Сегодня к интернету подключено множество самых неожиданных, на первый взгляд, устройств — от безобидных веб-камер и телевизоров до систем управления светофорами и электростанций. При этом безопасность таких подключений оставляет желать лучшего, и подавляющее большинство неодушевлённых посетителей Сети практически беззащитны перед хакерами и неспособны выдержать даже самую примитивную кибератаку. Миллионы таких устройств можно без проблем обнаружить при помощи специализированной поисковой системы Shodan, которая представляет собой что-то вроде Google для «интернета вещей».
Четвёртого сентября 2014 года Федеральная торговая комиссия США опубликовала текст жалобы на действия известного производителя сетевого оборудования TRENDnet, обвинив его в непринятии мер по устранению уязвимости в программном обеспечении веб-камер, позволяющих хакерам получать к ним несанкционированный доступ и тем самым незаконно следить за владельцами камер в их собственных домах. Буквально на следующий день после этого жалоба была отозвана, поскольку ФТС и TRENDnet достигли соглашения, по которому производитель обязуется ежегодно проводить независимую оценку безопасности своего ПО в течение двадцати ближайших лет. Однако сама эта жалоба стала первым в истории ФТС документом об устройствах, входящих в сеть «интернета вещей». И, скорее всего, благодаря поисковой системе Shodan таких жалоб в ближайшее время будет поступать всё больше и больше.
Специализированная поисковая система Shodan была создана уроженцем Швейцарии Джоном Мэтерли в 2009 году и изначально задумывалась как средство поиска подключённых к интернету устройств конкурентов, рассчитанное на производителей оборудования — таких как Cisco или Juniper. Название Shodan было позаимствовано из компьютерного шутера середины девяностых System Shock, где так назывался искусственный суперразум Sentient Hyper-Optimized Data Access Network — «Разумная гипероптимизированная сеть доступа к данным».
В 17-летнем возрасте будущий создатель Shodan перебрался к тётке, работавшей стюардессой, в Сан-Диего, где сначала поступил в местный колледж, а затем окончил факультет биоинформатики Калифорнийского университета. Получив диплом, Мэтерли устроился в суперкомпьютерный центр при университете, где занимался созданием базы данных белков, одновременно подрабатывая в качестве программиста. Наконец, в 2009 году он начал работу над Shodan, которая в итоге довольно быстро окупилась, и появившиеся средства позволили увеличить количество поисковых роботов и улучшить результаты системы.
Вопреки своему первоначальному предназначению, Shodan стала главным инструментом специалистов по безопасности, исследователей, правоохранительных органов и, конечно же, хакеров, используемым для обнаружения подключённых к интернету уязвимых устройств, в том числе и тех, которые вообще не должны иметь выхода во Всемирную сеть.
Услугами Shodan может воспользоваться любой желающий. Владелец бесплатного аккаунта может получить до 10 результатов для каждой поисковой выдачи, а заплатив всего 20 долларов за годовой премиум-аккаунт, вы сможете получать до 10 тысяч результатов по каждому запросу. По некоторым данным, около десятка фирм, специализирующихся на кибербезопасности, ежегодно перечисляют Мэтерли пятизначные суммы за полный доступ ко всей базе данных Shodan, в которую входит около полутора миллиардов сетевых устройств. База Shodan включает в себя самые разнообразные устройства и оборудование, среди которого не только детские радионяни, роутеры, IP-телефоны и принтеры, но и сети светофоров, системы отопления зданий и даже целые промышленные предприятия, водоочистные сооружения и электростанции.
Принцип действия Shodan основан на каталогизации автоматических ответов любого подключённого к сети компьютера, которые содержат массу информации о таком устройстве, включая его функции и настройки. Иногда в них можно найти даже установленный по умолчанию пароль, чем часто пользуются клиенты Shodan, вводя в поисковый запрос слова «default password» и в результате получая доступ к самым разным девайсам, владельцы которых не потрудились сменить пароль. При помощи специально написанного сканера портов Shodan автоматически собирает отклики с веб-серверов (порт 80), а также данные с FTP (порт 23), SSH (порт 22) и Telnet (порт 21).
