Shodan sökmotor förmåga att visa behovet av “internet of things” säkerhet ska tas på större allvar
Vem som tittar på? Shodan låter användare söka efter oprioriterade-enheter om “sakernas internet”.
Foto: Reuters
@alexhern
Måndag 25 januari 2016 16.41 GMT
Senast ändrad måndagen den 25 januari 2016 16.48 GMT
För varje nytta av internet för saker, till exempel att kunna låsa upp en garageport med mobiltelefon, eller hitta din bil nycklar genom att skicka dem ett sms, det finns en baksida.
Från web-anslutna rök-larm som kan vara “oavsiktligt deaktiverad” med den våg av en hand till smarta armaturer som, efter en uppdatering av programvaran, vägra att arbeta med glödlampor som gjorts av andra märken, det verkar ibland som att sakernas internet är bara en förkortning för “internet of things som inte borde ha varit ansluten till internet”.
Denna vecka, teknik sajten Ars Technica har lyfts fram ytterligare en anledning att hålla världen resolut osammanhängande: en sökmotor som tillåter användare att hitta live-video av något från en internet-ansluten webbkamera som saknar lämpliga säkerhetsåtgärder. Detta sträcker sig från banala flöden av trädgården på baksidan, kontor och butiker – till inkräktande videor av sovande barn vars föräldrar använder webbkameror som en kontroll-enhet.
Shodan reklam för sig själv som ‘sökmotor för webbkameror’. Foto: Shodan
Sökmotorn i fråga är Shodan, som lanserades 2009 av John Matherly, som uttryckligen med syfte att skanna varje internet-ansluten enhet söker efter sårbarheter och osäkerhet. Uppkallad efter den skadliga AI från System Shock-serien av tv-spel, det är en sökmotor för allt på internet det är inte en webbplats.
Shodan inte göra något annat än att avslöja svagheter som redan är ute, men det har inte hindrat det inför kritik. Security expert Marc Goodman, hävdade i sin bok Brott i Framtiden att: “[Shodan] ger tips på hur man kan utnyttja allt från kraftverk till vindkraftverk. Det är sökbara efter land, företag eller enhet som tillhandahåller detaljerade hur-tos och kraftigt sänka den tekniska bar och kunskap för alla oseriösa enskilda att hacka vår kritiska infrastruktur.”
Webbplatsen har nu sänkt som bar ytterligare. En ny kanal för medlemmar som har betalat $49 avgift, nu visar bara hur lätt det är att hitta, skrapa och leverera bilder från oprioriterade web kameror.
Rss-flöde på bilder.shodan.io, är liknande till webbplatser som Insecam som utlöste ilska 2014 genom att sortera och aggregera web kameror. Men till skillnad från Insecam, som drivs av Ryssland och verkade lägrade sig mot fluktare som ville spänningen av att spionera på främlingar, Shodan är foder som är särskilt inriktade på att lyfta fram hur illa det läget för säkerheten på internet är fortfarande, även i 15 månader på som exempel.
Webbkameror med förutsägbara default lösenord eller inget lösenord alls, är fortfarande allmänt tillgänglig. Och trots att mer respektabel tillverkare, såsom Googles Dropcam, har utvecklat ett rykte för säkerhet, de kan inte konkurrera med den minsta gemensamma nämnaren på priset. Teknik sajten Ars Technica hävdar att den bästa lösningen är “en kombination av föreskrivande stick och rating system morot”.
Den före detta skulle kräva en förändring i tackel från organisationer som Information Commissioners Office, som är närvarande fast du spelar whack-a-mole att vidta åtgärder mot webbplatser som Insecam utan att ta itu med roten till problemet.
Under tiden, den senare har större chans att lyckas. En gräsrotsorganisation, som kallas jag Kavalleriet, syftar till att göra just det. Den grupp av offentliga sinnade cybersäkerhet volontärer föreslagit en “hippokratiska ed” för anslutna medicinska enheter förra veckan, vilket tyder på att tillverkarna av de produkter (som utgör en frestande mål och kan orsaka stort lidande om hackad) följa ett antal principer, bland annat att stödja “snabb, smidig och säker uppdateringar” och arbeta med utomstående forskare för att säkerställa att potentiella säkerhetsproblem kan vara ett säkert sätt rapporteras.
Liknande eder en dag annonseras på förpackningen av andra internet-saker-enheter, så att kunderna kan vara säkra på att de köper från en leverantör som tar säkerheten på allvar. Tills dess, åtminstone tar dig tid att ändra det förinställda lösenordet och förhoppningsvis kan du bo i Shodan blick.
Andra saker som bubblade upp på Shodan nyligen borde verkligen inte vara ansluten till internet alls. I September 2015, baserat i Frankrike-chef på ett stort internationellt företag som är specialiserat på it-säkerhet berättade forskare från Chatham House att de använde platsen och hittade “av kärnkraftverk i Frankrike som är ansluten till internet”.
Alltför ofta för andra delar av stora industriella maskiner, kontrollerna sitter där i synliga eller dolda bakom den mest rudimentära referenser. Under 2012, för att helt enkelt försöka logga in som “root” eller “admin”, med lösenord är de samma sak igen, var tillräcklig för en annan grupp av anonyma internet explorers för att få tillgång till över 400.000 enheter. Med uppkomsten av internet-anslutna enheter eftersom denna studie genomfördes, att antalet är sannolikt betydligt högre.