Всевидящее око SHODAN

Безопасность
Shodan - поисковая система нового поколенияМне уже приходилось писать об «Интернете вещей» – сети, которую будут составлять и в которой будут обмениваться данными многочисленные устройства, подключенные к интернет – умные дома и их содержимое, бытовая техника, на более общем уровне – городская инфраструктура, скажем, светофоры и так далее. Я указал на удобство, которое такая структура принесла бы в нашу повседневную жизнь, но также указал и на потенциальное количество угроз для безопасности – от удаленного шпионажа в поистине беспрецедентном масштабе, до полноценных терактов (если атакующему удастся получить доступ к жизненно важной инфраструктуре). Все это я рассматривал как прогнозы на перспективу более или менее отдаленного будущего, когда такие системы получат распространение. Однако, я забыл, что в некотором смысле, это будущее уже давно наступило…

Ведь если рассматривать «Интернет вещей» именно как совокупность всех устройств, подключенных к интернет, то их число является значительным и сейчас, и продолжает расти. Камеры наблюдения, маршрутизаторы, компьютеры и множество разнообразного оборудования подключено к сети уже сейчас, образуя прототип «Интернета вещей» и давая неплохое представление о том, что будет представлять из себя это пространство через несколько лет, когда количество адресов увеличится. И эта картина весьма неприглядна. Обычному пользователю она не видна, ведь традиционные поисковые системы посылают запросы конкретным компьютерам, но при этом сами компьютеры их не интересуют – только сайты, которые расположены на подключенном к интернету «железе». Поисковик видит аппаратные узлы сети, физические машины и их адреса, но не показывает это в поисковой выдаче, потому что это пользователю не интересно, его интересует контент. Но не все поисковики работают таким образом. Есть и весьма интересные исключения. Об одном из таких необычных проектов мы сегодня и поговорим.

Google наоборот


Название SHODAN может быть знакомо некоторым из вас, в особенности геймерам со стажем, игравшим или хотя бы слышавшим о System Shock и ее продолжении – в игре так назывался главный антагонист, враждебный главному герою ИИ. Реальная SHODAN не разумна (по крайней мере пока) и не питает враждебных намерений по отношению к жизни, но тем не менее, CNN однажды назвал ее «самым пугающим поисковиком интернета». Почему?

По принципу действия SHODAN напоминает «Google наоборот». Если Google индексирует все подключенные к сети узлы и выдает в качестве результата информацию, которая на них содержится, то SHODAN интересуют сами узлы, точнее их адреса. Мы нередко забываем, о том что если какой-то компьютер или вообще какое-либо оборудование подключено к интернету то к нему можно получить доступ снаружи, вне локальной сети в которую оно входит. Для этого только нужно знать внешний IP-адрес.

Именно такие адреса, а также их идентификация и привязка к объектам реального мира и интересовали Джона Метерли, создателя SHODAN. Он начал работать над проектом еще в 2009 году, и ранняя версия SHODAN в ноябре 2009 размещалась на веб-сайте Sutri. Уже тогда существование такого поисковика подняло на тематических форумах дискуссию относительно того, для чего такие инструменты могут использоваться, и кому они помогают больше – специалистам по безопасности для выявления дыр в защите, или, собственно, преступникам.

Хотя о настоящих хакерах речь не шла ни тогда ни теперь – все сходятся во мнении, что основными пользователями SHODAN по ту сторону закона будут так называемые «script kiddies» – хакеры низкой квалификации, в основном использующие готовые программы и технические инструменты, а не интеллект и знания для совершения атак. Для них такой поисковик, особенно снабженный интерфейсом и инструкциями по пользованию, безусловно, был бы огромным подспорьем.

В 2010 году поисковик переехал на новый домен ShodanHQ.com и вскоре после этого Метерли дал ссылку на него на Reddit, а в сабреддите /r/netsec. С этого момента SHODAN начинает привлекать к себе все больше внимания, в том числе и от «мейнстримовой» прессы. 24 апреля специалист по сетевой безопасности Рубан Санамарта написал в Twitter, что с помощью системы ему удалось найти в сети подключенный к интернету ускоритель частиц – циклотрон университета Беркли.

С этого момента на Youtube несколько раз появлялись видео, в которых разные пользователи распространяли руководства по использованию возможностей SHODAN для разного рода атак. Так, в 2011 году один из пользователей разместил «руководство по пользованию», а в 2012 году случился первый крупномасштабный хак – кто-то обнаружил в прошивке коммерческих камер видеонаблюдения Trendnet, подключающихся через интернет, баг, позволяющий посторонним подключится к камере, зная ее IP. Впоследствии другой «кто-то» создал скрипт, автоматизирующий поиск уязвимых камер с помощью SHODAN, и отображающий результат поиска на карте Google Maps с указанием мест, где расположены камеры и ссылками для получения к ним доступа. Спустя некоторое время информацию об этом хаке опубликовал популярный технический блог The Verge и после огласки ситуации, производитель занялся исправлением ситуации. Впрочем, даже спустя год многие камеры все еще оставались уязвимы, как показало исследование, проведенное все тем же The Verge.

SHODAN привлекла внимание также и профессиональных хакеров. В 2012 году Дэн Тентлер выступил на хакерской конференции Defcon с докладом относительно возможностей SHODAN по получению несанкционированного доступа к разного рода технике. А совсем недавно – 8 апреля статью опубликовал CNN, что привлекло к SHODAN внимание более широких кругов публики. Именно в этой статье CNN и прозвучала фраза о «самом пугающем поисковике интернета».