Залогинившись, просто напишите «iPad» или «webcam», и вы получите массу результатов, которые можно отсортировать по стране и городу, провайдеру и протоколу подключения, используемому порту или диапазону IP-адресов, дате и географическим координатам. Для технически неподготовленного пользователя эти данные могут показаться бесполезными, но профессионал сразу сможет определить расположение устройства, способы его использования и даже установить контроль над ним.
Если верить базе Shodan, в мире насчитывается свыше 400 тысяч веб-камер, подключённых к интернету, и значительная часть из них может быть легко взломана злоумышленниками из-за уязвимостей в программном обеспечении. На прошлогодней конференции по сетевой безопасности Defcon 20 независимый эксперт Дэн Тентлер продемонстрировал, что может дать Shodan профессиональному взломщику.
Тетнлер обнаружил автомобиль, у которого он может дистанционно запустить и заглушить двигатель, хоккейный каток в Дании, который можно дистанционно разморозить одним нажатием кнопки, незащищённую систему управления городскими светофонами, которую можно запросто перевести в «тестовый режим», и даже систему управления гидроэлектростанцией во Франции! Тентлер наглядно доказал, что мало-мальски квалифицированный хакер может легко контролировать самые разные, в том числе и критически важные системы целого города!
В августе 2013 года в США разразился скандал, когда к так называемому «детскому монитору», представляющему собой доступную через интернет беспроводную веб-камеру, подключился посторонний и начал говорить непристойности двухлетней девочке.
В ходе расследования выяснилось, что уязвимость в ПО этой модели веб-камеры была обнаружена специалистами по безопасности ещё в апреле, а её производитель, гонконгская компания Foscam, в июне выпустила новую прошивку, которая устраняла ошибку, допускавшую перехват управления устройством.
Между тем Foscam никак не проинформировала своих покупателей ни об уязвимости, но о выходе обновления, так что подавляющее большинство владельцев детских мониторов даже не подозревают об этой проблеме. Родители девочки намерены подать в суд на Foscam и, вероятно, заодно и на поисковик Shodan, при помощи которого, скорее всего, и был обнаружен незащищённый «детский монитор».
Разумеется, находится и множество других желающих обвинить создателя Shodan Джона Мэтерли в облегчении работы хакеров — точно так же, как Голливуд обвиняет Pirate Bay в содействии пиратству. На это Mэтерли неизменно отвечает, что ответственность должны нести сами производители незащищённых устройств. Он не считает Shodan угрозой: опасны электростанции, подключённые к интернету.
При желании американские власти могут с лёгкостью привлечь Мэтерли к ответственности на основании «Акта о компьютерном мошенничестве и злоупотреблениях» (Computer Fraud and Abuse Act, CFAA) 1986 года, который прямо запрещает неавторизованный доступ к компьютерным системам, чем, собственно говоря, и занимается в автоматическом режиме поисковик Shodan. Однако против этого выступают вполне законопослушные граждане и организации, включая экспертов по сетевым технологиям и компаний, специализирующихся на кибербезопасности. По их мнению, Shodan помогает выявлять критичные уязвимости и выводить на чистую воду недобросовестных производителей оборудования и программного обеспечения, не уделяющих надлежащего внимания средствам безопасности своей продукции.
* * *
Есть множество способов защититься от несанкционированных подключений с помощью Shodan. Прежде всего никогда не забывайте менять пароли по умолчанию на любых устройствах с доступом в интернет. Во-вторых, далеко не вся сетевая электроника на самом деле требует обязательного подключения к интернету: те же камеры безопасности могут прекрасно работать в пределах защищённой локальной сети. Наконец, можно воспользоваться Shodan для проверки уязвимости ваших устройств: просто введите в поисковую строку запрос «net:IP-AДРЕС» c IP-адресами соответствующих девайсов.