Shodan поисковик

Всем пользователям известны такие поисковые системы как Google, Яндекс, Рамблер, Yahoo, Bing и можно перечислять еще множество как отечественных, так и зарубежных (например Китайских) поисковиков.

Такие ПС ищут в сети веб-страницы, картинки, видео, документы и новости.

Но в узких кругах, например служб специализирующихся на разведке, кибербезопасности и кибератаках пользуются .

Что же представляет собой поисковик SHODAN? Система же SHODAN опрашивает порты подсоединенных к сети машин и собирает выдаваемые в ответ баннеры, после чего индексирует эти баннеры на предмет последующего быстрого отыскания соответствующих устройств. В итоге такой обработки, вместо того, чтобы предоставлять специфический контент страниц, содержащих конкретное поисковое слово запроса, SHODAN помогает своим пользователям отыскивать специфические узлы сети: настольные системы, серверы, роутеры, свитчи, веб-камеры, принтеры и т.д.

В отличие от Google, который ищет в Сети простые сайты, Shodan работает с теневыми каналами Интернета. Shodan работает 24 часа в сутки 7 дней в неделю, собирая информацию о 500 млн подключенных устройствах и услугах ежемесячно.

В докладе, сделанном на хакерской конференции Defcon, независимый специалист по тестовым проникновениям Дэн Тентлер продемонстрировал, как с помощью SHODAN можно отыскивать:

1. тепловые системы испарения;
2. бесчисленные светофоры;
3. бойлеры для нагревания воды под давлением;
4. системы управления дверями гаражей;
5. систему управления автотрафиком целого города, переключаемую в «тестовый режим» с помощью ввода единственной команды;
6. систему управления гидроэлектростанцией, две турбины которой вырабатывают энергии по 3 мегаватта каждая;
7. системы управления аквапарка, газовой станцией, охладителя вина в отеле и крематория;
8. командно-контрольные системы ядерных электростанций и ускорителя атомных частиц.

И особенно примечателен в Shodan с его пугающими возможностями тот факт, что очень немногие из упомянутых систем имеют хоть какую-то систему безопасности.

«Этим можно нанести серьезный вред», - сказал Тентлер о вероятии попадания таких возможностей не в те руки.

Чаще всего эту загадочную и массовую беспечность людей объясняют примерно так: для очень многих из всех этих промышленных устройств вообще никогда не предусматривалась работа в онлайне. Известно, что многие компании желают приобрести системы, которые позволяют им управлять, скажем, системой отопления с помощью компьютера. Но каким образом управляющий компьютер подсоединяют к системе отопления? Вместо того, чтобы подключать их напрямую друг к другу, многие ИТ-подразделения просто втыкают оба устройства в веб-сервер компании - невольно объединяя при этом свои сугубо внутренние каналы со всем остальным миром. Иначе говоря, чудовищная небезопасность подобных решений объясняется тем, что при минимально грамотном подходе таких вещей просто не должно быть в интернете в принципе. И как надеются специалисты по инфозащите, поисковики типа SHODAN способны эту бедственную ситуацию поправить.

Но как сделать так, чтобы SHODAN использовался лишь ради добрых дел? Хозяин движка Джон Мэтерли ограничивает для пользователей поиски в своей системе потолком в 10 результатов без регистрации и 50 при наличии зарегистрированного аккаунта. Если же пользователь желает посмотреть все, что имеется на данный счет у SHODAN, то Мэтерли требует дополнительную разъясняющую информации относительно того, какова цель этих поисков. Плюс некоторую оплату за услуги.

Основные пользователи SHODAN - это специалисты по тестам на проникновения, профессионалы в области безопасности, академические исследователи и правоохранительные ведомства. Естественно, Мэтерли признает, что и злоумышленники тоже могут использовать его поисковик в качестве стартовой площадки для своих гнусных дел. Но этот аспект исследователя не особо беспокоит. Потому что кибепреступники, как известно, обычно имеют доступ к ботнетам - то есть большим комплексам уже зараженных кодами-вредоносами компьютеров - которые способны заниматься той же самой задачей, что и SHODAN. Но только без засвечивания своих преступных интересов в легальном сообществе защиты информации. Кроме того, подавляющее большинство криминальных кибератак сфокусировано на хищениях денег и интеллектуальной собственности. О вредительских попытках злоумышленников взрывать через интернет системы отопления в домах или массово вырубать светофоры в городах пока что ничего не известно. Ну а профессионалы в области безопасности, со своей стороны, всячески пытаются предотвратить развитие событий по подобным сценариям. В том числе, и выявлением с помощью SHODAN всех тех незащищенных, но массово подсоединяемых в общую сеть устройств и сервисов.

