Questo articolo è destinato a coloro che non hanno affatto sentito parlare di Shodan o che l'hanno sentito, ma ancora non capiscono come usarlo. Non ho trovato materiali simili in russo, ho ottenuto alcune informazioni, ho aggiunto il resto da esperienza personale... Darò esempi dell'uso del "motore di ricerca Internet più spaventoso" chiamato Shodan. Il servizio è stato sviluppato dallo sviluppatore web John Matherly ed è focalizzato principalmente sulla ricerca di dispositivi connessi a Internet.
Shodan interroga le porte del dispositivo e, sulla base dei banner di risposta ricevuti, trae conclusioni su dispositivi e servizi. Il motore di ricerca è a pagamento, abbonamento annuale costerà $ 20, tuttavia, puoi provarlo in azione per questo: dopo registrazione gratuita 50 risultati di ricerca disponibili. Troverai tu stesso la storia della creazione e la biografia dell'autore, se è interessante, ma per ora mettiamoci al lavoro:
Filtri
I risultati della ricerca possono essere filtrati utilizzando i seguenti costrutti:- country: country, nel formato RU, UK, US, ecc., ad esempio: nginx country: RU
- città: città, ad esempio: nginx città: "Mosca" nazione: RU
- sistema operativo: sistema operativo ad esempio: microsoft-iis os: "windows 2003"
- port: porta nel formato 21, 80, 443, ecc., ad esempio: proftpd port: 21
- hostname: consente di effettuare ricerche in base al dominio, ad esempio: nginx hostname: .de
Esempio 1: dispositivi Cisco
Per comprendere il primo esempio, è necessario ricordare come sono i principali codici di risposta HTTP:Codici di stato HTTP:
- 200 OK Richiesta riuscita;
- 301 Spostato permanentemente Assegnato un nuovo URI permanente;
- 302 FoundResides sotto un URI diverso;
- 401 La richiesta non autorizzata richiede l'autenticazione;
- 403 ForbiddenRequest viene negato indipendentemente dall'autenticazione.
V questo esempio proveremo a trovare dispositivi-cisco con un'interfaccia web per accedere che non richiede autorizzazione.
Innanzitutto, vediamo come appare un tipico banner "401 non autorizzato" per un dispositivo Cisco se inseriamo semplicemente "cisco" nella barra di ricerca:
HTTP / 1.0 401 Non autorizzato
Data: gio, 20 ottobre 1994 05:18:36 GMT
Server: cisco-IOS
Connessione: chiusa
Intervalli di accettazione: nessuno
Autenticazione WWW: ambito di base = "level_15_access"
Nota che la linea "Autenticazione WWW: area di base =" level_15_access " indica la necessità di inserire nome utente e password.
A sua volta, il dispositivo, in cui non è richiesta l'autorizzazione, ci restituirà un banner con uno stato di 200 (per questo guidiamo in "200 cisco" nella barra di ricerca, un'altra riga Ultima modifica - segno sicuro che questo è "nostro cliente":
HTTP / 1.0 200 OK
Data: Lun, 08 Set 2014 22:28:16 GMT
Server: cisco-IOS
Connessione: chiusa
Codifica di trasferimento: chunked
Tipo di contenuto: testo / html
Scade: lun, 08 set 2014 22:28:16 GMT
Ultima modifica: lun, 08 set 2014 22:28:16 GMT
Cache-Control: no-store, no-cache, must-revalidate
Intervalli di accettazione: nessuno
Esempio 2: password predefinite
Molti dispositivi con login e password predefiniti sono connessi a Internet, proviamo a trovare qualcosa. Per fare ciò, scrivi "predefinito + password" nella barra di ricerca. Aggiungiamo anche la porta: 80 per selezionare i dispositivi autenticati da www.
