初段:インターネット上で最も恐ろしいの検索エンジン

“人々がGoogleでのものが表示されていないとき、彼らはそれを見つけることができません誰だと思います。それは本当ではないです。”

それはジョンMatherly、初段の生みの親、インターネット上で最も恐ろしいの検索エンジンによるとです。
ウェブサイトを探してWebをクロールグーグル(GOOG、フォーチュン500)とは異なり、初段は、インターネットのバックチャネルをナビゲートします。これは、サーバ、Webカメラ、プリンタ、ルータとに接続し、インターネットを構成するされ、他のすべてのものを探して、 “暗い”グーグルのようなものだ。 (初段のサイトでは、この物語の発行後月曜日ロードに時間がかかりました。)
初段には、24/7を実行し、万人約500接続されたデバイスおよびサービス毎月上の情報を収集します。
これは、初段に単純な検索で見つけることができるもの素晴らしいです。無数の交通信号灯、防犯カメラ、ホームオートメーション装置及び加熱システムは、インターネットに接続され、スポットに簡単にされている。
初段のサーチャーは、ウォーターパークのための制御システム、ガソリンスタンド、ホテルのワインクーラーと火葬場を発見した。サイバーセキュリティ研究者は、初段を使用することにより、原子力発電所と粒子加速サイクロトロンでも位置コマンドおよび制御システムを持っている。
何がこのすべてを見つけるために、初段の能力については本当に注目すべきだ – と何が初段とても怖いを作ること – これらのデバイスの非常に少数のは、それらに組み込まれているセキュリティのいずれかの種類を持っているということです。
“それは大規模なセキュリティ障害だ”と彼自身の研究目的のために初段のようなデータベースのプライベートバージョンを運営HDムーア、迅速な7の最高セキュリティ責任者は、言った。
関連ストーリー:ハッカーは米国の主要インフラに狙いを取る
“デフォルトのパスワード”のクイック検索では、ユーザー名とそのパスワードと “1234”のように “admin”を使用無数のプリンタ、サーバ、およびシステム制御装置を明らかにする。より多くの接続されたシステムは、全く資格を必要としません – あなたが必要なのは、それらに接続するためのWebブラウザです。
昨年のデフコンのサイバーセキュリティカンファレンスで与えられた講演では、独立したセキュリティ浸透テスターダンTentlerは、彼が蒸発冷却器、加圧された給湯器、及びガレージドアのために制御システムを見つけるするために初段をどのように使用したか実証し。
彼は、オンとオフ、ボタンをクリックするだけで解凍することができたデンマークのホッケーリンクにすることができる洗車を見つけました。街の全体の交通管制システムは、インターネットに接続された1つのコマンド入力を “テストモード”にすることができる。そして彼はまた、3メガワットそれぞれを生成2タービンとフランスの水力発電所の制御システムを発見した。
怖いものは、それが悪人の手に入った場合。
“あなたは本当にこれでいくつかの深刻なダメージを与える可能性がある”とTentlerは控えめに言った。
では、なぜすべてのこれらのデバイスは、いくつかの安全装置が接続されている?例えば、iPhoneで制御することができるドアロック、インターネットに接続されるように設計されているいくつかのものは、一般に発見することは困難であると考えられる。セキュリティは付け足しです。
関連ストーリー:あなたがそれを変更 ‘、パスワード1’を使用している場合。さて。
より大きな問題は、すべてでこれらのデバイスの多くもオンラインであるべきではないということです。企業は多くの場合、彼らは、言う、コンピュータによる加熱システムを制御できるようにすることができますシステムを購入する。彼らはどのように加熱システムにコンピュータを接続するのですか?それらを直接接続するのではなく、多くのIT部門は、単にうっかり世界の残りの部分とそれらを共有し、Webサーバーにそれらの両方を接続します。
“もちろん、これらのことにはセキュリティがない、” “彼らは最初の場所でインターネット上に属していません。”、Matherly言っ
良いニュースは、初段がほぼ独占的利益のために使用されることです。
Matherly、誰が、ペットのプロジェクトとして以上の三年前初段を修了しわずか10アカウントせずに結果、およびアカウントを持つ50に検索を制限してきた。と支払い – あなたは初段が提供しているすべてのものを見たい場合、Matherlyより多くのあなたが達成するために期待しているかについての情報を必要とします。
ペネトレーションテスター、セキュリティ専門家、学術研究者や法執行機関は、初段の主なユーザーである。悪役は、出発点としてMatherly認めているが、それを使用することができます。感染したコンピュータの大規模なコレクション –   – 検出されず、同じタスクを達成することができますが、彼は、サイバー犯罪者は、通常、ボットネットへのアクセス権を持っていると付け加えた。
現在までに、ほとんどのサイバー攻撃は、お金と知的財産を盗むに焦点を当てている。悪者はまだ建物を爆破または市内の交通信号を殺すことによって害を行うことを試みていない。
セキュリティ専門家は、初段を使用して、これらのセキュリティで保護されていない、接続されたデバイスとサービスをスポッティングすることによって、そのシナリオを回避することを望んで、彼らは脆弱だということ、それらを操作するものを警告している。一方で、ただ攻撃されるのを待っての話をするためにセキュリティなしでインターネットに接続されているあまりに多くの恐ろしいものがあります。

Leave a Reply