Суббота, 26 января


Попалась мне тут сегодня на «Хабрахабре» статья о том, как найти при помощи специального запроса в Google веб-интерфейсы сетевых принтеров, подключенных к внешней сети и каким-то образом попавших в индекс поисковой системы. Не понимаю, правда, как Google может найти принтер организации, если ссылка на его веб-интерфейс нигде в Интернете не публиковалась, но таких ссылок в поисковой выдаче достаточно таки много. Многие сетевые офисные принтеры кроме того, что позволяют с помощью веб-интерфейса проверить количество бумаги в лотке и количество чернил в картриджах, позволяют еще и отправить задание на печать либо с помощью загрузки файла на сам принтер, либо с помощью внешней ссылки, по которой принтер сможет получить документ, который требуется отпечатать. Нет, я, конечно, ни в коем случае не рекламирую данную уязвимость, так как считаю, что расходовать чужую бумагу и чернила только лишь для собственного сомнительного развлечения ― это мелкое вредительство, однако эта ситуация хорошо показывает нам, что многие почему-то не понимают, что к принтеру, подключенному к Интернету, можно получить доступ не только из соседнего кабинета, но и из соседнего континента, и хорошо, если человек, получивший таким образом доступ к Вашему оборудованию, просто-напросто напечатает Вам приветственное сообщение либо какой-нибудь небольшой роман Льва Николаевича и израсходует всю бумагу с чернилами ― в таком случае Вы просто будете в следующий раз бдительнее и отключите доступ к принтеру из сети Интернет (или хотя бы установите пароль); совсем же другое дело будет в том случае, если злоумышленник, пользуясь общедоступной панелью управления принтером, установит какую-нибудь свою прошивку, которая будет все задания на печать, которые вы будете отправлять принтеру, копировать и высылать на электронную почту злоумышленника (такие случаи, кстати, были ― можете посмотреть в комментариях к статье, ссылку на которую я дал чуть выше, там, кажется, было ссылку на другую статью, но уже о взломе с целью шпионажа). Собственно, к владельцам принтеров, доступ к которым можно получить через Интернет, у меня есть еще и другой вопрос: а почему, собственно, они держат принтер включенным даже в выходной? А как же экономия электричества? Нас заставляют даже зарядные устройства для мобильных телефонов из сети вынимать при уходе, а тут вон холодильники целые работают и ничего. У нас, кстати, тоже есть сетевой принтер, однако он подключен только к офисной сети без доступа в Интернет и доступ предоставляет только для подключений с определенных внутренних IP-адресов, нами используемых. Внутренние адреса тоже просто так получить не получится: DHCP-сервер назначает фиксированные адреса под каждый MAC-адрес. Ну и стоит ли говорить, что VPN не позволяет выходить из Интернета на нашу офисную сеть?

Мне, вот, лично понравилась больше другая возможность веб-интерфейсов, которую упомянули в комментариях к вышеуказанной статье. Я говорю о возможности находить через Google веб-интерфейсы сетевых камер с возможностью просмотра изображения в онлайне. Как правило, это достаточно дорогие камеры, оснащенные мотором для изменения точки обзора, так что смотреть такую трансляцию ― одно удовольствие, и при этом Вы никому не наносите никакого вреда. Так, например, я нашел камеру, установленную в клетке с попугайчиком, однако поскольку в том месте, где установлена эта камера (а это какая-то азиатская страна), на момент просмотра была уже ночь, то попугайчика отыскать мне не удалось (вероятно, он спрятался в некое подобие домика для хомячка, которое было установлено в углу клетки). Также помню, что когда-то были камеры, установленные в каком-то национальном парке в чьей-то норе. Не помню сейчас уже какое животное там можно было наблюдать, но было очень интересно. Точно так же можно было следить за косулями возле их кормушки, но сейчас почему-то эту камеру отключили. А зря, у меня слежение за косулями занимало где-то по полчаса в день и я даже изучил график дня косули (как правило, они приходили к кормушке в одно и то же время, где-то через полчаса после того, как им приносили туда питание). Скриншот выше, кстати, тоже сделан с одной из таких камер. Вообще мне попалось достаточно много камер с красивыми видами: были и пляж, и замерзшая речка, и какой-то американский город, где только что выпал снег и все его расчищали с дороги лопатами, и даже какая-то пустыня, посреди которой стоит здание со спутниковыми антеннами на крыше (скорее всего, какой-то исследовательский центр; подписано все, увы, было только на китайском или японском языках, которых я не понимаю и даже не различаю чаще всего). Я вообще удивился тому, что ссылки на эти камеры нигде не публикуют ― интересно ведь наблюдать, наши камеры от «Укртелекома», которые показывают картинку в низком разрешении через заляпанное стекло, даже не могут конкурировать с тем, что я нашел за две минуты поиска в Google. Да уж, была бы у меня дача, я бы пренепременнейше установил там такую камеру и несколько часов в день следил бы за тем, что там делается в мое отсутствие. Но дачи у меня, увы, нет, да и нормальное подключение к Интернету там бы вряд ли было, даже если бы она у меня была, так как в дачных поселках у нас в данный момент наиболее популярные провайдеры те, кто предоставляет беспроводной Интернет, который мало того, что стоит немало, так еще и не славится особой стабильностью и высокой скоростью. Ну про спутниковый Интернет я вообще молчу, так как дешевле будет проложить прямое оптическое соединение между дачей и тем местом, где можно подключить нормальный Интернет.

