ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Камера в квартире Петербурга, светофор на улице в Сиэттле и роутер в Австралии — к чему можно подключиться при помощи несложного поисковика.

Вы, наверное, слышали фразу "интернет вещей" — этим странным словосочетанием обозначают любое устройство, имеющее выход в Сеть. Не только ноутбуки или смартфоны, но и чайники, автомобили, кофеварки и даже парковочные системы. Выход Интернета из привычного компьютера в плюс-минус любую бытовую вещь — тенденция сподручная: можно включить чайник, выезжая с работы, и запустить со смартфона стиральную машину. Но есть проблема: к вашей кофеварке и IP-камере могут подключиться ещё сотни тысяч человек, которым для этого не понадобится даже начальное техническое образование. Достаточно знать лишь два слова: Shodan или Censys.

Найдётся всё

Это две поисковые системы, что-то вроде знакомого вам Google и Yandex, но ищут они не сайты, а подключённые к Интернету девайсы. Shodan, названный в честь главной злодейки из игры System Shock, подаёт сигналы на порты устройств, те отвечают, и поисковик "видит", какого типа механизмы стоят перед ним. Грубо говоря, Shodan может определить не только подключённый к Интернету принтер, но и его местоположение, и примерный уровень защиты, и есть ли веб-интерфейс, с которым можно взаимодействовать. Представьте себе всемирную карту, где подсвечены работающие с Сетью вещи, — вы можете их поискать даже в своём городе.

Shodan создал IT-специалист Джон Мэзерли ещё семь лет назад — но по-настоящему сервис стал известен после ряда диких случаев. В начале 2016-го разгорелся скандал: какой-то мужчина подключался к чужой видеоняне и пугал по ночам ребёнка, разговаривая с ним страшным голосом. Злоумышленник мог разными способами получить доступ к девайсу, но, скорее всего, воспользовался упомянутым поисковиком.

Специалисты отмечают, что при помощи Shodan можно творить и более жуткие вещи: в частности, была возможность "залезть" в управление атомной электростанции или расписание поездов — и удалённо вносить изменения.

Другой поисковик, Censys, работает по схожему принципу — он тоже опрашивает интернет-устройства, но задача сервиса другая: искать уязвимости. Censys придумали в стенах Мичиганского университета, а аппаратная часть предоставлена Google. Польза от поисковика уже есть — недавно выяснилось, что ноутбуки фирмы Dell не обладают надёжным шифрованием и можно путём ряда манипуляций перехватить у них веб-трафик, включая, например, пароли. Censys чем-то напоминает предостерегающие фильмы про мошенников: он одновременно и закрывает брешь в защите, и тиражирует информацию, как эту брешь найти.

Но важно понимать, что сами поисковики ничего не взламывают — они лишь, как почтальоны, ходят по подъездам и домам, нажимая на дверной звонок. Другой вопрос, что двери иногда бывают открыты настежь — и никто не увидит, если туда зайти.

Власть машин

Штука в том, что Shodan находит не только местоположение и тип устройства, но и позволяет "постучать" в администраторскую панель. Рассмотрим всем известный пример — управление роутером. Все хоть раз заходили в "админку" своего D-Link или другого разносчика Интернета. Вспомните, что нужно сделать, чтобы туда попасть? Впрочем, мы сейчас угадаем: ввести логин (admin) и пароль (admin), верно? Если так, то поздравляем, вы на крючке: роутер можно без проблем отыскать в Shodan, применить вот эту связку, и всё — внутри вашего устройства копается чужой человек, и совершенно непонятно, что он будет делать. Может, ничего не тронет, а может — и это самое безболезненное — собьёт вам настройки. И будет сбивать и дальше, пока не придумаете нормальный пароль.

Но самое страшное для бытового пользователя — это проникновение в IP-камеру. Как писало издание The Verge в 2014 году, Shodan "засёк" более 70 тысяч камер с обычным, встроенным паролем — и неизвестно, сколько ещё людей поставили в графу Password очевидный набор вроде "qwerty" и "12345". Весь этот гигантский массив чужой, но открытой жизни всего в паре кликов от вас. Вам даже не нужно ничего вбивать, потому что заботливые пользователи распределили незащищённые камеры по тегам. Достаточно щёлкнуть по такой подборке, и вам выпадет более ста объективов, снимающих чьи-то дома, дворы, улицы, гаражи, магазины и даже спальни. России это тоже касается — если в вашем рабочем кабинете где-нибудь под потолком висит такая штуковина, уточните у техотдела, ставил ли он пароли. Если нет, то не исключено, что, пока вы это читаете, за вашим затылком наблюдает несколько десятков человек.

Подробнее в источнике:

https://life.ru/t/слежка/942634/smiert_lichnoi_zhizni_kto_i_kak_sliedit_za_vami_pr iamo_sieichas