Shodan и Censys: опасные гиды по Интернету вещей

Посмотрите вокруг — мы живем в Интернете вещей. Не завтра, не послезавтра — уже сейчас в повседневной жизни мы постоянно сталкиваемся с подключенными вещами, начиная с домашних Wi-Fi-роутеров и заканчивая уличными камерами наблюдения и системами управления светофорами. И поскольку все эти штуки подключены к Сети, их можно найти сразу в двух мирах — в реальном и в Интернете.

И точно так же, как Google помогает нам искать информацию в Интернете, другие поисковые системы позволяют найти эти подключенные устройства. Знакомьтесь, Shodan и Censys.

Shodan — это первая (и, пожалуй, ведущая) поисковая система по Интернету вещей, существующая уже более семи лет. Shodan назвали в честь главного злодея (точнее, злодейки) в серии компьютерных игр System Shock — в игре это был крайне злобный искусственный интеллект. Конечно, эта поисковая система не настолько безжалостна, как ее прототип, но и она способна причинить немало вреда. Впрочем, прежде, чем мы перейдем к разговорам о всяких страшных возможностях Shodan, давайте разберемся, как вообще работает такая поисковая система.

Интернет (ненужных) вещей: демонстрации взлома умной электроники на RSA Conference #IoT #RSAC http://t.co/XSjjPyYjpx

— Евгений Касперский (@e_kaspersky_ru) April 27, 2015

В каком-то смысле Shodan похожа на человека, который ходит по многоквартирному дому и стучится в каждую дверь. Вот только в роли дверей выступают адреса IPv4, а в роли дома — весь мир.

Если вы спросите такого воображаемого человека об определенном типе дверей или о дверях на каком-нибудь конкретном этаже, он точно что-нибудь расскажет: какие там двери, сколько их, кто ответит на стук и что эти люди скажут. В случае с Shodan рассказ о жильцах дома — это рассказ об объектах из Интернета вещей: как они называются, к какому типу устройств принадлежат и есть ли у них веб-интерфейс, который можно использовать.

Shodan не бесплатен — чтобы использовать эту систему, нужна подписка. Впрочем, подписка стоит недорого, так что практически кто угодно может себе позволить ее оплатить — было бы желание.

В том, что Shodan позволяет «стучать в двери», нет ничего плохого, но лишь до тех пор, пока не выясняется, что на некоторых из них нет замков и никто их не охраняет, то есть ничто не помешает плохим парням вломиться внутрь. В мире Интернета вещей такими дверями являются незащищенные роутеры, IP-камеры и другие устройства, использующие установленные по умолчанию логины и пароли.

Стоит преступнику получить доступ к веб-интерфейсу подобного устройства и подобрать верные логин и пароль, как оно тут же попадает в его полное распоряжение. Сделать это в ряде случаев несложно, так как данные об установленных по умолчанию логинах и паролях обычно можно найти на сайтах производителей в инструкциях к этим устройствам, да и в целом они широко расходятся по Сети.

И еще раз про "интернет вещей", которому пока что больше подходит название "интернет угроз": http://t.co/sYO2wox3ZY pic.twitter.com/oQ8f5aJJVb

— Kaspersky Lab (@Kaspersky_ru) April 9, 2015

Таким образом можно взломать IP-камеру и увидеть все, что она видит. И даже, возможно, управлять ею. Добравшись до роутера, можно поменять в нем настройки и не дать его владельцам пользоваться Интернетом. У некоторых странных людей порой появляются и более жуткие идеи — например, хакнуть чужую видеоняню и запугать ребенка, разговаривая с ним по ночам страшным голосом.

Но это еще цветочки. С помощью Shodan можно найти более удивительные и потенциально опасные вещи — например, вполне реально обнаружить незащищенные рентгеновские аппараты и посмотреть снимки пациентов. По большому счету возможности пытливого исследователя поисковой выдачи Shodan ограничены лишь его же собственными этическими принципами и моральными устоями, ну и воображением.

Может ли злоумышленник взломать видеоняню и поговорить с вашим ребенком? (спойлер: МОЖЕТ!) https://t.co/zHqJSMupui pic.twitter.com/4PYY1Yhx4J

— Kaspersky Lab (@Kaspersky_ru) January 21, 2016

Многие люди изучают Shodan — из любопытства или по необходимости — и находят много интересного. Однажды была обнаружена возможность взять под контроль систему управления аквапарком, а в другой раз — подключиться к оборудованию атомной электростанции. Добавим к этому автомойки, тепловые насосы, банкоматы и все остальные устройства, подключенные к Интернету, — и получается интереснейшая картина. Наш эксперт Сергей Ложкин наткнулся в Shodan на медицинское оборудование, но это уже другая история.

The list of exposed medical devices @scotterven found using #Shodan #TheSAS2016 pic.twitter.com/GXNHNsl8mC

— Eugene Kaspersky (@e_kaspersky) February 9, 2016

Уязвимая IP-камера ставит под угрозу сохранность частной жизни небольшой группы людей. А вот незащищенная медицинская аппаратура или, например, бортовые системы поезда способны навредить куда большому количеству людей, если до этих систем доберутся преступники или террористы. Вот почему производители и системные администраторы подобных критических решений должны быть очень внимательны к вопросам защиты и обеспечения безопасности подключенных систем.

Долгое время Shodan был единственным поисковым движком по Интернету вещей. В 2013 году возник Censys — его бесплатный конкурент. Новая система работает, опираясь на те же принципы, что и Shodan, вот только ее создатели дополнительно сделали упор на поиск уязвимостей. Да, вы все правильно поняли: Censys действительно может выдать вам список устройств, не защищенных от какой-то конкретной известной угрозы из числа наиболее распространенных, например от Heartbleed.

Great explanation of the heartbleed bug, from the always amazing @xkcd http://t.co/zVdNQixlaE pic.twitter.com/j5jn9dFD3I

— Josh Long (龙之春) (@starbuxman) May 8, 2014

Эту поисковую систему создали ученые из университета Мичигана, чтобы, как это ни смешно, сделать Интернет более безопасным. Да, на самом деле и Shodan, и Censys создавались для специалистов по компьютерной безопасности. Но эти поисковые системы становятся все более и более известными, и вполне вероятно, что далеко не все пользуются ими ради благих целей.

Ни Shodan, ни Censys, скорее всего, не будут интересны серьезным киберпреступникам. У хакеров со стажем есть ботнеты, которые решают те же задачи за меньшее время. Создатель Shodan Джон Мэзерли смог пропинговать и нанести на карту Интернет за пять часов. Владельцы ботнета, состоящего из сотен или тысяч компьютеров, справились бы с этой задачей куда быстрее.

#Shodan shows thousands of exposed ATMs potentially vulnerable to a network attack @_endless_quest_ #TheSAS2016 pic.twitter.com/9E3SSYwG89

— Eugene Kaspersky (@e_kaspersky) February 9, 2016

Хотя китам киберпреступного мира Shodan и Censys малоинтересны, многие другие люди уже опробовали их возможности и устроили с их помощью немало неприятностей. И хотя уязвимый Интернет вещей — это в первую очередь проблема производителей этих вещей, нам с вами тоже стоит сделать свои подключенные устройства чуть более безопасными. Наши эксперты готовят серию постов, в одном из которых мы расскажем, как этого добиться.