Pondělí, 25 listopadu, 2024

Shodan.io – najnebezpečnejší internetový vyhľadávač

Sdílet

Shodan je vyhľadávač zariadení pripojených na internet. Na rozdiel od tradičných vyhľadávačov ako napríklad Google alebo Bing neindexuje webové stránky, ale IP adresy- respektíve zariadenia pripojené do siete internet z dostupných IP adries. Shodan zbiera údaje o všetkých zariadeniach, ktoré sú pripojené do internetu. Ak je zariadenie priamo pripojené do siete (teda nie je chránené systémom ako napríklad Firewall), Shodan si od zariadenia „vyžiada“ dostupné informácie, ktoré mu zariadenie poskytne.

V čom sa Shodan líši od Googlu?

Základným rozdielom je princíp, ako vyhľadávače indexujú výsledky. Shodan prechádza celý internet, Google prechádza len povrchovú časť internetu na ktorej sú dostupné webové stránky- World Wide Web. Avšak ten obsahuje len malú časť zariadení, ktoré sú skutočne pripojené k internetu. Shodan má za cieľ poskytnúť celkový obraz internetu.

Ďalším rozdielom je, že na to aby ste mohli používať Shodan potrebujete znalosť vyhľadávacích dotazov s ktorými operuje. Napríklad nestačí do vyhľadávača vložiť dotaz „jadrové elektrárne v Česku“ a očakávať výsledky. Shodan bol navrhnutý pre vývojárov a špecialistov ktorí potrebujú k svojej práci maximum dostupných informácii a na to aby ste ich vedeli interpretovať potrebujete znalosti vyhľadávacích dotazov.

Možnosti zariadení, ktoré dokáže Shodan vyhľadať sú neobmedzené- od malých domácich počítačov až po automyčky alebo jadrové elektrárne. V nasledujúcich kapitolách je predstavená štruktúra vyhľadávania (vyhľadávacie dotazy), proces indexácie zariadení a príklady využitia. [1]

Proces indexácie

Na to, aby sme pochopili ako funguje vyhľadávanie v nástroji Shodan si musíme najprv objasniť, ako Shodan zbiera dáta o dostupných zariadeniach.

Zariadenia (napríklad servery, počítače, akýkoľvek hardware) sú pripojené do siete a poskytujú výkon pre služby, ktoré na nich fungujú. Shodan zbiera informácie práve o týchto službách. Každá služba prezentuje niečo ako svoju vizitku alebo banner. Tá obsahuje rôzne parametre, ktoré sa líšia u každej služby. Shodan prechádza celý internet a zbiera údaje, ktoré sú obsiahnuté v tejto vizitke. Ukážka nižšie obsahuje vizitku alebo banner webovej služby:

HTTP/1.1 200 OK
Server: nginx/1.1.19
Date: Sat, 03 Oct 2015 06:09:24 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 6466
Connection: keep-alive

Z informácii ktoré nám webová služba poskytla môžeme zistiť, že na zariadení funguje nginx software vo verzii 1.1.19. Nižšie je ukážka banneru priemyselného riadiaceho systému Siemens S7:

Copyright: Original Siemens Equipment
PLC name: S7_Turbine
Module type: CPU 313C
Unknown (129): Boot Loader           A
Module: 6ES7 313-5BG04-0AB0  v.0.3
Basic Firmware: v.3.3.8
Module name: CPU 313C
Serial number of module: S Q-D9U083642013
Plant identification: 
Basic Hardware: 6ES7 313-5BG04-0AB0  v.0.3

Z ukážky je jasné, že systém poskytol úplne iný banner obsahujúci oveľa viac informácii ako napríklad firmware, sériové číslo a rôzne ďalšie detaily o službe. Z dôvodu rôznych bannerov a parametrov ktoré môžu obsahovať je nutné vedieť, akú službu chceme v Shodane vyhľadávať ešte predtým ako s vyhľadávaním začneme. [2]

Štruktúra zdroja

Keď už vieme, ako Shodan indexuje dostupné služby, môžeme sa detailnejšie pozrieť na štruktúru dotazov a výsledkov, ktoré dokážeme vyhľadať.

Vyhľadávacie dotazy

Vyhľadávacie dotazy majú špecifický formát ktorý musí byť zachovaný, inak vyhľadávač nezobrazí správne výsledky. Dotazy majú nasledujúci formát: filter:hodnota V položke filter zadávame atribút vizitky, ktorý chceme vyhľadať. Hodnota reprezentuje konkrétnu položku, ktorú chceme vyhľadať.

