描述
联系方式
周一至周五 9:00 - 18:00
微信公众号
微信公众号
描述
0755-8326 2233
描述
0755-8326 2233
专心研究,精心制作,谋求高品质发展
Focus on researching,Elaborately making, seeking high quality development.
专心研究,精心制作
谋求高品质发展

物联网冲浪有多危险?有人正在直播你家中的婴儿房

最近推特上火了一个话题,叫#ShodanSafari,既在一款名叫Shodan的搜索引擎上网上冲浪。而收获,是话题下发布的一张张监控摄像头截图。利用Shodan在物联网上冲浪的体验如同垃圾箱潜水,没人知道打开后是什么画面

【编者按】物联网搜索发动机想要进行普及化和商业化,还要看能否做好数据脱敏、把握好公有云和私有云之间的边界,实现在不侵犯他人隐私的前提下完成搜索任务。


作为2019年的新时代网民,我们好像对于搜索发动机的存在已经习以为常了。已经不会有人再像小时候第一次上微机课那样,在搜索发动机上胡乱发散好奇心,体验网上冲浪的快感。

但当另一种形式的搜索发动机出现,一切可就不一样了。

最近在推特上火了一个话题,叫#ShodanSafari,既在一款名叫Shodan的搜索发动机上网上冲浪。而冲浪的收获,是话题下发布的一张张监控摄像头截图。

什么是Shodan?

在90年代一款古老的射击游戏网络奇兵中,Shodan是其中的大BOSS,是一台遍布全场时刻监视玩家行动的电脑主机。在2009年,一名名为John Matherly程序员决定让Shodan降临于现实生活,研发了一款名为Shodan的搜索发动机。

和谷歌、Bing这样信息内容检索的搜索发动机不同,Shodan可以通过特定类型的网络地址、SCADA(管理控制与数据获取系统)等等特征来搜索网络上的在线设备。

具体来说,通过对主机域名、指定端口、指定公司和地区等信息的过滤,Shodan可以找到包括服务器、路由器、摄像头、公共打印机等一系列的物联网设备。

不仅搜索到,Shodan还可以拦截端口数据、设置索引并且显示结果。也就是说人们通过Shodan可以搜索到一栋大楼中空调控制系统,从而看到每个房间的空调温度是多少。或是搜索到某一家医院的心率监控器,默默地盯着某一个病人的心跳。更可怕的是,当利用Shodan进行公共摄像头搜索时,甚至能看到摄像头所拍下的内容。

在推特的#ShodanSafari话题中,大多也是人们对于全球各地摄像头的截图。其中有情趣用品店的监控摄像头、有种植大麻的房间,甚至还有私人的儿童卧室。

有推特网友评价到,利用Shodan在物联网上冲浪的体验就如同垃圾箱潜水,没人知道打开下个摄像头后能看到什么惊人又猎奇的画面。

物联网冲浪有多危险?有人正在直播你家中的婴儿房

其中很大一部分原因在于,很多廉价的物联网设备只是简单的将信息采集/控制端口与信息传输协议相连接,并没有进行额外的安全加密。而且很多设备并没有设置权限密码,或者用户没有修改“password”“000000”这样形同虚设的原始密码,导致访问者可以轻易获得权限。

从2013年开始,媒体就开始对ShodanSafari这种行为进行猛烈的抨击,因为使用Shodan进行物联网设备搜索已经脱离了一开始的初衷,而变成了一种恶意满满的行为。

1、 利用Shodan侵犯儿童隐私

CNN曾经对Shodan进行过报道,将其称为“最危险的搜索发动机”。其中的导火索,就是有人进入了家庭婴儿房的摄像头,盗摄下婴幼儿的视频并发布到网上。这种行为无形中已经和儿童色情这一敏感话题脱不开关系,一下引起了大众对于Shodan的反感。

2、 利用Shodan探知商业机密

Shodan的另一特点,是可以根据产品的品牌、型号来进行特定搜索。这也让很多以往无法被探知的商业机密浮上水面。例如有好事者搜索了一家名为“蓝色山羊”的摄像头联网情况,结果在一些禁售国家地区的物联网网络中发现了这一品牌的产品。

3、 Shodan的出现进一步加大了物联网设备被攻击的风险

Shodan进入的不仅仅是监控摄像头,还有很多物联网设备的控制界面。从话题#ShodanSafari下的发言中,甚至能找到交通信号灯、火葬场、卡车等等一系列设备,其中不乏安检扫描仪、工厂污染泄露监控器等敏感设备,如果有人对此进行破解,将造成难以想象的意外。甚至根本不需要破解,很多物联网设备的控制账号密码都是“admin,password”这样的组合。

不过好在Shodan的使用方式本身也有一些门槛,目前使用Shodan的大多数是调研机构、学术机构和少部分技术宅。即使应用方向有所偏差,目前也没有声音提出要对Shodan进行禁封。

物联网搜索未来到来之前

不仅没有禁封,实际在IoT设备即将泛滥的未来,物联网搜索将会是一项非常旺盛的需求,也会是一项不错的生意。

首先,物联网设备供应商自己有丰富的设备检修、升级需求。

就像上文提到那些通过Shodan发现可被访问的设备,是可以通过设备商端口来进行统一升级补丁的。但有些用户自己可能不了解安全问题的重要性,拒绝了自动升级。这时设备商就可以通过搜索发动机来快速定位到未升级的设备位置,从而进行针对性解决。

同时在未来,物联网设备情况的收集与调查会对商业咨询、社会调研等起到关键作用。

未来当我们研究某一路段是否开放自动驾驶时,这一路段有多少个智能红绿灯、分别是什么品牌的智能红绿灯就是非常重要的信息。相比实地调查或询问市政交通部门,利用搜索发动机搜索自然是更高效的解决方案。

对于应用者来说,搜索发动机也能帮助他们更方便的使用物联网。

在一家巨型工厂中,可能会有数千个不同品牌、不同用途的IoT硬件。搜索发动机的存在可以帮助他们将设备分类分组,更高效的进行查找和处理。当然这种搜索发动机最好创建在内网之中,才能保证设备的隐私和安全。

而且和互联网的搜索发动机不同,物联网搜索是一项ToB端收费的业务。以Shodan模式为例,一个账户一年的使用费用大概在几十到上百美元间不等。未来还可以扩展至企业内部,提供定制化的搜索发动机服务,甚至延伸成为IoT操作系统。

目前除了Shodan以外,中国也开始有一些创业企业推出了类似的服务,借以进入IoT市场。

当然,物联网搜索发动机想要进行普及化和商业化,还要看能否做好数据脱敏、把握好公有云和私有云之间的边界,实现在不侵犯他人隐私的前提下完成搜索任务。

不过,在这一切发生之前,还是先改掉中一切IoT设备的初始密码吧!


AI如何持续渗透平安城市?安防企业为何纷纷“进军”商业?智慧交通除了“大脑”还该关注什么?如何抓准家庭社区安全零散的市场?

2019年5月23/24日,亿欧将举办GIIS2019中国智慧城市峰会,本次峰会将延续前两次会的主题,邀请知名专家学者、行业龙头企业、标杆初创企业、知名投资人等,聚焦技术在智慧城市领域(平安城市、智能商业、智慧交通、家庭社区安全)的应用现状及未来发展。

活动链接:

https://www.iyiou.com/post/ad/id/795

2024131星期三 120802