IoT je děravý. Na webu jsou tisíce soukromých kamer a síťových krabiček

  • Soukromé kamery z obýváků a ložnic
  • Nezabezpečené servery a modemy
  • To vše vyhledá IoT vyhledávač Shodan, Insecam ale i Google
IoT je děravý. Na webu jsou tisíce soukromých kamer a síťových krabiček

Se zvyšujícím se počtem všemožných autonomních krabiček připojených k internetu roste na významu i otázka jejich zabezpečení. Sice jsme si zvykli, že svůj vlastní počítač musíme vybavit antivirovým programem, kdo by se ale staral o to, že stejně tak může být zranitelný i k internetu připojený televizor a další zařízení v domácnosti?

Nejedná se přitom pouze o riziko průniku do systému a jeho přímé zneužití, ale i získání pouhého přístupu ke čtení. Krásným příkladem jsou především webkamery. Na webu sice najdete desítky katalogů veřejných turistických kamer prakticky z celého světa, stejně tak ale existují seznamy takových, které jsou namířené do našich obývacích pokojů a dětských postýlek, přičemž jejich majitel nejspíše nemá nejmenšího tušení, že se v daný okamžik dívá i někdo jiný.

Shodan zná alternativní svět internetu věcí

Pokud jsou takto chybně zabezpečené webkamery, bylo by krajně bláhové si myslet, že u ostatních krabiček internetu věcí je tomu nějak jinak. Ve vší nahotě to ukazuje třeba vyhledávač Shodan.

Zatímco roboti Googlu indexují běžné webové stránky, ten od Shodanu skáče z jedné IP adresy na druhou a zkoumá, které porty jsou otevřené. Běžný WWW server zpravidla vysílá na portu 80, specializované síťové krabičky ale mohou na osmdesátce mlčet, protože nemají WWW rozhraní a vysílají naopak na jiném čísle.

978018161
Indexované německé modemy EasyBox od Vodafonu

Pokud Shodan na takový otevřený port narazí, pokouší se skrze něj s cílovým zařízením spojit a zjistit, o co se jedná. Shodan tímto způsobem nasbíral tisíce zařízení všeho druhu od specializovaných serverů přes síťové tiskárny, modemy, NASy a průmyslové počítače až po webkamery a vytvořil tedy svým způsobem jakousi první mapu internetu věcí na světě.

582563479 599084882
Routery Cisco a anonymní FTP servery. Shodan podporuje hromadu filtrů pro lepší vyhledávání podle zemí, portů aj.

Jelikož se jedná o poměrně unikátní analýzu internetu, plnohodnotná databáze Shodanu je zpoplatněná a zdarma je k dispozici pouze základní a omezené vyhledávání. I to je však docela mocné, k dispozici totiž máte zástup vyhledávacích parametrů. Zkuste třeba na Shodanu použít has_screenshot:true a vyhledávač zobrazí ty počítače, u kterých dokázal zobrazit nějaký grafický výstup. Ve většině případů se jedná právě o kamery, ale občas i o vzdálené plochy s grafickým desktopem.

543891716 508202083
S parametrem has_screenshot:true se zobrazí stroje, které mají grafický výstup. Ať už to jsou webkmaery, nebo třeba dostupné vzdálené plochy počítačů.

Děravé webkamery jsou na Insecamu

Podobným způsobem jako Shodan vznikají i jednodušší katalogy, které se pokoušejí evidovat chabě zabezpečené soukromé webkamery s povoleným anonymním přístupem z internetu. Jedním z nich je třeba Insecam. Celý experiment má nicméně výchovný účel. Autoři jednoduše doufají v to, že se o takto zveřejněné kameře majitel brzy dozví a zablokuje ji.

182247754
Insecam eviduje stovky nezabezpečených českých webkamer. A zdaleka se nejedná pouze o venkovní kamery, které snímají nudu na parkovišti.