Если сделать в простой поиск по запросу «default password», можно найти бесконечное число принтеров, серверов и систем управления с логином «admin» и паролем «1234». Еще больше подключенных систем вообще не имеют реквизитов доступа – к ним можно подключиться с помощью любого браузера.

На вопросы, связанные с работой Shodan попросили ответить самого его разработчика – Джона Матерли.

В: Джон, как вы начали работу над Shodan?

О: Я начал в своё свободное время с компьютером Dell за 100 долларов и работал понемногу в течение трёх лет. Когда я начинал, я добавлял 10.000 – 100.000 обнаруженных устройств в месяц, сейчас я добавляю сотни миллионов. Скорость, с которой я могу работать, сейчас существенно выросла.

В: Это очень много. А в чём заключается цель создания Shodan?

О: Он используется не совсем для того, для чего я его проектировал. Фактически, я создавал Shodan, чтобы компании могли отслеживать, где используется их программное обеспечение. Теперь же его используют эксперты по вопросам безопасности для поиска программ, устройств и уязвимостей в различных системах защиты.

В: Shodan работает подобно Google?

О: Да, они похожи. Но боты Google проходят по ссылкам - я же этого не делаю. Единственное, что я делаю - это выбираю случайный IP из всех существующих, неважно, находится ли он онлайн и используется ли вообще – и пытаюсь подсоединиться к нему через разные порты. Это не является некоей визуальной системой, в том смысле, что вы не можете использовать для этих целей некий браузер. Большинство людей даже не смогут это просто так обнаружить, поскольку у этой информации нет визуального представления.

В: Так какие же устройства, к которым вы можете получить доступ, оказались подключены к интернету? Что-нибудь такое, чего вы не ожидали увидеть?

О: Одним из таких устройств оказался, например, циклотрон - ускоритель заряженных частиц. Это оборудование для проведения экспериментов в области теоретической физики, оно очень, очень нестабильно, и ни при каких обстоятельствах не должно подключаться к интернету. Ещё были разные странные вещи вроде крематориев. Вы видите, как в системе появляется имя человека и получаете доступ к различным настройкам кремирования. Для этого не требуется никакой аутентификации, никаких паролей, ничего. Ещё была огромная мегаваттная гидроэлектростанция онлайн во Франции. Что интересно, за ней уже имелась история отказов, городок рядом с ней однажды затопило из-за ошибки на станции.

В: Разве вещи вроде электростанций не должны иметь более серьёзные системы защиты?

О: Одна из причин, почему так получается - потому что люди стараются сэкономить деньги. Интернета даже не существовало в те времена, когда было построено большинство из этих станций, поэтому они просто купили адаптер, чтобы подключить комплекс к интернету, и сэкономить немного денег на развёртке полноценной защищённой системы. Вполне очевидно, что они вообще не думали о безопасности.

В: Вы говорите, что очень многие вещи не требуют даже пароля?

О: Да, это так. И даже те устройства, которые требуют аутентификации, часто используют установки по умолчанию, поэтому всё что вам нужно - это выйти в Shodan и поискать устройства, использующие пароль по умолчанию.

В: Как вы относитесь к потенциальной угрозе, возникающей из-за такого положения вещей?

О: Есть разные уровни проблемы безопасности. Вебкамеры, подключённые к интернету, возможно, представляют собой минимальную угрозу, но они, вполне очевидно, могут нарушать личную конфиденциальность. Маленькие устройства технически не представляют угрозы национальной безопасности сами по себе. Но если вы имеете возможность скомпрометировать сотни тысяч таких устройств, тогда это действительно становится проблемой национальной безопасности, поскольку имея контроль над таким количеством устройств в одной стране, вы можете причинить невероятно много вреда. Поэтому проблема становится критичной, когда речь идёт о больших количествах.

В: Вас не удивляет, что ничего серьёзного до сих пор не случилось?

