Эта статья предназначена для тех, кто либо вовсе не слышал о Shodan, либо слышал, но так и не понял, как им пользоваться. Подобных материалов на русском языке я не нашел, часть информации почерпнул , остальное добавил из личного опыта. Я приведу примеры использования «самого страшного поисковика интернета» по имени Shodan. Сервис разработан web-девелопером Джоном Мазерли (John Matherly) и ориентирован, прежде всего, на поиск устройств подключенных к интернету.
Shodan опрашивает порты устройств и на основе полученных ответных баннеров делает выводы об устройствах и сервисах. Поисковик платный, годовая подписка обойдется в 20$, однако, попробовать его в действии можно и за так: после бесплатной регистрации доступно 50 результатов поиска. Историю создания и биографию автора найдете сами, если будет интересно, а пока перейдем к делу:
Фильтры
Результаты поиска можно фильтровать с помощью следующих конструкций:- country: страна, в формате RU, UK, US и т.д., например: nginx country:RU
- city: город, например: nginx city:«Moscow» country:RU
- os: операционная система, например: microsoft-iis os:«windows 2003»
- port: порт в формате 21, 80, 443 и тд, например: proftpd port:21
- hostname: позволяет искать с учетом домена, например: nginx hostname:.de
Пример 1: Устройства Cisco
Для того, чтобы понять первый пример необходимо вспомнить, как основные коды HTTP-ответов:Коды состояния HTTP :
- 200 OK Request succeeded;
- 301 MovedPermanently Assigned a new permanentURI;
- 302 FoundResides under a different URI;
- 401 Unauthorized Request requires authentication;
- 403 ForbiddenRequest is denied regardlessof authentication.
В данном примере мы попробуем найти устройства-cisco с web-интерфейсом для доступа к которым не требуется авторизация.
Для начала посмотрим, как выглядит типичный «401 Unauthorized» баннер устройства-cisco, если в строке поиска мы введем просто «cisco»:
HTTP/1.0 401 Unauthorized
Date: Thu, 20 Oct 1994 05:18:36 GMT
Server: cisco-IOS
Connection: close
Accept-Ranges: none
WWW-Authenticate: Basic realm=«level_15_access»
Обратите внимание, что строка «WWW-Authenticate: Basic realm=»level_15_access"
указывает на необходимость ввести логин и пароль.
В свою очередь, устройство авторизация в котором не требуется, вернет нам баннер со статусом 200 (для этого в строке поиска вбиваем «200 cisco», еще строка Last-Modified - верный признак, что это «наш клиент»:
HTTP/1.0 200 OK
Date: Mon, 08 Sep 2014 22:28:16 GMT
Server: cisco-IOS
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html
Expires: Mon, 08 Sep 2014 22:28:16 GMT
Last-Modified: Mon, 08 Sep 2014 22:28:16 GMT
Cache-Control: no-store, no-cache, must-revalidate
Accept-Ranges: none
Пример 2: Пароли по умолчанию
К интернету подключено множество устройств с дефолтными логинами и паролями, давайте попробуем что-нибудь найти. Для этого в строке поиска пишем «default+password». Добавим также port:80, чтобы выбрать устройства с www-аутентификацией.
В результате мы увидим множество баннеров, содержащих искомую фразу, и, как показывает практика, большой процент устройств будут иметь логин/пароль вида admin/password, admin/pass, и т.д.,
Пример 3: Камеры видеонаблюдения
Если в случае сетевых устройств пользователи в большинстве случаев устанавливают более-менее надежные пароли, то с остальным оборудованием дела обстоят намного хуже. В этом примере мы посмотрим в камеры видеонаблюдения. По работе мне часто приходится сталкиваться с видеорегистраторами фирмы DVR, некоторые из них имеют выход в сеть. Пишем в строке поиска: DVR port:80 country:RU city:«Saint Petersburg» И получаем список видеорегистраторов в СПБ, обнаружилось около 200 устройств.
