Що не так з безпекою в інтернеті речей: Як Shodan став «пошукачем сплячих дітей»



Відомий пошуковий сервіс Shodan не так давно запустив розділ, що дозволяє користувачам переглянути зображення з уразливих підключених до інтернету веб-камер. За короткий час роботи в кадр вже потрапили плантації конопель, задні двори банків, дитячі спальні, кухні, вітальні, басейни, школи і коледжі, лабораторії, магазини.

Shodan шукає підключені до мережі прилади з відкритими портами. Якщо підключитися до порту можна без пароля і він транслює відео, робот робить скріншот і рухається далі. Крім питань щодо правомірності подібних дій з боку адміністрації Shodan, новий розділ проекту підкреслює сьогоднішній рівень безпеки інтернету речей.

Дослідник з інформаційної безпеки Ден Тентлер в розмові з виданням Ars Technica сказал, що з допомогою Shodan тепер можна побачити «все, про що тільки можна подумати».



Уразливість камер полягає в тому, що вони використовують для передачі відео протокол RTSP (Real Time Streaming Protocol) без належної аутентифікації. В результаті зображення з цих пристроїв доступно кожному, хто до них долучиться.

За оцінками Тентлера, зараз кількість таких незахищених веб-камер обчислюється мільйонами.



За словами ІБ-експерта настільки серйозна ситуація з захищеністю пристроїв стала наслідком сформованої ринкової ситуації. На даний момент користувачі не усвідомлюють важливість захисту купуються ними пристроїв і, відповідно, не готові платити за це додаткові гроші. У свою чергу, виробники не зацікавлені у підвищенні обізнаності користувачів про можливі наслідки такого підходу — це спричинить для них додаткові витрати.

Безпека пристроїв інтернету речей в 2015 році неодноразово опинялася в центрі уваги — дослідники публікували інформацію про те, що відеоняні популярних виробників містять серйозні уразливості, що дозволяють зловмисникам отримувати над ними контроль і розмовляти з дітьми або переглядати відеотрансляцію.

Крім того, широко обговорювався той факт, що багато натільні веб-камери, які носять американські поліцейські, виявилися инфицированы трояном Win32/Conficker.B!inf, який в 2008 році заразив понад 15 млн Windows-комп'ютерів по всьому світу. Крім того, ще в 2013 році експерти Positive Technologies знаходили уразливості в програмному забезпеченні систем відеоспостереження Samsung DVR — помилки дозволяли зловмисникам отримати доступ до внутрішнім сторінкам інтерфейсу управління системою відеоспостереження, переглядати дані облікових записів користувачів системи і отримати повний контроль над нею

Експерти Positive Technologies рекомендують користувачам пам'ятати про те, що механізми безпеки більшості сучасних пристроїв інтернету речей далекі від ідеалу. Тому слід з обережністю підключати їх до мережі, оскільки з високою часткою ймовірності, отримати доступ до переданої і оброблюваної ними інформації зможуть і сторонні.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.