О: Я думаю, люди недооценивают количество технических знаний, необходимых для того, чтобы перейти от открытия к успешному использованию. А во-вторых, вы никогда не знаете, как долго система действительно была подвержена воздействию. Вы можете получить к ней доступ, запустить неё некую программу в спящем режиме, и когда вам понадобится использовать её для некой стратегической цели, вы снова сможете войти в неё.

В: То есть прямо сейчас в какой-нибудь важной системе может находиться спящий вирус?

О: Да, это вполне возможно. Я имею ввиду, что вам в любом случае требуются определённые познания - вы не можете быть 16-летним подростком, который просто взял и подключился к системе управления электростанции, это отнюдь не так просто. Вы можете найти её с помощью Shodan, но чтобы установить в неё свой код, вам потребуются реальные знания того, как работает это устройство, особенно если речь идёт о таких сложных системах, как электростанция.

В: Что в таком случае останавливает хорошо подготовленных преступников от использования Shodan для причинения вреда?

О: Люди, которые действительно знают, что они делают, и намерены сделать что-то противозаконное, не станут использовать для этого Shodan, поскольку они совершенно не хотят оставлять следы, по которым их можно отследить. Shodan не является анонимным сервисом. Если вы хотите использовать его, чтобы получить более 50 ответов на запрос – а 50 это совсем немного - вам необходимо предоставить вашу персональную информацию, а также определённую плату. Если кто-то хочет сделать нечто действительно противозаконное, они используют ботнеты, которые соберут для них ту же информацию.

В далеком уже по компьютерным меркам 2009 году молодым и перспективным швейцарцем Джоном Метерли была разработана и создана специализированная поисковая система Shodan . Предназначалась она для производителей оборудования как поисковик подключенных к интернету устройств конкурентов . Но вопреки этому очень быстро стала главным инструментом правоохранительных органов, спецов по безопасности, исследователей. Не обошли Shodan своим вниманием и хакеры, которые используют ее для обнаружения уязвимых устройств , причем даже тех, которые не должны иметь выхода во всемирную паутину.

Любой желающий, воспользовавшись услугами поисковика, получает до 10 результатов каждой выдачи. Заплатив же 20$ за год, можно получать до 10 тысяч результатов. Обширная база поисковика включает большое количество самых разных устройств. От безобидных принтеров или веб камер до систем управления электростанциями, многие из которых в плане безопасности оставляют желать лучшего. Иногда для осуществления хакерской атаки не нужно обладать даже минимальными знаниями . Достаточно ввести запрос и получить очень приличное кол-во разного рода гаджетов, беспечные владельцы которых, даже не удосужились сменить пароль по умолчанию (обычно это 12345, admin и т. п,). Как видите здесь даже ломать ничего не надо: находим инструкцию к девайсу в том же интернете или у продавца узнаем и вперед!.. Введите в поисковой строке webcam и Shodan выдаст массу результатов, которые неподготовленному человеку могут показаться бессмысленными, но хакер среднего уровня легко определит способ использования устройства, его местонахождение и сможет установить контроль над ним.

На одной из конференций эксперт по безопасности Дэн Тэнтлер показал что может дать поисковик хакеру-профи . К примеру с помощью Shodan он обнаружил автомобиль на котором смог дистанционно запустить, а потом заглушить двигатель, нашел не защищенную систему управления светофорами, которая легко переводится в тестовый режим, в Дании нашелся каток, который дистанционно с помощью нажатия кнопки легко разморозить и т. д. Ну как? Сильно напуганы? А напрасно… Есть много способов защиты .

1 :меняйте пароли установленные по умолчанию на своих девайсах

2 :Далеко не все ваши устройства требуют обязательного подключения к сети интернет и могут работать в пределах локальной сети

3 : Саму поисковую систему Shodan можно использовать для проверки защищенности ваших устройств . Для этого наберите net: IP-адрес устройства . Ну и до следующих встреч! Пока!

CNN в свое время назвала Shodan «самым страшным поисковиком интернета». И даже его название действительно звучит пугающе. Несмотря на то, что это было три года назад, Shodan не особо развился с тех пор. Для тех, кто незнаком с Shodan: он ищет подключенные к интернету устройства по всему миру. Это понятие включает в себя не только компьютеры и смартфоны, он также может найти ветровые турбины, светофоры, устройства считывания номерных знаков, холодильники и практически все остальные устройства с подключением к Сети.