Стандартные учетные записи на таких устройствах admin и user, пароли: admin, user, 1111, 1234, 123456, 8888 (можно найти в инструкциях). Уже на первой странице устройство со стандартной учетной записью:
Пример 4: Популярные запросы
В разделе Popular Searches, можно подсмотреть варианты запросов, вот, например, поиск ip-видеокамер фирмы avtech на территории США: linux upnp avtech country:US, добавим к нему привычный фильтр port:80:
И снова на первой странице поиска попадается устройство, в котором получилось залогинится с помощью admin/admin:
Итоги
Подводя итоги, хочу лишний раз напомнить всем пользователям: пожалуйста, устанавливайте надежные пароли на ВСЕ устройства подключенные к сети, если у вас в видеорегистраторе или smart-тв нет «секретных» данных это еще не значит, что эти устройства не могут стать целями злоумышленников, пусть даже просто ради развлечения.Большинство людей предпринимает какие-либо действия для защиты своих компьютеров, смартфонов и планештов от киберпрестуников. Как минимум, избегает переходов по левым ссылкам и проверяет скачанные файлы антивирусом. Но этого мало.
В 2016 году следует заботиться о безопасности каждого устройства, которое имеет доступ в интернет: веб-камера, принтер, светофор, холодильник, микроволновка. Эта статья вкратце расскажет как обнаружить «слабые звенья» в своем окружении и защитить себя.
Стоит ли бояться «умного дома»?
Последние годы в ленте часто мелькают новости о показательных атаках на разную домашнюю утварь. Любопытные исследования делают ребята из Pen Test Partners :
- Заражение термостата вредоносной программой , которая требует выкуп и постепенно поднимает температуру.
- Исследование кофеварки на предмет уязвимостей , которые позволяют без ведома владельца запускать приготовление напитка и менять уровень его крепости.
- Взлом холодильника Samsung в результате которого был получен пароль от ящика Gmail владельца (информация о продуктах сохранялась в календаре Google).
- Получение доступа к дверному звонку - несколько минут элементарных действий и можно гонять человека от дивана до двери, не бегая при этом самому.
Такие забавы поднимают настроение и привлекают внимание. Живые демонстрации подобных опытов имеют огромный успех на технологических конференциях. Но пока новостей о том, что кто-то (кому не надо пиарить свою ИБ-фирму) взламывал чужой холодильник - почти нет. «Умные вещи» только начинают получать широкое распространение и ломать их невыгодно (в отличие, например, от автомобилей).
Есть некоторый шанс стать жертвой фрика или подростка, который будет ломать вас чисто из садистких наклонностей. Например, один идиот взломал радионяню ребенка и пугал его страшным голосом .
Но несмотря на малый риск нарваться на неприятности или отсутсвие такой техники, не стоит ограничивать заботу о безопасности компьютером/смартфоном/планшетом. Ведь кое-какие «умные предметы» уже давно вошли в повседневную жизнь.
У многих из нас дома/на работе есть роутеры, камеры наблюдения, сетевые принтеры и прочие неприметные устройства, которые установлены методом научного тыка, имеют публичный IP, пароль по умолчанию и старую прошивку. При таком раскладе ими теоретически может управлять кто угодно.
Маленький наглядный фокус
1. Идем на shodan.io , создаем аккаунт, логинимся.
2. Ищем видеорегистраторы с доступом по http, которые расположены в России. Вводим запрос:
DVR port:80 country:RU
3. Копируем IP-адрес первого результата (212.41.63.135) в соседнюю вкладку. Вводим логин/пароль (admin/123456):
4. Открываем JPEG Viewer:
5. Наблюдаем за офисом с разных камер. Интересно, что сейчас мужик собирается делать с ящиком на стене?
Пароли по умолчанию - зло .
Что это было?
Выше был приведен простейший пример практического использования Shodan. Поисковик по IoT каждый день пингует все IP-адреса (IPv4) и обновляет свою базу. В ней есть все устройства, которые подключены к интернету. Проект был запущен 7 лет назад для исследователей в области информационной безопасности.
Иногда, Shodan называют поисковиком по IoT. Ведь все чаще среди банальных роутеров и камер специалисты находят с его помощью любопытные предметы, управление которыми может быть захвачено хакерами. Например:
- cветофоры;
- водонагреватели;
- автоматические двери;
- микроволновые печи;
- холодильные установки катков;
- панели управления ГЭС.
