Shodan er søkemotor evner vise behovet for “internet of things” sikkerhet for å bli tatt mer på alvor
Som ser på? Shodan lar brukere søke etter usikret enheter på “internet of things’.
Foto: Alamy
@alexhern
Mandag 25. januar 2016 16.41 GMT
Sist endret på mandag 25. januar 2016 17.36 GMT
For hver nytte av internett av ting, for eksempel å være i stand til å låse opp en garasje døren med din mobiltelefon, eller finne bilnøklene ved å sende dem en tekstmelding, det er en ulempe.
Fra nett-tilkoblede røyk-alarmer som kan være “ved et uhell deaktiveres” med den bølge av hånden til smart lysarmaturer som, etter en programvareoppdatering, kan nekte å arbeide med lightbulbs laget av andre merker, det virker noen ganger som tingenes internett er bare en forkortelse for “internet of things det ikke skulle ha vært koblet til internett”.
Denne uken, teknologi nettstedet Ars Technica merket en mer grunn til å holde verden resolutt nett: en søkemotor som gjør det mulig for brukere å finne live video av noe fra en internett-tilkoblet webkamera som mangler skikkelig sikkerhet forholdsregler. Dette varierer fra banale strømmer tilbake hager, kontorer og butikker – til påtrengende videoer av sovende babyer med foreldre som bruker webkameraer som en overvåking enheten.
Shodan reklame seg selv som “en søkemotor for webkameraer’. Foto: Shodan
Søkemotoren i spørsmålet er Shodan, som ble lansert i 2009 av John Matherly, uttrykkelig, med sikte på å skanne alle internett-tilkoblede enheter som leter etter svakheter og usikkerhet. Oppkalt etter den skadelige AI fra System Shock-serien av spill, det er en søkemotor for alt på internett det er ikke et web-område.
Shodan ikke gjøre noe annet enn å avsløre svakheter som allerede er der ute, men det har ikke stoppet det mot kritikk. Sikkerhet ekspert Marc Goodman, hevdet i sin bok Fremtidige Forbrytelser som: “[Shodan] gir tips om hvordan å utnytte alt fra kraftverk til vindturbiner. Det er søkbare fra land til land, selskap eller innretning, gir detaljerte anvisninger og i stor grad redusere den tekniske bar og kunnskap for alle useriøse enkelt å hacke vår kritiske infrastruktur.”
Nettstedet har nå senket som bar fortsatt videre. I en ny feed, for medlemmer som har betalt $49 avgift, nå demonstrerer hvor lett det er å finne, hente og levere materiale fra usikrede web-kameraer.
Fôret på bilder.shodan.io, er lik nettsteder som Insecam som utløste sinne i 2014 ved å sortere og samle web-kameraer. Men i motsetning til Insecam, som opererte ut av Russland, og syntes lægra seg mot voyeurs som ønsket spenningen av å spionere på fremmede, Shodan er fôr som er spesielt rettet mot å fremheve hvor ille tilstanden av internet security er den fortsatt, selv 15 måneder på fra dette eksempelet.
Webkameraer med forutsigbar standard passord, eller ingen passord i det hele tatt, er fortsatt utbredt. Og selv om mer respektabel produsenter, slik som Googles Dropcam, har opparbeidet seg et rykte for sikkerhet, kan de ikke konkurrere med de laveste fellesnevner på pris. Teknologi nettstedet Ars Technica hevder at den beste løsningen er “en kombinasjon av regulatoriske stick og rating-systemet gulrot”.
Tidligere ville kreve en endring i tack fra organisasjoner, slik som Informasjon Commissioners Office, som for tiden er fast spiller whack-a-mole, iverksette tiltak mot nettsteder som Insecam uten å ta problemet ved roten.
I mellomtiden, den sistnevnte har større sjanse for å lykkes. En grasrot organisasjon, ringte jeg Kavaleriet, tar sikte på å gjøre nettopp det. Gruppen av offentlig-minded cybersecurity frivillige foreslått en “hippokratiske ed” for tilkoblet medisinsk utstyr i forrige uke, noe som tyder på at produsentene av andre enheter (som utgjør fristende mål og kan føre til enorme personlige lidelse hvis hacket) følge et sett av prinsipper inkludert støtte til “rask, smidig og sikker oppdateringer” og arbeide med tredjeparts forskere for å sikre at potensielle sikkerhetsproblemer kan trygt rapportert.
Lignende eder, kan en dag bli annonsert på emballasjen til andre internet of things enheter, slik at kundene kan være sikre på at de prøver å kjøpe fra en leverandør som tar sikkerhet på alvor. Inntil da, i det minste tar tid å endre standard passord og forhåpentligvis kan du holde deg ut av Shodan er blikket.
Andre ting som har boblet opp på Shodan nylig virkelig ikke bør være koblet til internett i det hele tatt. I September 2015, Frankrike-basert direktør i et stort internasjonalt selskap som spesialiserer seg i cyber security fortalte forskere fra Chatham House at de brukte stedet og fant “alle atomkraftverk i Frankrike som er koblet til internett”.
Alt for ofte for andre deler av store industrielle maskiner, kontrollene sitter der i vanlig syn eller skjult bak de mest rudimentære legitimasjon. I 2012, rett og slett forsøker å logge inn som “root” eller “administrator”, passord blir den samme igjen, var tilstrekkelig for en annen gruppe av anonym internet explorers å få tilgang til over 400 000 enheter. Med fremveksten av internett-tilkoblede enheter, siden denne undersøkelsen ble gjennomført, at antallet er trolig langt høyere.