Не стоит забывать о том, что многие из этих устройств, которыми мы пользуемся каждый день, не имеют защиты. Следовательно, такой поисковик - мечта хакера. Shodan не единственный поисковик такого типа. В этой статье мы рассмотрим еще четыре поисковика, ориентирующихся на поиск уязвимостей. Возможно, некоторые из них вам знакомы.

Сначала давайте узнаем больше о Shodan.

Shodan

Рисунок 1. Поисковик Shodan

Напомним, что Shodan далеко не новый, но постоянно обновляющийся поисковик. Его название является отсылкой к SHODAN, персонажу из серии игр System Shock. Самый часто встречающийся запрос в этот поисковик - «Server: SQ-WEBCAM» - показывает количество подключенных в данный момент IP-камер. Если вы пробуете воспользоваться Shodan в первый раз, введите этот топовый запрос и посмотрите, что получится.

Основная причина, по которой Shodan считается хорошим поисковиком для хакеров, заключается в типе информации, которую он способен предоставить (например, типы соединения). Несмотря на то, что подобную информацию можно найти и в Google, вы должны использовать для этого верные условия поиска, которые не всегда очевидны.

Еще один из самых популярных запросов в Shodan - «пароль по умолчанию». Вы будете удивлены, как много устройств перечислены в поисковой выдаче по этому запросу. Будем надеяться, что вашего там нет, но если есть, лучше измените пароль.

Shodan довольно полезен, если вы ищете более конкретную информацию. Хороший пример: сделать поиск по запросу «SSH port:’22’». Вы увидите множество устройств, работающих по SSH и использующих порт 22.

В результатах выдачи вы также можете увидеть IP-адрес, местоположение и порты, которые устройство использует.

Также Shodan, как правило, показывает некоторые особенности каждого устройства, например: MAC-алгоритмы, алгоритмы шифрования, алгоритмы сжатия.

Если вы заметили, что информация о вашем устройстве, которую вы не хотели бы обнародовать, появилась в поисковой выдаче Shodan, стоит задуматься над тем, чтобы пропатчить его. Для тестеров эта информация так же важна, как для хакеров.

Конечно, и для обычного пользователя, не являющегося хакером или тестером, будет интересно исследовать Shodan и посмотреть, какая информация выдается в нем.

Еще один из пугающих запросов - «port: ‘6666’’ kiler», который находит устройства, зараженные трояном KilerRat.

Рисунок 2. Троян KilerRat

KilerRat - троян, предоставляющий удаленный доступ к зараженному компьютеру. Он может красть учетные данные, изменять записи в реестре, получать доступ к веб-камере пользователя.

PunkSPIDER

Рисунок 3. Поисковик PunkSPIDER

На первый взгляд, PunkSPIDER не выглядит большим и серьезным поисковиком, особенно в сравнении с Shodan. Но их цели похожи. PunkSPIDER является системой для поиска уязвимостей в веб-приложениях. В его основе лежит PunkSCAN, сканер безопасности. PunkSPIDER может искать уязвимости, подверженные следующим типам атак: межсайтовый скриптинг (XSS), слепая SQL-инъекция (BSQLI), Path Traversal (TRAV).

Даже если вы понятия не имеете, что собой представляют эти виды атак, вы все равно можете использовать PunkSPIDER для проверки своего сайта на уязвимости.

Вот пример результата для запроса «сайт»:

Scanned: 2016-08-11T20:12:57.054Z

Bsqli:0 | sqli:0 | xss:0 | trav:0 | mxi:0 | osci:0 | xpathi:0 | Overall risk:0

Первая строка отображает домен. Во второй строке показаны дата и время, когда домен был добавлен в систему PunkSPIDER. В третьей строке можно увидеть список различных типов атак и были ли обнаружены уязвимые к этим атакам места.

Если вы сделаете более обобщенные запросы, используя термины вроде «блог», «социальные сети», «форум» или «порно», вы получите сотни результатов. Тот факт, что сайт отображается в выдаче, еще не значит, что он заражен. Для более гибкого использования PunkSPIDER можно воспользоваться специальной справкой.

Также можно проверить, как это работает с сайтами в сети Tor. Если ввести в поиск «.onion», мы получим 588 результатов. Непонятно, все ли они инфицированы или нет, но это можно проверить.

