другом конце шарика — ничего страшного, какая разница.

          Я считаю, что если вы ставите камеру в свой дом, то вы должны сами быть ответственными за security. Это жестоко, но справедливо. А производитель должен по умолчанию настраивать наиболее удобный режим трансляции. Чтобы человек, который ставит камеру на улице в своем дворе, и которому вообще наплевать, кто его двор увидит, мог просто поставить ее и включить.

          Я не закончил выше свою мысль и меня, очевидно, не поняли. Разумеется, взлом имеет цену и в данном случае эта цена по неприятности оказалась равной 0. Но главная причина небезопасности — в повальной безграмотности населения. Я в свое время слышал от одного профессионального сисадмина, что если бы хотя бы 30% населения умели настраивать брендмауэр на роутере (и помогла с настройкам своим близким и знакомым), то такого понятия, как «ботнет» просто не существовало бы.

          Здесь то же самое, я считаю.


          1. forgotten
            25.01.2016 19:56
            +4

            На эту тему я высказался сто лет назад: habrahabr.ru/post/102627

            Предпринимаемые меры безопасности должны быть адекватны цене ошибки. Мост без перил — хреновая затея.


            1. bigfatbrowncat
              25.01.2016 20:01
              +1

              В этом — согласен. Но тут же не «мост без перил». Тут — «замок от честного человека». Это — немного другое, всё же.


              1. forgotten
                25.01.2016 20:04
                +5

                Не вижу разницы. Незапароленная веб-камера гораздо опаснее незапароленного роутера. В частности, работа домушников существенно упрощается — сразу видно, что в доме есть, где лежит, когда хозяева приходят-уходят и так далее. Простор для шантажа тоже немаленький.


  1. Mithgol
    25.01.2016 18:43
    -11


  1. ivan386
    25.01.2016 20:20
    +1

    Без проплаченного аккаунта не оценить.


    1. stepik777
      25.01.2016 21:16
      +4

      www.shodan.io/search?query=port%3A554+has_screenshot%3Atrue

      Можно добавить в строку поиска country:ru или city:Moscow, чтобы искать по стране или городу. Некоторые камеры открываются в VLC (по url: rtsp://ip) с логином и паролем типа admin или user.


  1. Areso
    25.01.2016 20:23
    +4

    Сложно сгенерировать пароль и распечатать его на стикере перед упаковкой товара?
    И сделать кнопочку reset (утопленную в корпус), которая будет сбрасывать пароль, открывать админку, которая первым делом будет — та-да! — генерировать новый пароль.
    2 простых действия. Этим можно будет отсечь 90% таких историй.


    1. blind_oracle
      25.01.2016 22:49
      +2

      HP вот с доступом к системе упралвения серверами iLO уже делает так лет 10, если не больше. У каждого сервера тэг с паролем имеется, рандомно сгенерированным.


  1. Wesha
    25.01.2016 23:35

    с помощью Shodan теперь можно увидеть «все, о чем только можно подумать».
    Музыкой навеяло