Все устройства, производитель которых намеренно или по недосмотру решил снабдить их публичным IP есть в базе Shodan (и множестве аналогичных частных баз). Не исключено, что где-нибудь в китайском подвале уже собрали секс-игрушки, которые управляются через открытый всему миру веб-интерфейс.
О каждом устройстве в базе хранится много разной информации: производитель, версия прошивки, открытые порты, подвержено ли устройство популярным уязвимостям, не стоит ли на нем пароль по умолчанию и его примерное местонахождение (на скрине бесплатная версия и всех доступных параметров не видно).
Имея на руках всю эту информацию, заинтересованное лицо может найти путь для получения доступа к устройству. И часто ему для этого не надо быть крутым хакером с прокаченным аналитическим умом. Достаточно просто уметь усердно гуглить и четко следовать инструкциям.
Как видно из примера, Shodan поддерживает операторы поиска. Например, «city:» позволяет искать устройства в конкретном городе:
В непрокаченном аккаунте можно сделать не более 50 запросов. Подписка на Shodan стоит $49. Но для поверхностной самопроверки читателям подойдет бесплатный аналог.
Исследуем свое окружение
Проект Censys был создан учеными из Мичиганского университета при поддержке Google. Общие принципы использования схожи с Shodan. Зайдем на censys.io и попробуем найти вебкамеры на некоторой территории в центральной части России:
80.http.get.headers.www_authenticate:netcam AND location.latitude:{55 TO 57} AND location.longitude:{37 TO 39}
Карта включается пунктом меню «View on map». Таким образом можно попытаться найти устройства рядом с вашим домом (его координаты можно узнать в Wikimapia). Но учитывайте, что сведения о местоположении устройств берутся из базы GeoIP, которая содержит неточности.
Еще Censys умеет искать устройства в диапазоне сетевых адресов:
ip:
С помощью такого запроса можно узнать о всех устройствах, которые подключены к интернету в вашем доме или офисе. Рекомендую читателям запустить такой поиск, чтобы узнать о возможных проблемах (или втихаря подглядывать за соседом-любителем паролей 123456).
Для каждого найденного устройства можно посмотреть информацию о нем. Вот пример страницы камеры из самого первого примера. Здесь мы видим, что имеется доступ по http и для его получения нужно ввести логин и пароль. Увидите что-то похожее на своих устройствах - проверьте пароль на надежность:
Иногда Censys выдает примечание о том, что текущий объект подвержен какой-либо уязвимости. Вот, например, этот сервер может пострадать от Heartbleed (переполнение буфера). Его владельцам надо бы обновить ПО:
Многие наверняка слышали о грозной поисковой системе Shodan, которая так активно используется различными энтузиастами. Разработан этот поисковик веб-девелопером Джоном Мазерли и ориентирован прежде всего на поиск устройств, подключенных к интернету. Shodan ищет порты устройств и на основе полученных ответных баннеров делает выводы об устройствах и сервисах. Но Shodan не такой безобидный, как кажется на первый взгляд.
Введение
Обращаем внимание, что статья написана исключительно в ознакомительных целях и не призывает читателей к противоправным действиям!
Справа можно заметить строчки типа Welcome to ASUS GT-AC5300 FTP service. 230 Login successful - они означают, что авторизация прошла успешно.
Но это еще не всё. Если в поиск отдельно ввести запрос Login successful, то он выдаст большой список всего, что только можно подключить без логинов и паролей. И там, надо отметить, попадается много интересного, иногда даже крупные сайты.
Госструктуры тоже под ударом
Вишенка на торте: не все защищено идеально, как бы ни казалось обратное. И чем сложнее система на первый взгляд, тем слабее у нее защита.
Но вернемся к поисковому запросу: если добавить к поиску Login successful WARNING, то можно увидеть любопытный результат (рисунок 3).
Рисунок 3. Список компьютеров , уязвимых при запросе добавления ключа WARNING к запросу Login successful
Тут также можно увидеть открытые для доступа компьютеры корпораций и правительственных организаций различных стран (рисунок 4).
Рисунок 4. Отображение одного из государственных компьютеров по уязвимому запросу
Обратим внимание на красный маркер: здесь суровое предупреждение, что это один из государственных компьютеров США.