IVRE

Рисунок 4. Поисковик IVRE

Поисковик IVRE, в отличие от Shodan или PunkSPIDER, создан для хакеров, программистов, тестеров. Даже использование главной консоли этого поисковика требует базовых знаний сетевых технологий.

Так что же представляет собой IVRE (Instrument de veille sur les réseaux extérieurs)? На самом деле, это открытый исходный код, написанный на Python с MongoDB. Использует такие инструменты, как Bro, Argus, NFDUMP и ZMap для вывода данных о подключенных к интернету устройствах. IVRE также поддерживает возможность импорта данных в формате XML из Nmap и Masscan.

Главный сайт IVRE предоставляет результаты сканирования Nmap, которые можно отсортировать, используя ключевые слова (в этом смысле есть схожесть с Shodan). Вот несколько ключевых слов, которые можно попробовать: «phpmyadmin», «anonftp», «x11open». Таким образом, фильтр по «phpmyadmin» возвращает поисковые результаты по серверам phpMyAdmin, «anonftp» ищет FTP-серверы, предоставляющие анонимный доступ, «x11open» ищет открытые серверы X11. Это, может, и не является революционным открытием, однако, если потратить некоторое время и понять принцип и особенности работы IVRE, можно обнаружить, насколько полезным является этот поисковик.

Пример ниже показывает результаты поиска по ключевым словам «phpmyadmin» и «sortby:endtime».

Рисунок 5. Поисковая выдача IVRE

Тем, кто хочет знать больше о технических особенностях IVRE, рекомендуется посетить их GitHub . Также можно почитать их , хотя он давно не обновлялся.

ZoomEye

Рисунок 6. Главная страница поисковика ZoomEye

ZoomEye, как и его аналоги, ищет подключенные к интернету устройства и уязвимости. Но прежде чем вы скажете «мы это уже проходили», давайте разберемся, в чем заключаются его особенности.

За ZoomEye стоят разработчики из Knownsec Inc, китайской компании, работающей в области безопасности, находящейся в Пекине. Первая версия этого поисковика была выпущена в 2013 году, а последняя известна под именем ZoomEye 3.0.

Опять же, извлечь из работы с этой поисковой системой больше пользы можно, если вы знаете конкретные строки и ключевые слова для поиска того, что вам нужно. Вот несколько примеров:

Apache httpd - находит результаты для HTTP-серверов Apache.

device:”webcam” - находит список веб-камер, подключенных к интернету.

app:”TED 5000 power use monitor” - находит список мониторов The Energy Detective (TED).

ZoomEye, как и Shodan, позволяет легко фильтровать результаты поиска по стране, общественным устройствам, веб-сервисам и т. д. Если же вы не знаете, что именно искать, поисковая система начинает отображать популярные запросы.

В некоторых случаях поиск даже по какому-либо случайному слову может привести к довольно интересным результатам. Для примера, попробуйте поискать по слову «zombie».

Censys

Наконец, давайте посмотрим на Censys. Он, как и описанные выше поисковики, ищет устройства, подключенные к интернету. Censys собирает данные, используя ZMap и ZGrab (сканер прикладного уровня, который работает с помощью ZMap), и сканирует адресное пространство IPv4.

Можете поэкспериментировать с Censys. Вот несколько примеров, которые можно использовать для поиска:

https://www.censys.io/ipv4?q=80.http.get.status_code%3A%20200 - этот запрос позволяет осуществить поиск всех хостов с определенным кодом состояния HTTP.

Также можно ввести в поисковую строку IP-адрес, например «66.24.206.155» или «71.20.34.200». Кроме того, Censys может выполнять полнотекстовый поиск. Если вы введете «Intel», вы найдете не только устройства Intel, но и хосты с записью «Intel» в регистрационных данных. Как и в большинстве поисковых систем, вы можете использовать логические операторы «and», «or» и «not».

Опять же, эта информация для того, чтобы вы знали, с чего начать. Далее, узнавая постепенно систему, вы найдете гораздо более полезные функции.

Как насчет руководства по эксплуатации?

Работа с большинством из этих поисковых систем потребует немного практики, прежде чем они станут действительно эффективными инструментами. Но будет интересно просто посмотреть, как они работают и какие результаты выдают.