Di conseguenza, vedremo molti banner contenenti la frase desiderata e, come dimostra la pratica, una grande percentuale di dispositivi avrà un login/password del modulo admin/password, admin/pass, ecc.,
Esempio 3: Telecamere CCTV
Se nel caso dispositivi di rete gli utenti nella maggior parte dei casi impostano password più o meno forti, ma con il resto delle apparecchiature la situazione è decisamente peggiore. In questo esempio, esamineremo le telecamere CCTV. Al lavoro, ho spesso a che fare con DVR da DVR, alcuni hanno una connessione di rete. Scriviamo nella barra di ricerca: Porta DVR: 80 paese: RU città: "San Pietroburgo" E otteniamo un elenco di DVR a San Pietroburgo, sono stati trovati circa 200 dispositivi.
Standard Conti su tali dispositivi admin e user, password: admin, user, 1111, 1234, 123456, 8888 (si trovano nelle istruzioni). Già in prima pagina un dispositivo con un account standard:
Esempio 4: ricerche popolari
Nella sezione Ricerche popolari, puoi spiare le opzioni di query, ad esempio, cercare telecamere IP avtech negli Stati Uniti: linux upnp avtech country: US, aggiungi il solito filtro porta: 80:
E ancora, nella prima pagina della ricerca, si incontra un dispositivo, in cui si è scoperto che è stato effettuato l'accesso con l'aiuto di admin / admin:
risultati
Riassumendo, voglio ricordare ancora una volta a tutti gli utenti: per favore, imposta password complesse su TUTTI i dispositivi collegati alla rete, se non hai dati "segreti" nel tuo DVR o smart-TV, questo non significa che questi dispositivi non possano diventare bersaglio di intrusi, anche solo per divertimento.La maggior parte delle persone intraprende azioni per proteggere i propri computer, smartphone e tablet dai criminali informatici. Per lo meno, evita i clic sui collegamenti a sinistra e controlla i file scaricati con un antivirus. Ma questo non basta.
Nel 2016 dovresti occuparti della sicurezza di ogni dispositivo che ha accesso a Internet: webcam, stampante, semaforo, frigorifero, forno a microonde. Questo articolo illustrerà brevemente come identificare gli "anelli deboli" nel tuo ambiente e proteggerti.
Dovresti aver paura di una "casa intelligente"?
Negli ultimi anni, le notizie sugli attacchi dimostrativi a vari utensili domestici sono spesso apparse nel nastro. I ragazzi di Pen Test Partners stanno facendo ricerche interessanti:
- Infettare il termostato con malware che richiede un riscatto e fa salire gradualmente la temperatura.
- Ricerca di una caffettiera per le vulnerabilità che consentono, all'insaputa del proprietario, di avviare la preparazione di una bevanda e modificarne il livello di forza.
- Hackerare un frigorifero Samsung con conseguente password da Posta in arrivo di Gmail proprietario (le informazioni sul prodotto sono state salvate in Google Calendar).
- Ottenere l'accesso al campanello richiede pochi minuti di azioni elementari e puoi guidare una persona dal divano alla porta senza correre da solo.
Tale divertimento rallegra e attira l'attenzione. Dimostrazioni dal vivo di esperienze simili hanno grande successo alle conferenze sulla tecnologia. Ma finora non ci sono quasi notizie che qualcuno (che non ha bisogno di promuovere la propria società di sicurezza delle informazioni) abbia hackerato il frigorifero di qualcun altro. Le "cose intelligenti" stanno appena iniziando a diffondersi e non è redditizio romperle (a differenza, ad esempio, delle automobili).
C'è qualche possibilità di diventare vittima di un mostro o di un adolescente che ti farà uscire esclusivamente da tendenze sadiche. Ad esempio, un idiota ha hackerato il baby monitor di un bambino e lo ha spaventato con una voce spaventosa.
Ma nonostante il piccolo rischio di incorrere in problemi o la mancanza di tale tecnologia, non dovresti limitare i tuoi problemi di sicurezza a un computer / smartphone / tablet. Dopotutto, alcuni "oggetti intelligenti" sono stati a lungo inclusi nella vita di tutti i giorni.