Вспомнилась и одна история, которую мне рассказывал друг, который в 2009-ом году закончил достаточно таки пафосную днепропетровскую школу, где чуть ли не раньше всех остальных школ в городе ввели электронный дневник и уведомления родителям при помощи SMS-сообщений и электронной почты. Как-то мой друган очень-очень достал завуча этого замечательного учебного заведения и та то ли решила выставить двойку в полугодие и порадовать этим известием его родителей, то ли захотела пригласить к себе его отца, но факт тот, что ей нужно было зайти на специальную веб-страницу, где писалось сообщение, которое доставлялось родителям либо при помощи короткого текстового сообщения на мобильный телефон, либо при помощи электронного письма. Вот же все-таки недалекая завуч какая! Я бы просто взял номер телефона да позвонил, а она вон какую схему задумала. Школа-то у него достаточно крутая была, но вот Интернет там был от «Укртелекома» по технологии ADSL, которая предполагает наличие модема. Мой друган, у которого уже тогда был мобильный телефон с Wi-Fi (который у меня появился только на три года позже), быстро нашел беспроводную сеть, которую предоставлял модем, стоящий в кабинете завуча. Так как в телефонах тогда еще особо беспроводного Интернета не было, а планшеты начались только с появлением iPad'а, пароля на сети не было (и я вообще сомневаюсь, что работники были в курсе того, что ADSL-модем еще, между прочим, дает Wi-Fi, так как по свидетельству моего друга все компьютеры были подключены исключительно кабельным способом). Мой приятель, пока завуч писала свой гневный пасквиль, подключился к беспроводной сети, зашел на сайт, который показывает IP-адрес посетителя, после чего скопировал этот адрес в адресную строку и что Вы думаете увидел? Приветственное сообщение веб-интерфейса модема. Набрав дефолтный логин и пароль «admin» он тут же попал в панель управления, где удалил подключение по VPI/VCI 0/32 и отправил модем в ребут. Злая завуч уже потирала руки в предвкушении того, как зол будет его отец, получив ее сообщение, как вдруг увидела, что сообщение ее не отправляется, да и страница для пасквилей открываться перестала. Так как преподаватель информатики в его школе знал только основы своего предмета, то выяснить, в чем проблема, никто не смог до обращения в техподдержку, а там уже и завуч успокоилась, и вопрос по моему другу как-то сам по себе отпал. Отсюда вывод:
1. Всегда меняйте пароль на Вашем роутере и не забывайте, что кроме admin'а там есть еще user и support (это для D'Link, инструкции по другим ищите в сети).
2. Никогда не позволяйте пользователям, подключенным через беспроводное соединение (тем более свободное), получать доступ к веб-интерфейсу роутера. Как правило, роутеры позволяют открыть доступ к настройкам только тем, кто подключен по кабелю, в противном же случае Вы всегда можете открыть доступ к веб-интерфейсу только с одного внутреннего IP-адреса, который можно привязать к конкретному компьютеру с использованием MAC-адреса.

Да и вообще я советую время от времени заглядывать в статистику Вашего роутера/модема/принтера и просматривать журналы подключений. Это самый простой способ обнаружить попытки несанкционированного подключения, а также Вы сможете выявить незаконно подключенных клиентов.


26.01.2013, 21:16
  Интернет, безопасность, сеть, Google.
Просмотров: 2782.
6