Для тех же, кто давно не новичок, эти поисковики могут стать мощными инструментами. Очень полезными они могут оказаться и для разработчиков.

Так что если поисковые запросы «SMTP server» или «APC AOS cryptlib sshd» вызывают у вас улыбку понимания, вам настоятельно рекомендуется попробовать все вышеописанные поисковые системы.

Kachmir Hill , Forbes . com , авторизованный перевод.

Марк Гилберт получил от незнакомца ужасный сюрприз в августе этого года на свое 34-летие. Когда закончилась вечеринка, в тишине квартиры он услышал обращенные к его двухлетней дочке слова: «Просыпайся ты, маленькая дрянь». Гилберт обнаружил, что слова слышатся из электронной системы «радионяни», установленной у них в квартире. Когда он включил компьютер, управляющий его умным домом, тона экране телевизора демонстрируется фильм, как он встречается со своей секретаршей. Когда он попытался выключить «радионяню» на компьютер пришло письмо со следующим текстом: «Идиот, никогда не увольняй хороших программистов. Сегодня я добрый, поэтому просто поиздевался. А в следующий раз могу и показать про тебя что-нибудь такое, что не понравится твоей жене».

Известная компания Foscam, расположенная в Шеньчжени в Китае, производит чрезвычайно популярные по всему миру мониторы. Несколькими месяцами ранее событий, произошедших в доме Гилберта, исследователи безопасности обнаружили программные ошибки в низкоуровневых программах, установленных на мониторе. Эти ошибки позволяют взять контроль над монитором, а через него и над компьютером, даже когда системный блок отключен от интернета, а монитор подключен к сети. Для этого всего-навсего надо ввести определенную команду, используя имя пользователя «Админ». Когда у Гилмерта произошли описываемые события, он пригласил своего сотрудника, и тот, используя поисковую систему Shodan , быстро обнаружил уязвимость. Дальше сотрудник установил, что единственное, что сделал хакер, это после имени Админ поставил собственное имя пользователя ROOT и подключался к системе управления умным домом Гилберта тогда, когда хотел.

На сегодняшний день Shodan помимо компьютеров, ноутбуков, планшетников, мониторов, серверов способен сканировать электронные мониторы сердца, электронные системы отопления и водоснабжения зданий, очистные сооружения, электростанции и даже сети светофоров в большинстве городов мира. Учитывая, что стандартная конфигурация умного дома, которую использует Гилберт, сейчас в Америке стоит более чем у 40 тыс. людей, мне стало жутко, что используя бесплатную поисковую машину и элементарные навыки взлома, они станут легкой хакерской добычей.

«Я сделал Google для электронных устройств», – говорит Джон Мазерли, высокий 29-летний человек с козлиной бородкой, который создал Shodan в 2009 г. Он назвал свой поисковик в честь знаменитой злодейской разумной машины, действующей в одной из самых популярных видеоигр. Мне он сказал: «Это название специально для ботаников и хакеров. Только они его поймут полностью».

Первоначально Мазерли думал, что Shodan будут использовать такие компании, как Cisco или Microsoft, чтобы мониторить своих конкурентов. Вместо этого, она сегодня стала важнейшим инструментом для специалистов по информационной безопасности, исследователей, работников правоохранительных органов и хакеров. Фактически сегодня это единственная машина, которая позволяет дистанционно определять уязвимые для взлома электронные устройства, подсоединенные к интернету. Согласно только что вышедшему обзору, подготовленному компанией Ericsson, к 2020 г. интернет вещей будет включать в себя как минимум 50 млрд.устройств. Shodan – единственный поисковик, который позволяет искать уязвимости в интернете вещей. Мазерли говорит: «Я не считаю свой поисковик страшным. Страшным является то, что наши электростанции, тепловые сети или больничные аппаратные центры напрямую подключены к интернету».

Дэн Тентлер, исследователь безопасности, создал программу Eagleeye. Эта программа является своеобразной надстройкой над Shodan. Shodan находит уязвимости в видеокамерах, а программа автоматически подключается к ним и направляет обладателю программы потоковое видео с этих камер. На сегодняшний день он обнаружил почти миллион видеокамер, к которым он может в любой момент подключиться и наблюдать все то, что показывают эти видеокамеры.