Molti di noi a casa/al lavoro hanno router, telecamere di sorveglianza, stampanti di rete e altri dispositivi poco appariscenti che sono installati scientificamente, hanno un IP pubblico, una password predefinita e vecchio firmware... In questa situazione, possono teoricamente essere controllati da chiunque.
Piccolo trucco visivo
1. Vai su shodan.io, crea un account, accedi.
2. Cerchiamo videoregistratori con accesso tramite http, che si trovano in Russia. Inseriamo la richiesta:
Porta DVR: 80 Paese: RU
3. Copiare l'indirizzo IP del primo risultato (212.41.63.135) nella scheda adiacente. Inserisci login / password (admin / 123456):
4. Apri il visualizzatore JPEG:
5. Guardare l'ufficio da diverse telecamere. Mi chiedo cosa farà l'uomo con la scatola sul muro adesso?
Le password predefinite sono malvagie.
Cosa è stato?
Quanto sopra è stato dato esempio più semplice uso pratico Shodan. Il motore di ricerca IoT esegue il ping di tutti gli indirizzi IP (IPv4) ogni giorno e aggiorna il proprio database. Ha tutti i dispositivi connessi a Internet. Il progetto è stato lanciato 7 anni fa per i ricercatori sulla sicurezza delle informazioni.
A volte, Shodan è chiamato il motore di ricerca IoT. Sempre più spesso, infatti, tra i comuni router e telecamere, gli esperti lo utilizzano per scovare oggetti curiosi, il cui controllo può essere sequestrato dagli hacker. Ad esempio:
- semafori;
- scaldabagno;
- porte automatiche;
- microonde;
- gruppi frigoriferi per rulli;
- quadri di comando di centrali idroelettriche.
Tutti i dispositivi il cui produttore, intenzionalmente o per supervisione, ha deciso di fornire loro un IP pubblico si trovano nel database Shodan (e molti database privati simili). È possibile che da qualche parte nel seminterrato cinese siano già stati raccolti giocattoli sessuali, che sono controllati attraverso un'interfaccia web aperta a tutto il mondo.
Molto è memorizzato su ogni dispositivo nel database. informazioni diverse: produttore, versione del firmware, porte aperte se il dispositivo è suscettibile di vulnerabilità comuni, se ha una password predefinita e la sua posizione approssimativa (sullo schermo) versione gratuita e tutto Opzioni disponibili non può vedere).
Con tutte queste informazioni in mano, la persona interessata può trovare un modo per accedere al dispositivo. E spesso per questo non ha bisogno di essere un simpatico hacker con una mente analitica pompata. Devi solo essere in grado di cercare diligentemente su Google e seguire chiaramente le istruzioni.
Come puoi vedere dall'esempio, Shodan supporta gli operatori di ricerca. Ad esempio, "città:" ti consente di cercare dispositivi in una città specifica:
In un account non alimentato, non puoi effettuare più di 50 richieste. Un abbonamento Shodan costa $ 49. Ma per un autotest superficiale, un analogo gratuito è adatto ai lettori.
Esplorando i nostri dintorni
Il progetto Censys è stato creato da scienziati dell'Università del Michigan a Assistenza Google. Principi generali gli usi sono simili a Shodan. Andiamo su censis.io e proviamo a trovare webcam in una certa zona nella parte centrale della Russia:
80.http.get.headers.www_authenticate: netcam AND location.latitude: (da 55 a 57) AND location.longitude: (da 37 a 39)
La mappa viene attivata dalla voce di menu "Visualizza sulla mappa". Quindi, puoi provare a trovare dispositivi vicino a casa tua (le sue coordinate possono essere trovate su Wikimapia). Ma tieni presente che le informazioni sulla posizione dei dispositivi sono prese dal database GeoIP, che contiene imprecisioni.
Censys può anche cercare dispositivi in una gamma di indirizzi di rete:
ip:
Con l'aiuto di tale richiesta, puoi scoprire tutti i dispositivi connessi a Internet a casa o in ufficio. Consiglio ai lettori di eseguire una tale ricerca per scoprirlo possibili problemi(o spiare di nascosto un vicino che ama le password 123456).
Per ogni dispositivo trovato, puoi visualizzare le informazioni a riguardo. Ecco un esempio di una pagina della fotocamera dal primissimo esempio. Qui vediamo che c'è l'accesso tramite http e per ottenerlo è necessario inserire nome utente e password. Se vedi qualcosa di simile sui tuoi dispositivi, controlla la sicurezza della password:
A volte Censys emetterà una nota in cui si afferma che l'oggetto corrente è vulnerabile a qualche tipo di vulnerabilità. Ad esempio, questo server può soffrire di Heartbleed (overflow del buffer). I suoi proprietari devono aggiornare il software:
Molti hanno probabilmente sentito parlare del formidabile motore di ricerca Shodan, che è utilizzato così attivamente da vari appassionati. Questo motore di ricerca è stato sviluppato dallo sviluppatore web John Matherly ed è focalizzato principalmente sulla ricerca di dispositivi connessi a Internet. Shodan cerca le porte dei dispositivi e, in base ai banner di risposta ricevuti, trae conclusioni su dispositivi e servizi. Ma Shodan non è così innocuo come sembra a prima vista.
introduzione
Si prega di notare che l'articolo è stato scritto solo a scopo informativo e non invita i lettori ad azioni illegali!
Sulla destra, puoi vedere linee come Benvenuto nel servizio FTP ASUS GT-AC5300. 230 Login riuscito - significano che l'autorizzazione è andata a buon fine.
Ma non è tutto. Se inserisci separatamente la richiesta di accesso riuscito nella ricerca, verrà visualizzata grande lista tutto ciò che può essere connesso solo senza login e password. E lì, va notato, si imbatte in molti siti interessanti, a volte anche di grandi dimensioni.
Anche le agenzie governative sono sotto attacco
Ciliegina sulla torta: non tutto è perfettamente protetto, per quanto sembri il contrario. E più complesso è il sistema a prima vista, più debole è la sua protezione.
Ma torniamo alla query di ricerca: se aggiungi Login Success WARNING alla ricerca, puoi vedere un risultato interessante (Figura 3).
Figura 3.Elenco dei computer, vulnerabile quando viene richiesto di aggiungere una chiave di AVVISO a un accesso riuscito
Qui puoi anche vedere i computer di aziende e organizzazioni governative aperti per l'accesso. paesi diversi(Figura 4).
Figura 4. Visualizzazione di uno dei computer del governo da una richiesta vulnerabile
Presta attenzione al segnalino rosso: ecco un severo avvertimento che questo è uno dei computer del governo degli Stati Uniti.
Assalto alla fortezza
Quindi, metà della battaglia è fatta, resta da verificare se Shodan sa effettivamente quale delle mura della fortezza ha un buco. Andiamo direttamente alla richiesta FTP. Cosa vediamo?
Figura 5.
In questo modo puoi accedere al tuo computer senza ostacoli. di questa risorsa senza troppi sforzi o software di terze parti.
conclusioni
ogni giorno in sistemi informatici gli aggressori penetrano per ottenere dati personali e informazioni riservate. Spesso portano a termine il loro intento insidioso a causa di errori commessi amministratori di sistema che non sono in grado di configurare adeguatamente le apparecchiature per mancanza di conoscenze nel campo della sicurezza informatica o per loro elementare pigrizia. È ancora peggio quando tali specialisti lavorano nelle fabbriche e producono dispositivi finiti, inizialmente programmandoli in modo errato. Ci sono abbastanza "artigiani" tra i dipendenti delle organizzazioni governative. Pertanto, non ci si dovrebbe sorprendere se un giorno i missili nucleari volano improvvisamente spontaneamente, perché anche i precedenti più rumorosi possono iniziare con una vulnerabilità in un router.
Quindi, per riassumere: un sistema o una risorsa che è protetta a prima vista può avere un buco su un lato. Si scopre che attraverso questo buco puoi entrare liberamente in qualsiasi risorsa senza alcuno sforzo. I funzionari della sicurezza in organizzazioni di tutte le dimensioni e la gente comune (dopotutto, tutti hanno qualcosa da perdere!) Dovrebbero ricordare che la fortezza non reggerà quando c'è un enorme buco in una delle mura.
Motore di ricerca Shodan
Tutti gli utenti hanno familiarità con motori di ricerca come Google, Yandex, Rambler, Yahoo, Bing e puoi elencarne molti altri, motori di ricerca nazionali ed esteri (ad esempio cinesi).
Questi motori di ricerca cercano nel web pagine web, immagini, video, documenti e notizie.
Ma in circoli ristretti, ad esempio, vengono utilizzati servizi specializzati in intelligence, sicurezza informatica e attacchi informatici.
Cos'è il motore di ricerca SHODAN? Il sistema SHODAN interroga le porte delle macchine collegate alla rete e raccoglie i banner emessi in risposta, dopodiché indicizza questi banner per il successivo rapido ritrovamento dei dispositivi corrispondenti. A seguito di tale elaborazione, invece di fornire contenuti specifici di pagine contenenti specifiche parola di ricerca query, SHODAN aiuta i suoi utenti a trovare nodi specifici sulla rete: desktop, server, router, switch, webcam, stampanti, ecc.
A differenza di Google, che cerca sul Web siti semplici, Shodan lavora con i canali loschi di Internet. Shodan opera 24 ore al giorno, 7 giorni alla settimana, raccogliendo informazioni su 500 milioni di dispositivi e servizi connessi ogni mese.
In un discorso tenuto alla conferenza degli hacker Defcon, lo specialista indipendente di test di penetrazione Dan Tentler ha dimostrato come SHODAN può essere utilizzato per trovare:
- sistemi di evaporazione termica;
- innumerevoli semafori;
- caldaie per il riscaldamento dell'acqua in pressione;
- sistemi di controllo per porte da garage;
- un sistema di controllo del traffico automobilistico di un'intera città, che può essere commutato in "modalità test" inserendo un unico comando;
- un sistema di controllo della centrale idroelettrica, di cui due turbine generano energia da 3 megawatt ciascuna;
- sistemi di controllo per parchi acquatici, distributori di benzina, cantinette per hotel e crematori;
- sistemi di comando e controllo di centrali nucleari e un acceleratore di particelle atomiche.
E ciò che è particolarmente degno di nota di Shodan, con le sue capacità intimidatorie, è il fatto che pochissimi dei sistemi menzionati hanno funzionalità di sicurezza.
"Potrebbe causare gravi danni", ha detto Tentler della probabilità che tali opportunità cadano nelle mani sbagliate.
Molto spesso, questa misteriosa e massiccia disattenzione delle persone è spiegata in questo modo: per molti di tutti questi dispositivi industriali, non è mai stato concepito per funzionare online. È noto che molte aziende desiderano acquistare sistemi che consentano loro di controllare, ad esempio, un sistema di riscaldamento utilizzando un computer. Ma come è collegato il computer di controllo all'impianto di riscaldamento? Invece di collegarli direttamente tra loro, molti reparti IT collegano semplicemente entrambi i dispositivi al server Web di un'azienda, unendo inconsapevolmente i loro canali puramente interni con il resto del mondo. In altre parole, la mostruosa insicurezza di tali soluzioni è spiegata dal fatto che con un approccio minimamente competente, cose del genere semplicemente non dovrebbero esistere su Internet in linea di principio. E come sperano gli esperti nella protezione delle informazioni, i motori di ricerca come SHODAN sono in grado di correggere questa avversità.
Ma come assicurarsi che SHODAN sia usato solo per il bene delle buone azioni? Il proprietario del motore, John Matherly, limita le ricerche degli utenti nel suo sistema a un massimo di 10 risultati senza registrazione e 50 con un account registrato. Se l'utente desidera vedere tutto ciò che SHODAN ha su questo account, allora Matherly richiede ulteriori informazioni di chiarimento su quale sia lo scopo di queste ricerche. