Знаменитый поисковый сервис Shodan не так давно запустил раздел, позволяющий пользователям просматривать изображения с уязвимых подключенных к интернету веб-камер. За короткое время работы в кадр уже попали плантации конопли, задние дворы банков, детские спальни, кухни, гостиные, бассейны, школы и колледжи, лаборатории, магазины.
Shodan ищет подключенные к сети устройства с открытыми портами. Если подключиться к порту можно без пароля и он транслирует видео, то робот делает скриншот и двигается дальше. Помимо вопросов о правомерности подобных действий со стороны администрации Shodan, новый раздел проекта подчеркивает сегодняшний уровень безопасности Интернета Вещей.
Исследователь информационной безопасности Дэн Тентлер в разговоре с изданием Ars Technica сказал, что с помощью Shodan теперь можно увидеть «все, о чем только можно подумать».
Уязвимость камер заключается в том, что они используют для передачи видео протокол RTSP (Real Time Streaming Protocol) без надлежащей аутентификации. В итоге изображение с этих устройств доступно любому, кто к ним подключится.
По оценкам Тентлера, в настоящий момент число таких незащищенных веб-камер исчисляется миллионами.
По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.
Безопасность устройств Интернета Вещей в 2015 году неоднократно оказывалась в центре внимания — исследователи публиковали информацию о том, что видеоняни популярных производителей содержат серьезные уязвимости, позволяющие злоумышленникам получать над ними контроль и разговаривать с детьми или просматривать видеотрансляцию.
Кроме того, широко обсуждался тот факт, что многие нательные веб-камеры, которые носят американские полицейские, оказались инфицированы трояном Win32/Conficker.B!inf, который в 2008 году заразил более 15 млн Windows-компьютеров по всему миру. Кроме того, еще в 2013 году эксперты Positive Technologies находили уязвимости в программном обеспечении систем видеонаблюдения Samsung DVR — ошибки позволяли злоумышленникам получить доступ к внутренним страницам интерфейса управления системой видеонаблюдения, просматривать данные учетных записей пользователей системы и получить над ней полный контроль
Эксперты Positive Technologies рекомендуют пользователям помнить о том, что механизмы безопасности большинства современных устройств Интернета Вещей далеки от идеала. Поэтому следует с осторожностью подключать их к сети, поскольку с высокой долей вероятности, получить доступ к передаваемой и обрабатываемой ими информации смогут и посторонние.
Комментарии (14)
forgotten
25.01.2016 18:08+21Я лично, когда работал в W3C, много раз пытался поднять эту тему. Производители IoT делают шокирующие вещи. Они вполне способны в одной и той же презе написать на одном слайде «всё железо сейчас дешёвое, поэтому мы можем впихнуть полноценный комьпютер во что угодно», а на другом — «в силу фигового железа мы не можем сделать нормальные секьюрные протоколы, поэтому считаем нормальным передачу нешифрованного сигнала и аутентификацию по принципу ‘доверенная сеть’».
Увы, всем пофигу.
bigfatbrowncat
25.01.2016 18:35Безопасность появляется в тот момент, когда устройство начинает использоваться людьми высокой квалификации.
Как показывает опыт, вся «безопасность» современных криптостойких соединений — фиговый листок, который в лучшем случае прикроет вас от любознательного соседа (и то, если тот — не хакер с опытом работы в каком-нибудь АНБ).
Все мы, как мне кажется, в первую очередь защищены «принципом неуловимого джо».forgotten
25.01.2016 18:59+10Безопасность — это всего лишь отношение цены атаки к полученному профиту. Если для взлома нужен хакер с опытом работы в АНБ и ботнет — то это очень неплохая безопасность.
Сейчас стоимость атаки === 0. Даже делать ничего не надо, всё уже сделано за нас тем же Shodan-ом. И это в первую очередь вина производителя, который вообще ничего не делает для того, чтобы этот цена стала ненулевой.
Я бы даже сказал, что проблема не в жадности — всё-таки маржа на умных девайсах сейчас приличная, от внедрения https чай не разорятся — а просто в тупости. В индустрию приходят люди, которые вообще не понимают, что такое безопасность, и не считают нужным нанять специалиста (да-да, вот того хакера с опытом работы в АНБ) для разработки своих продуктов.bigfatbrowncat
25.01.2016 19:53+6Я, в общем и целом, с вами согласен. Кроме одного нюанса. И выскажу я сейчас, возможно, не самую популярную точку зрения, но всё же надеюсь на понимание.
Если вы не закрыли жалюзи на окнах в вашей квартире, то подсматривающий, конечно, нарушает вашу приватность, но… вы же не будете всерьез обвинять фирму-производителя жалюзей за то, что не обеспечила достаточную безопасность, так ведь? Но почему-то когда речь заходит о камерах наблюдения, то в их небезопасности виноваты производители.
Почему так?
Всякий раз, когда речь заходит о высокотехнологичном устройстве, пользователь представляется в роли этакого недееспособного идиотика, который слишком глуп, чтобы защитить себя и который ставит Эту Умную Штуку в своей спальне в надежде, что на адрес 123.45.67.89, ведущий прямиком в его постель, заглянет только он сам и его мама. То есть человек:
1. Либо не прочитал инструкцию к прибору, где всё написано черным по белому (надеюсь, таковая инструкция была приложена, если нет — то виновата действительно компания-производитель),
2. либо просто наплевал на то, кто может его увидеть сквозь «незашторенное окно». А то, что вуайерист не в соседней высотке, а на другом конце шарика — ничего страшного, какая разница.
Я считаю, что если вы ставите камеру в свой дом, то вы должны сами быть ответственными за security. Это жестоко, но справедливо. А производитель должен по умолчанию настраивать наиболее удобный режим трансляции. Чтобы человек, который ставит камеру на улице в своем дворе, и которому вообще наплевать, кто его двор увидит, мог просто поставить ее и включить.
Я не закончил выше свою мысль и меня, очевидно, не поняли. Разумеется, взлом имеет цену и в данном случае эта цена по неприятности оказалась равной 0. Но главная причина небезопасности — в повальной безграмотности населения. Я в свое время слышал от одного профессионального сисадмина, что если бы хотя бы 30% населения умели настраивать брендмауэр на роутере (и помогла с настройкам своим близким и знакомым), то такого понятия, как «ботнет» просто не существовало бы.
Здесь то же самое, я считаю.forgotten
25.01.2016 19:56+4На эту тему я высказался сто лет назад: habrahabr.ru/post/102627
Предпринимаемые меры безопасности должны быть адекватны цене ошибки. Мост без перил — хреновая затея.bigfatbrowncat
25.01.2016 20:01+1В этом — согласен. Но тут же не «мост без перил». Тут — «замок от честного человека». Это — немного другое, всё же.
forgotten
25.01.2016 20:04+5Не вижу разницы. Незапароленная веб-камера гораздо опаснее незапароленного роутера. В частности, работа домушников существенно упрощается — сразу видно, что в доме есть, где лежит, когда хозяева приходят-уходят и так далее. Простор для шантажа тоже немаленький.
Mithgol
25.01.2016 18:43-11Смотрел https://t.co/tTLo34dEzu Столь малый уровень защищённости видеокамер от просмотра я раньше только в сериале #PersonOfInterest видел.
— Mithgol (@FidonetRunes) 25 января 2016От ситуации https://t.co/863c280k8p должны волосы дыбом стать на голове, должны рождаться мысли о заговоре спецслужб, искусственных разумов.
— Mithgol (@FidonetRunes) 25 января 2016
ivan386
25.01.2016 20:20+1Без проплаченного аккаунта не оценить.
stepik777
25.01.2016 21:16+4www.shodan.io/search?query=port%3A554+has_screenshot%3Atrue
Можно добавить в строку поиска country:ru или city:Moscow, чтобы искать по стране или городу. Некоторые камеры открываются в VLC (по url: rtsp://ip) с логином и паролем типа admin или user.
Areso
25.01.2016 20:23+4Сложно сгенерировать пароль и распечатать его на стикере перед упаковкой товара?
И сделать кнопочку reset (утопленную в корпус), которая будет сбрасывать пароль, открывать админку, которая первым делом будет — та-да! — генерировать новый пароль.
2 простых действия. Этим можно будет отсечь 90% таких историй.blind_oracle
25.01.2016 22:49+2HP вот с доступом к системе упралвения серверами iLO уже делает так лет 10, если не больше. У каждого сервера тэг с паролем имеется, рандомно сгенерированным.
Wesha
25.01.2016 23:35
PavelMSTU
Ключевое (жирный цвет — мой):
Распечатать и в рамочку…
Мне кажется в 90% случаев так… :((