Используя Shodan исследователь безопасности Билли Риос создал систему, которая позволяет брать под контроль системы безопасности электро-, тепло- снабжения, действующие в банках, жилых домах, конференцзалах и т.п. В число таких объектов вошла, например, штаб-квартира Google в Австралии. Риос сказал, что «после того, как вы обнаружили IP адрес, вы можете прямо сейчас, используя мою программу взять под контроль системы жизнеобеспечения более чем на 2 000 объектах». Известно, что в знаменитых случаях, когда в 2012 г. хакеры смогли взять под контроль систему жизнеобеспечения в одном из государственных, правительственных объектов, а в 2013 г. проделали такую же операцию в отношении важного производственного объекта, они использовали Shodan.

Джон Мазерли родился и вырос в Швейцарии, бросил среднюю школу в 17 лет и переехал в Америку, чтобы жить со своей тетей-стюардессой в Сан-Диего. Приехав в Америку, он сразу же начал работать продавцом в книжном магазине и параллельно учиться в колледже, а затем в Университете Сан-Диего. По окончании Университета он стал работать в суперкомпьютерном Центре Университета, где продолжает трудиться, занимаясь биоинформатикой. В качестве увлечения он создал Shodan.

В настоящее время, пользуясь бесплатным поиском, вы каждый раз можете получать 10 результатов. Примерно 10 тыс. пользователей за номинальную, единовременную плату в 20 долларов, могут осуществлять каждый поиск, получая до 10 тыс. результатов по каждой поисковой категории. Десятки институциональных пользователей, фирм кибербезопасности платят 5 тыс. долларов в год за полный доступ и базу данных, которая в настоящее время включает в себя уже 5,5 млрд.устройств.

Shodan создан одиночкой. Это, конечно, чувствуется в некоторых деталях. У него нет такого шикарного интерфейса, как у Google. Чтобы эффективно вести поиск, вы должны знать некоторые сигнатуры устройств, по которым ведется поиск. Поисковая выдача включает данные на языке нтернет-протоколов, которые не понятны для обычных пользователей. Но, возможно, это и хорошо, поскольку предохраняет поисковик от совершенно неграмотных людей.

В принципе, федералы могут усложнить жизнь Мазерли, если захотят обвинить его в злоупотреблении законом, который запрещает несанкционированный доступ к компьютерным системам. Например, в марте один агрессивный прокурор сделал жесткое предупреждение Мазерли за то, что тот через веб сайт компании IT&T случайно выкачал электронные адреса клиентов компании. «Я не пытаюсь войти в сервера или сделать что-нибудь, что может трактоваться как взлом» – ответил на это Мазерли. Вместо того, чтобы пугать Мазерли ответственностью, он должен быть поощрен и вознагражден за привлечение внимания к невероятно глупым ошибкам разработчиков программных продуктов и электронных устройств, безалаберности специалистов по информационной безопасности.

В прошлом году анонимный пользователь, даже не пользуясь Shodan, взял под контроль более чем 400 тыс. подключенных к интернету устройств, используя только четыре наиболее распространенных пароля доступа к данным. «Все говорят о высокой квалификации хакеров, о сложности кибервойн» – пишет этот анонимный хакер – «все гораздо проще. Я использовал только четыре самых простых, глупых, очевидных пароля, которые открыли мне доступ к сотням тысяч потребителей, а также к десяткам тысяч промышленных устройств по всему миру». Мазерли говорит: «Все в этом мире идет в интернет. Хотим мы этого или нет». Shodan обеспечивает большую прозрачность. Он дает возможность осуществлять своего рода общественный программистский контроль качества работы служб информационной безопасности, объектов государственных и частных инфраструктур, а также производителей аппаратных и программных средств, от которых теперь зависит жизнь каждого из нас.

Эта статья предназначена для тех, кто либо вовсе не слышал о Shodan, либо слышал, но так и не понял, как им пользоваться. Подобных материалов на русском языке я не нашел, часть информации почерпнул , остальное добавил из личного опыта. Я приведу примеры использования «самого страшного поисковика интернета» по имени Shodan. Сервис разработан web-девелопером Джоном Мазерли (John Matherly) и ориентирован, прежде всего, на поиск устройств подключенных к интернету.