Má to skutečně smysl, před několika dny se totiž na Insecamu objevila i kamera z jednoho brněnského potravinového řetězce. Na první pohled by se mohlo zdát, že nešlo o nic vážného, nicméně kamera snímala kóji s prodavačkou, pásový pult a především terminál pro platbu kartou, přičemž obraz byl dostatečně kvalitní na to, aby mohl anonymní divák čas od času rozpoznat, jaký PIN asi zákazník zrovna zadává. Zakrýval jej totiž před ostatními, ale nikoliv před kamerou nad jeho hlavou. Poté, co se začal odkaz na webkameru šířit Facebookem a dalšími sociálními sítěmi, došlo k nápravě a obraz už není nadále dostupný.

574225823 919430997
Jedna z webkamer od Sony snímá hernu s automaty, druhá od Linksys prodejní pult. Zdalipak veřejnost, zejména pak na tom prvním obrázku, souhlasí s s vysíláním na nezabezpečeném webu?

Internet věcí umí prohledávat také Google

Nejzábavnějším vyhledávačem všemožných krabiček IoT je však samotný Google. Pokud mají webové rozhraní, které je třeba i omylem dostupné z veřejného internetu, je velmi pravděpodobné, že je v minulosti navštívil i jeho robot. A jelikož podobná webová rozhraní mají zpravidla identické znaky, lze je dodatečně dohledat.

664122894
Motorizovaná kamera Axis. Můžete si s ní točit tak dlouho, dokud nespadne ze střechy.

Pro tyto případy se hodí především parametry inurl a intitle. Jistý rakouský Hotel am Rathaus má na střeše budovy motorizovanou kameru Axis, kterou může operátor na dálku ovládat v přehledném webovém rozhraní, které je dostupné na adrese:

http://217.22.201.135/view/viewer_index.shtml?id=14832

Lze předpokládat, že základem adresy všech podobných kamer tohoto výrobce bude část view/viewer_index.shtml, takže můžeme všechny ty, o kterých Google ví, dohledat dotazem:

inurl:view/viewer_index.shtml

Zkuste si to a Google vám na podnose naservíruje odkazy na stovky kamer, z nichž mnohé jsou skutečně funkční a to včetně dálkového ovládání. Můžete zvesela natáčet kamerou do všech směrů, používat zoom, ostření i nastavení expozice.

70514414
Webkamery Axis zaznamenané Googlem

Jiná webová rozhraní sice mohou mít velmi obecnou adresu, ale lze je od šumu snadno odlišit pomocí typického názvu stránky. Zkuste vyhledat třeba:

intitle:"Live view - AXIS"

V takovém případě získáte opět seznam všemožných IP kamer Axis a to na libovolné webové adrese. Jedna z nich vede třeba do kuchyně jistého restauračního zařízení na Boskovicku.

49635230
Bude dneska k obědu zase guláš?

Internet věcí o sobě tedy už dávno dává vědět a velmi často je i snadno dohledatelný. Webkamery patří k tomu nejatraktivnějšímu, pokud si však projdete některé kousky z Shodanu, ke kterým se dá připojit třeba i přes telnet, SSH či multimediální streamy u výkonných kamer třeba ve VLC, zjistíte, že současné zabezpečení světa IoT je mnohdy opravdu žalostné.


Jak nepříjemný může být nezabezpečený kamerový systém s reproduktorem (zpravidla pro hlídání dětí), názorně ukazuje i jistý The Bro BroBro (a mnozí další, vyhledejte cam trolling aj.), který straší lidi skrze jejich vlastní elektroniku a své úlovky poté vystavuje na YouTube.

Článek patří do rubrik: Web, Bezpečnost, Internet, Vyhledávače


22 komentářů

Diskuze

  • Jindru , 24. 1. 2016 4:02:55
    defaultní / žádná hesla: zajímavý, jak místo "bezpečnostního" kamerového...
  • hnusak , 23. 1. 2016 10:27:58
    Jsem se díval. Nuda, žádný byt vysokoškolaček, jen samé ulice a kancly.
  • Lukáš Černý , 22. 1. 2016 16:21:59
    To někdo pustí webkameru na veřejné IP a ještě ji nechá v defaultním...

Další podobné články



Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.