Штурм крепости
Итак, полдела сделано, остается проверить, на самом ли деле Shodan знает, в какой из стен крепости есть дыра. Обратимся непосредственно к FTP-запросу. Что же мы видим?
Рисунок 5.
Вот так без каких-либо препятствий можно зайти на компьютер данного ресурса, не применяя особых усилий или стороннего программного обеспечения.
Выводы
Каждый день в компьютерные системы проникают злоумышленники для получения личных данных и конфиденциальнойинформации. Часто они осуществляют свой коварный умысел из-за ошибок, допущенных системными администраторами, которые не в состоянии правильно настроить оборудование из-за отсутствия знаний в сфере ИБ или из-за элементарной их лени. Еще хуже, когда такие специалисты работают на предприятиях и выпускают готовые устройства, изначально неправильно их программируя. Подобных «умельцев» хватает и среди сотрудников правительственных организаций. Потому не стоит удивляться, если однажды ядерные ракеты вдруг полетят самопроизвольно, ведь даже самые громкие прецеденты могут начаться с уязвимости в роутере.
Итак, резюмируем: защищенная на первый взгляд система или ресурс может иметь брешь с какой-то стороны. Получается, что через эту дыру можно беспрепятственно проникнуть на любой ресурс безо всяких усилий. Безопасникам в организациях любого масштаба, да и обычным людям (ведь каждому есть что терять!) стоит помнить, что крепость не устоит, когда в одной из стен огромная дыра.
Shodan поисковик
Всем пользователям известны такие поисковые системы как Google, Яндекс, Рамблер, Yahoo, Bing и можно перечислять еще множество как отечественных, так и зарубежных (например Китайских) поисковиков.
Такие ПС ищут в сети веб-страницы, картинки, видео, документы и новости.
Но в узких кругах, например служб специализирующихся на разведке, кибербезопасности и кибератаках пользуются .
Что же представляет собой поисковик SHODAN? Система же SHODAN опрашивает порты подсоединенных к сети машин и собирает выдаваемые в ответ баннеры, после чего индексирует эти баннеры на предмет последующего быстрого отыскания соответствующих устройств. В итоге такой обработки, вместо того, чтобы предоставлять специфический контент страниц, содержащих конкретное поисковое слово запроса, SHODAN помогает своим пользователям отыскивать специфические узлы сети: настольные системы, серверы, роутеры, свитчи, веб-камеры, принтеры и т.д.
В отличие от Google, который ищет в Сети простые сайты, Shodan работает с теневыми каналами Интернета. Shodan работает 24 часа в сутки 7 дней в неделю, собирая информацию о 500 млн подключенных устройствах и услугах ежемесячно.
В докладе, сделанном на хакерской конференции Defcon, независимый специалист по тестовым проникновениям Дэн Тентлер продемонстрировал, как с помощью SHODAN можно отыскивать:
- тепловые системы испарения;
- бесчисленные светофоры;
- бойлеры для нагревания воды под давлением;
- системы управления дверями гаражей;
- систему управления автотрафиком целого города, переключаемую в «тестовый режим» с помощью ввода единственной команды;
- систему управления гидроэлектростанцией, две турбины которой вырабатывают энергии по 3 мегаватта каждая;
- системы управления аквапарка, газовой станцией, охладителя вина в отеле и крематория;
- командно-контрольные системы ядерных электростанций и ускорителя атомных частиц.
И особенно примечателен в Shodan с его пугающими возможностями тот факт, что очень немногие из упомянутых систем имеют хоть какую-то систему безопасности.
«Этим можно нанести серьезный вред», - сказал Тентлер о вероятии попадания таких возможностей не в те руки.
Чаще всего эту загадочную и массовую беспечность людей объясняют примерно так: для очень многих из всех этих промышленных устройств вообще никогда не предусматривалась работа в онлайне. Известно, что многие компании желают приобрести системы, которые позволяют им управлять, скажем, системой отопления с помощью компьютера. Но каким образом управляющий компьютер подсоединяют к системе отопления? Вместо того, чтобы подключать их напрямую друг к другу, многие ИТ-подразделения просто втыкают оба устройства в веб-сервер компании - невольно объединяя при этом свои сугубо внутренние каналы со всем остальным миром. Иначе говоря, чудовищная небезопасность подобных решений объясняется тем, что при минимально грамотном подходе таких вещей просто не должно быть в интернете в принципе. И как надеются специалисты по инфозащите, поисковики типа SHODAN способны эту бедственную ситуацию поправить.
Но как сделать так, чтобы SHODAN использовался лишь ради добрых дел? Хозяин движка Джон Мэтерли ограничивает для пользователей поиски в своей системе потолком в 10 результатов без регистрации и 50 при наличии зарегистрированного аккаунта. Если же пользователь желает посмотреть все, что имеется на данный счет у SHODAN, то Мэтерли требует дополнительную разъясняющую информации относительно того, какова цель этих поисков. Плюс некоторую оплату за услуги.
Основные пользователи SHODAN - это специалисты по тестам на проникновения, профессионалы в области безопасности, академические исследователи и правоохранительные ведомства. Естественно, Мэтерли признает, что и злоумышленники тоже могут использовать его поисковик в качестве стартовой площадки для своих гнусных дел. Но этот аспект исследователя не особо беспокоит. Потому что кибепреступники, как известно, обычно имеют доступ к ботнетам - то есть большим комплексам уже зараженных кодами-вредоносами компьютеров - которые способны заниматься той же самой задачей, что и SHODAN. Но только без засвечивания своих преступных интересов в легальном сообществе защиты информации. Кроме того, подавляющее большинство криминальных кибератак сфокусировано на хищениях денег и интеллектуальной собственности. О вредительских попытках злоумышленников взрывать через интернет системы отопления в домах или массово вырубать светофоры в городах пока что ничего не известно. Ну а профессионалы в области безопасности, со своей стороны, всячески пытаются предотвратить развитие событий по подобным сценариям. В том числе, и выявлением с помощью SHODAN всех тех незащищенных, но массово подсоединяемых в общую сеть устройств и сервисов.
Если сделать в простой поиск по запросу «default password», можно найти бесконечное число принтеров, серверов и систем управления с логином «admin» и паролем «1234». Еще больше подключенных систем вообще не имеют реквизитов доступа – к ним можно подключиться с помощью любого браузера.
На вопросы, связанные с работой Shodan попросили ответить самого его разработчика – Джона Матерли.
В: Джон, как вы начали работу над Shodan?
О: Я начал в своё свободное время с компьютером Dell за 100 долларов и работал понемногу в течение трёх лет. Когда я начинал, я добавлял 10.000 – 100.000 обнаруженных устройств в месяц, сейчас я добавляю сотни миллионов. Скорость, с которой я могу работать, сейчас существенно выросла.
В: Это очень много. А в чём заключается цель создания Shodan?
О: Он используется не совсем для того, для чего я его проектировал. Фактически, я создавал Shodan, чтобы компании могли отслеживать, где используется их программное обеспечение. Теперь же его используют эксперты по вопросам безопасности для поиска программ, устройств и уязвимостей в различных системах защиты.
В: Shodan работает подобно Google?
О: Да, они похожи. Но боты Google проходят по ссылкам - я же этого не делаю. Единственное, что я делаю - это выбираю случайный IP из всех существующих, неважно, находится ли он онлайн и используется ли вообще – и пытаюсь подсоединиться к нему через разные порты. Это не является некоей визуальной системой, в том смысле, что вы не можете использовать для этих целей некий браузер. Большинство людей даже не смогут это просто так обнаружить, поскольку у этой информации нет визуального представления.
В: Так какие же устройства, к которым вы можете получить доступ, оказались подключены к интернету? Что-нибудь такое, чего вы не ожидали увидеть?
О: Одним из таких устройств оказался, например, циклотрон - ускоритель заряженных частиц. Это оборудование для проведения экспериментов в области теоретической физики, оно очень, очень нестабильно, и ни при каких обстоятельствах не должно подключаться к интернету. Ещё были разные странные вещи вроде крематориев. Вы видите, как в системе появляется имя человека и получаете доступ к различным настройкам кремирования. Для этого не требуется никакой аутентификации, никаких паролей, ничего. Ещё была огромная мегаваттная гидроэлектростанция онлайн во Франции. Что интересно, за ней уже имелась история отказов, городок рядом с ней однажды затопило из-за ошибки на станции.
В: Разве вещи вроде электростанций не должны иметь более серьёзные системы защиты?
О: Одна из причин, почему так получается - потому что люди стараются сэкономить деньги. Интернета даже не существовало в те времена, когда было построено большинство из этих станций, поэтому они просто купили адаптер, чтобы подключить комплекс к интернету, и сэкономить немного денег на развёртке полноценной защищённой системы. Вполне очевидно, что они вообще не думали о безопасности.
В: Вы говорите, что очень многие вещи не требуют даже пароля?
О: Да, это так. И даже те устройства, которые требуют аутентификации, часто используют установки по умолчанию, поэтому всё что вам нужно - это выйти в Shodan и поискать устройства, использующие пароль по умолчанию.
В: Как вы относитесь к потенциальной угрозе, возникающей из-за такого положения вещей?
О: Есть разные уровни проблемы безопасности. Вебкамеры, подключённые к интернету, возможно, представляют собой минимальную угрозу, но они, вполне очевидно, могут нарушать личную конфиденциальность. Маленькие устройства технически не представляют угрозы национальной безопасности сами по себе. Но если вы имеете возможность скомпрометировать сотни тысяч таких устройств, тогда это действительно становится проблемой национальной безопасности, поскольку имея контроль над таким количеством устройств в одной стране, вы можете причинить невероятно много вреда. Поэтому проблема становится критичной, когда речь идёт о больших количествах.
В: Вас не удивляет, что ничего серьёзного до сих пор не случилось?
О: Я думаю, люди недооценивают количество технических знаний, необходимых для того, чтобы перейти от открытия к успешному использованию. А во-вторых, вы никогда не знаете, как долго система действительно была подвержена воздействию. Вы можете получить к ней доступ, запустить неё некую программу в спящем режиме, и когда вам понадобится использовать её для некой стратегической цели, вы снова сможете войти в неё.
В: То есть прямо сейчас в какой-нибудь важной системе может находиться спящий вирус?
О: Да, это вполне возможно. Я имею ввиду, что вам в любом случае требуются определённые познания - вы не можете быть 16-летним подростком, который просто взял и подключился к системе управления электростанции, это отнюдь не так просто. Вы можете найти её с помощью Shodan, но чтобы установить в неё свой код, вам потребуются реальные знания того, как работает это устройство, особенно если речь идёт о таких сложных системах, как электростанция.
В: Что в таком случае останавливает хорошо подготовленных преступников от использования Shodan для причинения вреда?
О: Люди, которые действительно знают, что они делают, и намерены сделать что-то противозаконное, не станут использовать для этого Shodan, поскольку они совершенно не хотят оставлять следы, по которым их можно отследить. Shodan не является анонимным сервисом. Если вы хотите использовать его, чтобы получить более 50 ответов на запрос – а 50 это совсем немного - вам необходимо предоставить вашу персональную информацию, а также определённую плату. Если кто-то хочет сделать нечто действительно противозаконное, они используют ботнеты, которые соберут для них ту же информацию.
CNN в свое время назвала Shodan «самым страшным поисковиком интернета». И даже его название действительно звучит пугающе. Несмотря на то, что это было три года назад, Shodan не особо развился с тех пор. Для тех, кто незнаком с Shodan: он ищет подключенные к интернету устройства по всему миру. Это понятие включает в себя не только компьютеры и смартфоны, он также может найти ветровые турбины, светофоры, устройства считывания номерных знаков, холодильники и практически все остальные устройства с подключением к Сети.
Не стоит забывать о том, что многие из этих устройств, которыми мы пользуемся каждый день, не имеют защиты. Следовательно, такой поисковик - мечта хакера. Shodan не единственный поисковик такого типа. В этой статье мы рассмотрим еще четыре поисковика, ориентирующихся на поиск уязвимостей. Возможно, некоторые из них вам знакомы.
Сначала давайте узнаем больше о Shodan.
Shodan
Рисунок 1. Поисковик Shodan
Напомним, что Shodan далеко не новый, но постоянно обновляющийся поисковик. Его название является отсылкой к SHODAN, персонажу из серии игр System Shock. Самый часто встречающийся запрос в этот поисковик - «Server: SQ-WEBCAM» - показывает количество подключенных в данный момент IP-камер. Если вы пробуете воспользоваться Shodan в первый раз, введите этот топовый запрос и посмотрите, что получится.
Основная причина, по которой Shodan считается хорошим поисковиком для хакеров, заключается в типе информации, которую он способен предоставить (например, типы соединения). Несмотря на то, что подобную информацию можно найти и в Google, вы должны использовать для этого верные условия поиска, которые не всегда очевидны.
Еще один из самых популярных запросов в Shodan - «пароль по умолчанию». Вы будете удивлены, как много устройств перечислены в поисковой выдаче по этому запросу. Будем надеяться, что вашего там нет, но если есть, лучше измените пароль.
Shodan довольно полезен, если вы ищете более конкретную информацию. Хороший пример: сделать поиск по запросу «SSH port:’22’». Вы увидите множество устройств, работающих по SSH и использующих порт 22.
В результатах выдачи вы также можете увидеть IP-адрес, местоположение и порты, которые устройство использует.
Также Shodan, как правило, показывает некоторые особенности каждого устройства, например: MAC-алгоритмы, алгоритмы шифрования, алгоритмы сжатия.
Если вы заметили, что информация о вашем устройстве, которую вы не хотели бы обнародовать, появилась в поисковой выдаче Shodan, стоит задуматься над тем, чтобы пропатчить его. Для тестеров эта информация так же важна, как для хакеров.
Конечно, и для обычного пользователя, не являющегося хакером или тестером, будет интересно исследовать Shodan и посмотреть, какая информация выдается в нем.
Еще один из пугающих запросов - «port: ‘6666’’ kiler», который находит устройства, зараженные трояном KilerRat.
Рисунок 2. Троян KilerRat
KilerRat - троян, предоставляющий удаленный доступ к зараженному компьютеру. Он может красть учетные данные, изменять записи в реестре, получать доступ к веб-камере пользователя.
PunkSPIDER
Рисунок 3. Поисковик PunkSPIDER
На первый взгляд, PunkSPIDER не выглядит большим и серьезным поисковиком, особенно в сравнении с Shodan. Но их цели похожи. PunkSPIDER является системой для поиска уязвимостей в веб-приложениях. В его основе лежит PunkSCAN, сканер безопасности. PunkSPIDER может искать уязвимости, подверженные следующим типам атак: межсайтовый скриптинг (XSS), слепая SQL-инъекция (BSQLI), Path Traversal (TRAV).
Даже если вы понятия не имеете, что собой представляют эти виды атак, вы все равно можете использовать PunkSPIDER для проверки своего сайта на уязвимости.
Вот пример результата для запроса «сайт»:
Scanned: 2016-08-11T20:12:57.054Z
Bsqli:0 | sqli:0 | xss:0 | trav:0 | mxi:0 | osci:0 | xpathi:0 | Overall risk:0
Первая строка отображает домен. Во второй строке показаны дата и время, когда домен был добавлен в систему PunkSPIDER. В третьей строке можно увидеть список различных типов атак и были ли обнаружены уязвимые к этим атакам места.
Если вы сделаете более обобщенные запросы, используя термины вроде «блог», «социальные сети», «форум» или «порно», вы получите сотни результатов. Тот факт, что сайт отображается в выдаче, еще не значит, что он заражен. Для более гибкого использования PunkSPIDER можно воспользоваться специальной справкой.
Также можно проверить, как это работает с сайтами в сети Tor. Если ввести в поиск «.onion», мы получим 588 результатов. Непонятно, все ли они инфицированы или нет, но это можно проверить.
IVRE
Рисунок 4. Поисковик IVRE
Поисковик IVRE, в отличие от Shodan или PunkSPIDER, создан для хакеров, программистов, тестеров. Даже использование главной консоли этого поисковика требует базовых знаний сетевых технологий.
Так что же представляет собой IVRE (Instrument de veille sur les réseaux extérieurs)? На самом деле, это открытый исходный код, написанный на Python с MongoDB. Использует такие инструменты, как Bro, Argus, NFDUMP и ZMap для вывода данных о подключенных к интернету устройствах. IVRE также поддерживает возможность импорта данных в формате XML из Nmap и Masscan.
Главный сайт IVRE предоставляет результаты сканирования Nmap, которые можно отсортировать, используя ключевые слова (в этом смысле есть схожесть с Shodan). Вот несколько ключевых слов, которые можно попробовать: «phpmyadmin», «anonftp», «x11open». Таким образом, фильтр по «phpmyadmin» возвращает поисковые результаты по серверам phpMyAdmin, «anonftp» ищет FTP-серверы, предоставляющие анонимный доступ, «x11open» ищет открытые серверы X11. Это, может, и не является революционным открытием, однако, если потратить некоторое время и понять принцип и особенности работы IVRE, можно обнаружить, насколько полезным является этот поисковик.
Пример ниже показывает результаты поиска по ключевым словам «phpmyadmin» и «sortby:endtime».
Рисунок 5. Поисковая выдача IVRE
Тем, кто хочет знать больше о технических особенностях IVRE, рекомендуется посетить их GitHub . Также можно почитать их , хотя он давно не обновлялся.
ZoomEye
Рисунок 6. Главная страница поисковика ZoomEye
ZoomEye, как и его аналоги, ищет подключенные к интернету устройства и уязвимости. Но прежде чем вы скажете «мы это уже проходили», давайте разберемся, в чем заключаются его особенности.
За ZoomEye стоят разработчики из Knownsec Inc, китайской компании, работающей в области безопасности, находящейся в Пекине. Первая версия этого поисковика была выпущена в 2013 году, а последняя известна под именем ZoomEye 3.0.
Опять же, извлечь из работы с этой поисковой системой больше пользы можно, если вы знаете конкретные строки и ключевые слова для поиска того, что вам нужно. Вот несколько примеров:
Apache httpd - находит результаты для HTTP-серверов Apache.
device:”webcam” - находит список веб-камер, подключенных к интернету.
app:”TED 5000 power use monitor” - находит список мониторов The Energy Detective (TED).
ZoomEye, как и Shodan, позволяет легко фильтровать результаты поиска по стране, общественным устройствам, веб-сервисам и т. д. Если же вы не знаете, что именно искать, поисковая система начинает отображать популярные запросы.
В некоторых случаях поиск даже по какому-либо случайному слову может привести к довольно интересным результатам. Для примера, попробуйте поискать по слову «zombie».
Censys
Наконец, давайте посмотрим на Censys. Он, как и описанные выше поисковики, ищет устройства, подключенные к интернету. Censys собирает данные, используя ZMap и ZGrab (сканер прикладного уровня, который работает с помощью ZMap), и сканирует адресное пространство IPv4.
Можете поэкспериментировать с Censys. Вот несколько примеров, которые можно использовать для поиска:
https://www.censys.io/ipv4?q=80.http.get.status_code%3A%20200 - этот запрос позволяет осуществить поиск всех хостов с определенным кодом состояния HTTP.
Также можно ввести в поисковую строку IP-адрес, например «66.24.206.155» или «71.20.34.200». Кроме того, Censys может выполнять полнотекстовый поиск. Если вы введете «Intel», вы найдете не только устройства Intel, но и хосты с записью «Intel» в регистрационных данных. Как и в большинстве поисковых систем, вы можете использовать логические операторы «and», «or» и «not».
Опять же, эта информация для того, чтобы вы знали, с чего начать. Далее, узнавая постепенно систему, вы найдете гораздо более полезные функции.
Как насчет руководства по эксплуатации?
Работа с большинством из этих поисковых систем потребует немного практики, прежде чем они станут действительно эффективными инструментами. Но будет интересно просто посмотреть, как они работают и какие результаты выдают.
Для тех же, кто давно не новичок, эти поисковики могут стать мощными инструментами. Очень полезными они могут оказаться и для разработчиков.
Так что если поисковые запросы «SMTP server» или «APC AOS cryptlib sshd» вызывают у вас улыбку понимания, вам настоятельно рекомендуется попробовать все вышеописанные поисковые системы.