Shodan опрашивает порты устройств и на основе полученных ответных баннеров делает выводы об устройствах и сервисах. Поисковик платный, годовая подписка обойдется в 20$, однако, попробовать его в действии можно и за так: после бесплатной регистрации доступно 50 результатов поиска. Историю создания и биографию автора найдете сами, если будет интересно, а пока перейдем к делу:

Фильтры

Результаты поиска можно фильтровать с помощью следующих конструкций:

• country: страна, в формате RU, UK, US и т.д., например: nginx country:RU
• city: город, например: nginx city:«Moscow» country:RU
• os: операционная система, например: microsoft-iis os:«windows 2003»
• port: порт в формате 21, 80, 443 и тд, например: proftpd port:21
• hostname: позволяет искать с учетом домена, например: nginx hostname:.de

Пример 1: Устройства Cisco

Для того, чтобы понять первый пример необходимо вспомнить, как основные коды HTTP-ответов:
Коды состояния HTTP :

• 200 OK Request succeeded;
• 301 MovedPermanently Assigned a new permanentURI;
• 302 FoundResides under a different URI;
• 401 Unauthorized Request requires authentication;
• 403 ForbiddenRequest is denied regardlessof authentication.

В данном примере мы попробуем найти устройства-cisco с web-интерфейсом для доступа к которым не требуется авторизация.
Для начала посмотрим, как выглядит типичный «401 Unauthorized» баннер устройства-cisco, если в строке поиска мы введем просто «cisco»:

HTTP/1.0 401 Unauthorized
Date: Thu, 20 Oct 1994 05:18:36 GMT
Server: cisco-IOS
Connection: close
Accept-Ranges: none
WWW-Authenticate: Basic realm=«level_15_access»

Обратите внимание, что строка «WWW-Authenticate: Basic realm=»level_15_access" указывает на необходимость ввести логин и пароль.
В свою очередь, устройство авторизация в котором не требуется, вернет нам баннер со статусом 200 (для этого в строке поиска вбиваем «200 cisco», еще строка Last-Modified - верный признак, что это «наш клиент»:

HTTP/1.0 200 OK
Date: Mon, 08 Sep 2014 22:28:16 GMT
Server: cisco-IOS
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html
Expires: Mon, 08 Sep 2014 22:28:16 GMT
Last-Modified: Mon, 08 Sep 2014 22:28:16 GMT
Cache-Control: no-store, no-cache, must-revalidate
Accept-Ranges: none

Пример 2: Пароли по умолчанию

К интернету подключено множество устройств с дефолтными логинами и паролями, давайте попробуем что-нибудь найти. Для этого в строке поиска пишем «default+password». Добавим также port:80, чтобы выбрать устройства с www-аутентификацией.

В результате мы увидим множество баннеров, содержащих искомую фразу, и, как показывает практика, большой процент устройств будут иметь логин/пароль вида admin/password, admin/pass, и т.д.,

Пример 3: Камеры видеонаблюдения

Если в случае сетевых устройств пользователи в большинстве случаев устанавливают более-менее надежные пароли, то с остальным оборудованием дела обстоят намного хуже. В этом примере мы посмотрим в камеры видеонаблюдения. По работе мне часто приходится сталкиваться с видеорегистраторами фирмы DVR, некоторые из них имеют выход в сеть. Пишем в строке поиска: DVR port:80 country:RU city:«Saint Petersburg» И получаем список видеорегистраторов в СПБ, обнаружилось около 200 устройств.

Стандартные учетные записи на таких устройствах admin и user, пароли: admin, user, 1111, 1234, 123456, 8888 (можно найти в инструкциях). Уже на первой странице устройство со стандартной учетной записью:

Пример 4: Популярные запросы

В разделе Popular Searches, можно подсмотреть варианты запросов, вот, например, поиск ip-видеокамер фирмы avtech на территории США: linux upnp avtech country:US, добавим к нему привычный фильтр port:80:

И снова на первой странице поиска попадается устройство, в котором получилось залогинится с помощью admin/admin:

Итоги

Подводя итоги, хочу лишний раз напомнить всем пользователям: пожалуйста, устанавливайте надежные пароли на ВСЕ устройства подключенные к сети, если у вас в видеорегистраторе или smart-тв нет «секретных» данных это еще не значит, что эти устройства не могут стать целями злоумышленников, пусть даже просто ради развлечения.