Príklad jednoduchého vyhľadávacieho dotazu je napríklad vyhľadávanie podľa krajiny: country:CZ. Filter krajiny vyžaduje názov krajiny vo formáte dvoch veľkých písmen. V našom prípade CZ- Česko. Po zadaní tohto dotazu Shodan vypíše všetky výsledky nachádzajúce sa na území Česka.

Ukážku špecifického vyhľadávacieho dotazu je možné ilustrovať na príklade webovej služby v predošlej kapitole. Ak by sme chceli hľadať webové služby nginx vo verzii 1.1.19, do vyhľadávača Shodan by sme napísali dotaz Server: "nginx/1.1.19". Ak hodnota, ktorú sa snažíte vyhľadať obsahuje medzery alebo chcete vyhľadať konkrétnu kombináciu, musíte použiť úvodzovky ako v ukážke.

Vyhľadávacie dotazy je možné ľubovoľne kombinovať aby ste zúžili počet výsledkov, ako napríklad Server: "nginx/1.1.19" country:CZ

Ak neviete čo hľadáte, prípadne chcete Shodan len vyskúšať, môžete prezerať populárne vyhľadávacie dotazy na adrese https://www.shodan.io/explore

Značky

Značky (Tags) sú vytvorené užívateľmi Shodanu a pomáhajú v jednoduchšej orientácii vo vyhľadávači. Obrázok nižšie zobrazuje populárne značky, ktoré pomáhajú identifikovať vyhľadávacie dotazy.

Obrázok 1: Populárne tagy na webe Shodan.io [zdroj obrázku: https://www.shodan.io/explore]

Na ďalšom obrázku môžeme vidieť výsledok vyhľadávania dotazu "IN-TANK INVENTORY", ktorý by mal hľadať čerpacie stanice. Prvý výsledok na adrese 46.38.231.56 z Nemecka obsahuje tag honeypot, druhý výsledok z USA obsahuje tag ics.

Obrázok 2: Výsledky vyhľadávania dotazu v Shodane [zdroj obrázku: https://www.shodan.io/search?query=%22IN-TANK+INVENTORY%22]

Príklady využitia

Informácie získane zo Shodanu môžu byť aplikované v mnohých legitímnych odvetviach. Vyhľadávač za posledné roky získal mnoho pozornosti aj z dôvodov, že je často spájaný s hackermi, ktorý ho využívajú za účelom identifikácie obetí a zraniteľných systémov- od malých firiem až po nemocnice, elektrárne alebo rôznych vládnych systémov.

  • Zabezpečenie siete: vyhľadajte si svoju IP adresu a uistite sa, že vaše zariadenia nie sú verejne prístupné z internetu [1]
  • Prieskum trhu: marketingoví pracovníci môžu získať prehľad, aké modely zariadení používajú ľudia po celom svete [1]
  • Kyberbezpečnosť / penetračné testy: špecialisti na IT bezpečnosť používajú tento nástroj za účelom testovania bezpečnosti organizácii [1]
  • IoT: väčšina IoT zariadení je priamo pripojená do internetu, čo znamená že si môžete na Shodane vyhľadať modely chladničiek, svetiel, zámkov a rôznych prvkov chytrej domácnosti [1]
  • Sledovať ransomware: Shodan umožňuje vyhľadávať niektoré verzie vírusov typu ransomware, čím pomáha špecialistom na IT bezpečnosť identifikovať rozsah útoku [1]

Záver

Shodan je mocný vyhľadávací nástroj ktorý môže v nesprávnych rukách spôsobiť veľké škody. Jeho funkcie avšak nevyužívajú žiadne ilegálne praktiky, zhromažďuje len údaje ktoré sú verejne prístupné a upozorňuje na nedostatočné zabezpečenie kritickej infraštruktúry.

Zdroje

[1]       „What is Shodan? – Shodan Help Center“. https://help.shodan.io/the-basics/what-is-shodan (viděno pro. 07, 2021).

[2]       „Search Query Fundamentals – Shodan Help Center“. https://help.shodan.io/the-basics/search-query-fundamentals (viděno pro. 07, 2021).

Zoznam obrázkov

Obrázok 1: Populárne tagy na webe Shodan.io [zdroj obrázku: https://www.shodan.io/explore]
Obrázok 2: Výsledky vyhľadávania dotazu v Shodane [zdroj obrázku: https://www.shodan.io/search?query=%22IN-TANK+INVENTORY%22]

Číst více

Další články