У страха глаза велики


Так что именно делает SHODAN, и из-за чего весь этот сыр-бор? Все достаточно просто. Как пояснял сам автор, поисковая система ищет в сети физические IP-адреса и опрашивает устройства на предмет наличия открытых портов, собирая метаданные. При этом SHODAN не собирает никаких данных о том, что собственно хранится на этих адресах или какие сервисы они предоставляют. Все, что делает поисковик – находит в сети адрес, посылает на него запрос и отображает информацию, которая получена в ответ. Но и этого достаточно.

Значительная часть устройств, подключенных к интернету, по факту, не рассматриваются пользователями как уязвимые для сетевой атаки. Это предрассудок, который опирается на нашу привычку рассматривать все, что находится в пределах физической досягаемости как защищенное от вторжения снаружи. Но если что-то соединяется с интернетом, что бы предоставить нам доступ к нему, то же соединение может работать и в другую сторону – для предоставления доступа к нашему оборудованию из интернета. Так работают механизмы удаленного управления, используемые всеми – от домашних пользователей чтобы смотреть фильмы на USB-диске, подключенном к роутеру, до предприятий, удаленно управляющих системами безопасности и контроля на заправках, заводах, супермаркетах – везде.

В интернете очень много адресов, а скоро, после перехода на IPv6, станет еще больше и найти нужный адрес наобум очень трудно, если вообще возможно. Именно эту часть работы и делает SHODAN – она находит адреса для атаки, выдавая вместе с ними краткую справку о природе устройства и его расположении. И тут оказывается, что большая часть подключенных устройств никак не защищена от возможной атаки. Пользователи (роутеров, камер) и администраторы (систем управления) просто не задумываются о том, что кто-то может найти в сети их систему и залезать в нее, но в том и дело, что такие инструменты как SHODAN значительно расширяет круг этих «кого-то».

Как правило (хотя и не всегда), люди, которые разбираются в компьютерной безопасности помогают искать прорехи в системах безопасности, и взламывают их с полного согласия владельца этих систем (в хакерской среде их называют «белыми шляпами»). Есть также и хакеры, которые занимаются нелегальной деятельностью, но настоящих специалистов не так много и, понятное дело, они не станут заниматься взломом домашних роутеров или даже промышленных систем – им это не нужно. Опасность состоит в попадании таких инструментов в руки безответственных людей, которые могут причинить вред исключительно из любопытства, по глупости или для хвастовства.

Люди в белых шляпах


Впрочем, создатель SHODAN предвидел возможность такого поворота событий. Сейчас доступ к системе поиска открыт для всех желающих. Однако для получения полных и точных данных необходимо зарегистрироваться и оплатить пользование, что отсеивает значительную часть «хак-активистов». А для получения дополнительных данных нужно специально связываться с администрацией поискового сервиса и сообщить о цели запросов – например, проведение крупномасштабного тестирования или академические исследования. Сейчас основная масса пользователей ресурса – это эксперты по безопасности, сотрудники правоохранительных органов и ученые.

Однако такая ситуация не будет вечной. Любые меры предосторожности можно обойти при должном упорстве, а недостаток знаний у многих людей компенсируется именно этим. Простота пользования привлекает к SHODAN все больше внимания. А даже если и нет, то все равно джинн выпущен из бутылки, идея, принцип работы известен. Рано или поздно появятся конкуренты, предоставляющие аналогичные услуги, но для расширения «базы пользователей» они будут предоставлять услуги всем желающим – за плату или бесплатно.

Что гораздо важнее, SHODAN поднимает гораздо более важный и зачастую обходимый молчанием вопрос – не будет ли грядущий «Интернет вещей» еще более уязвимым чем «Интернет людей» сегодняшнего дня?

В конце концов, все программы пишут люди, а люди склонны ошибаться. По мере того как все больше бытовых устройств подключены к Интернет, будет появляться все больше уязвимостей и получать доступ к ним будет проще (при IPv6, у каждого устройства будет персональный IP-адрес). Это вытекает из коммерческой природы бытовой техники – необходимо постоянно продавать и разрабатывать ПО для новых устройств, как следствие, ресурсов на поддержку старых остается меньше, но люди продолжают ими пользоваться.

Понятное дело, что страхи, о которых любят писать в не-тематических источниках (о хакерах, взламывающих атомные электростанции с другого конца света), в большинстве своем, преувеличенны и беспочвенны. Но угрозы действительно существуют. Возможно не такого масштаба, но они вполне реальны и даже более опасны в том смысле что их редко рассматривают. Например, уязвимый роутер может предоставить злоумышленнику доступ ко всем компьютерам во внутренней сети, возможность перехватывать данные, которые проходят через него и воровать, скажем, пароли и финансовые данные. Взрывов и терактов не будет – будут кражи денег со счетов и взломы учетных записей. То же, что и сейчас, но в большем масштабе. А может быть и нет. В конце концов, конкуренция сейчас жестка как никогда и она может вестись разными способами…

Так что же – нужно бояться? Нет, бояться не нужно. Нужно готовиться. Используя, в том числе, такие инструменты как SHODAN. В конце концов, любой сервис – это всего лишь инструмент, который может использоваться любой стороной для любых целей. Как и Google, скажем.

В конечном итоге, нельзя сказать что SHODAN действительно сделала возможным какой-то новый тип атак или открыла новый эксплойт. Нет, сервис сделал кое-что гораздо более значительное – предоставил возможность совершения известных атак гораздо большему количеству людей, так же как Google революционизировал интернет, сделав возможным нахождение любой информации в доли секунды. Масштаб имеет значение, а количественные изменения рано или поздно переходит в качественные.

«Такова природа Силы» ©

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn