В августе неизвестный устроил кошмарный сюрприз на 34-летие Марка Гилберта. После завершения празднования житель Хьюстона услышал незнакомый голос, доносившийся из комнаты его дочери. Человек обращался к его двухлетней дочери: «Эй ты, просыпайся, маленькая потаскушка». Гилберт бросился в комнату и обнаружил, что голос исходит из детского монитора, а злоумышленник может управлять и камерой на нем. Гилберт без промедления выдернул монитор из розетки, но хакер успел напоследок обозвать его придурком.
Этот монитор, произведенной фирмой Foscam из китайского Шеньженя позволяет пользователям наблюдать за звуками и видеоизображением из любой точки света. За несколько месяцев до этого специалисты по безопасности обнаружили уязвимости в программном обеспечении продукта, которые позволяли злоумышленникам перехватывать удаленно управление монитором или подключаться к потоку данных, если ввести в качестве логина слово «admin». Foscam, не привлекая лишнего внимания, выпустила обновление, но не сообщила об этом своим пользователям. Когда Гилберт проверил свою учетную запись в системе Foscam, то обнаружил, что хакер добавил собственное имя входа «Root» - и может заходить в систему, когда ему заблагорассудится. Теперь Гилберт готовит коллективный иск против компании Foscam. Он смог найти других истцов посредством поисковой системы Shodan – вероятно, тем же самым поисковиком, который использовал тот извращенец, чтобы отыскать его самого.
Shodan просматривает Интернет в поисках устройств, многие из которых запрограммированы дать отклик. Он обнаруживает автомобили, приборы контроля сердцебиения плода, системы обогрева в офисных зданиях, устройства водоочистки, системы управления на электростанциях, светофоры и приборы для измерения уровня сахара в крови. Поиск по той же модели детского монитора, что и у Гилбертов, выдал более 40 000 людей, использующих IP-камеру на нем. Жутко, что все они могут стать легкой добычей для хакеров.
«Google просматривает веб-сайты. Я просматриваю устройства», - говорит Джон Мэзерли, высокий 29-летний парень с бородкой, выпустивший Shodan в 2009 году. Она названа так в честь зловещего взбунтовавшегося искусственного интеллекта из компьютерной игры System Shock. «Это отсылка, которую поймут другие хакеры и компьютерные фанаты».
Изначально Мэзерли предполагал, что поисковой системой Shodan будут пользоваться крупные сетевые компании вроде Cisco, Juniper или Microsoft, чтобы собрать информацию о продуктах своих конкурентов по всему миру. Вместо этого она стала ключевым инструментом для специалистов по безопасности, академиков и правоохранительных органов, ищущих устройства, которые не должны быть подключены к Интернету, и хакеров, ищущих устройства, уязвимые к взлому. Согласно отраслевому отчету от шведской технической компании Ericsson к 2020 году ожидается порядка 50 миллиардов устройств, подключенных к Интернету вещей. Только Мэзерли заложил результаты этого исследования в общедоступную поисковую систему. «Пугает не мой поисковик, - говорит он. – Пугает то, что системы управления электростанциями подключены к Интернету».
Через Shodan находились веб-камеры настолько слабо защищенные, что достаточно было ввести IP-адрес в браузер, чтобы наблюдать за людьми в их домах, службами охраны, операционными в больницах, домами ребенка и сделками наркоторговцев. Дэн Тентлер, специалист по безопасности, консультировавший Twitter, создал программу Eagleeye, которая находит веб-камеры через поисковую систему Shodan, получает к ним доступ и делает снимки. Он зафиксировал почти миллион незащищенных веб-камер. «Это как щелки для вуайериста», - говорит Тентлер.
(И исходный материал для контроля со стороны Федеральной торговой комиссии США. ФТК постановила, чтобы одна из компаний, камеры которой «засветились» в поисковой системе Shodan, переписала свои соглашения о безопасности.)
Обнаружив уязвимость в программном обеспечении по автоматизации зданий, специалист по безопасности из компании Cylance Билли Риос использовал Shodan в связке с другим инструментом, чтобы выявить следующее: системы безопасности, освещения, обогрева и охлаждения у банков, жилых зданий, коференц-центров и даже штаб-квартиры Google в Австралии имеют доступ в Сеть и могут быть взломаны хакером. «В Интернете есть 2000 подобных устройств, и если кто-то подберет IP-адрес, то сможет захватывать целые здания», - заявляет Риос. Министерство национальной безопасности США уже сообщало ранее в этом году, что взломщики воспользовались указанной уязвимостью, дистанционно взломав систему управления энергопотребления «одного из госучреждений» в 2012 году и установив «чрезмерно жаркие условия», и о взломе на «предприятии в Нью-Джерси» в начале 2013. Доступ к ним был получен через поисковую систему Shodan.
Мэзерли вырос в Швейцарии, но бросил учебу в 17 лет и переехал в Соединенные Штаты к своей тёте – стюардессе из Сан-Диего. Поработав сначала в книжном магазине, Мэзерли поступил в местный колледж, а затем получил диплом по биоинформатике в Калифорнийском университете в Сан-Диего. Он начал работать при суперкомпьютерном центре университета над проектом базы данных протеинов. После программирования небольших задач для стартапа и разработки веб-дизайна для сайта местной газеты Union-Tribune он принимается за создание Shodan. Минимально-бесплатная модель ее монетизации окупила себя, и Мэзерли мог добавлять все больше поисковых ботов для охвата Интернета. Бесплатный поиск даст вам десяток результатов. Приблизительно 10 000 пользователей выкладывают разовую плату в 20 долларов, чтобы получать 10 000 результатов по поисковому запросу. Десяток организаций, каждая из которых является фирмой по компьютерной безопасности, выплачивают ежегодно пятизначные суммы, чтобы иметь доступ к полной базе данных Мэзерли, содержащей 1,5 миллиарда подключенных устройств.
Shodan создан всего одним человеком, и по нему это видно. Поисковик не может похвастаться аккуратным и выверенным интерфейсом, как у Google. Чтобы найти необходимое, нужно знать подпись устройства. А поисковая выдача будет содержать язык межсетевого протокола, непонятный неподготовленному пользователю. Но он предоставляет самый эффективный способ продемонстрировать критичность уязвимостей в безопасности продукта: число в левой части экрана покажет, сколько таких устройств подключено к Интернету и в каких странах они находятся.
Федеральные службы могут серьезно осложнить жизнь Мэзерли, если решат преследовать его в соответствии с Актом о компьютерном мошенничестве и злоупотреблении, который запрещает несанкционированный доступ к компьютерным системам. В марте напористая сторона обвинения отправила за решетку Эндрю «Weev» Ауэрнхаймера за доступ к сайту компании AT&T, по ошибке включавшем адреса электронной почты покупателей, заказавших через компанию iPad. «Я не входил на сервера и не делал ничего, что можно было бы считать взломом», - оправдывается Ауэрнхаймер.
Вместо преследования, Мэзерли скорее должен быть награжден за привлечение внимания к невероятно глупым ошибкам, которые совершают производители устройств при настройке своих продуктов, и к небрежности покупателей в отношении безопасности купленных ими устройств. Все подключенное к Интернету должно быть защищено паролем, а многие устройства его не имеют вовсе. Нельзя поставлять и устройства с предустановленным для них именем пользователя и паролем по умолчанию, хотя многие компании так делают.
В прошлом году анонимный пользователь получил управление над более чем 400 000 устройств, подключенных к Интернету, использовав всего четыре распространенных пароля по умолчанию. По ним он составил базу данных, подобную базе данных Shodan, и назвал ее «Интернет-переписью-2012». «Все рассуждают только о сложнейших взломах и кибернетических войнах, - написал этот безымянный пользователь, благоразумно скрывший свою личность во избежание преследования. – Но какие-то четыре простейших пароля позволяют вам получить доступ к данным сотен тысяч пользователей, не говоря уже о десятках тысяч промышленных устройств по всему миру».
Мэзерли надеется, что поисковая система Shodan приведет к большей прозрачности в действиях компаний и даст возможность обществу пристыдить нерадивые компании, продающие уязвимые системы. Но он не очень оптимистичен по этому поводу.
«Хотите вы этого или нет, но в Интернете происходит все что угодно», - констатирует Мэзерли.
Перевод - Павел Корнилов
Оригинал статьи - http://www.forbes.com/sites/kashmirhill/2013/09/04/shodan-terrifying-search-engine/