|
|
物联网的阴暗面:数以百计的无担保设备开放的攻击 灰鸽子使用教程,灰鸽子下载
截图Shodan搜索引擎,可以搜索到IP地址范围等因素,设备类型、操作系统和地理。信贷:Shodan
记者细节的发现数以百计的联网设备,缺乏基本的密码保护
亚特兰大——一个自称安全“业余”发现了数以百计的联网设备从相机到工业控制系统,连接到互联网,甚至没有基本的密码保护,这意味着他们可以很轻松的打开和关闭或操纵通过单击鼠标,灰鸽子使用教程,远程控制软件。
“你会惊讶你能找到的,”埃斯Sandli,记者在挪威报纸Dagbladet周四计算机辅助报告发布会上说。”项目是由人开始时不知道数据安全。”
他们开始寻找基本的安全摄像头,如发现和控制一个监控摄像头在一个夜总会。毕业之后,他们找到妥协在军事设施和铁路控制系统。在一个案例中,他们找到了一个安全公司的客户名单和密码在网上清晰。在另一个,他们可以访问被允许进入或离开一个军事建筑。开放的互联网上的另一个设备可以允许他们关掉铁路火灾报警系统,灰鸽子远程控制软件。
Sandli和他的同事使用了公开Shodan搜索引擎,可以搜索到IP地址范围等因素,设备类型、操作系统和地理。在得到结果后,他们用调查性报道技能追踪设备所有者,包括一些艰苦的任务,比如使用谷歌地球数据,试图匹配户外摄像头与他们的主人。
他说,Dagbladet团队没有做自己的端口扫描(而不是依靠Shodan),从不尝试输入密码,即使可能,设备只是使用缺省值。这些基本规则项目的道德基准的一部分,他说。但仅仅几小时之后,很明显他不需要尝试基本密码破解,因为有如此多的联网设备,不需要密码。
NullCtrl项目团队还总是影响设备的所有者联系出版一个故事之前,确保他们有时间安全或删除。
Dagbladet记者与律师在挪威NullCtrl项目,以确保不违反任何法律。Sandli后讨论的演讲,一位美国调查记者说做一个类似的项目可以是非法在美国如果有人穿过阈值从看着Shodan搜索结果点击和试图控制一个设备,甚至一个无害的移动摄像头看到一个不同的观点。
在挪威,标准是没有恶意的行动。建议记者或准白帽黑客安全试图在美国进行一个类似的项目:先自己的法律建议。
Sandli说,他理解政府安全机构在美国有自己的方式在互联网上寻找无担保关键基础设施设备以及通知主人的需要加强保护。挪威国家安全局没有。但是NullCtrl之后,Dagbladet说,该机构作出自己的Shodan也开始开展主动搜索。 |
|
加载中...
发表于 2015-3-9 12:55:54
发表于 2015-3-9 12:55:56
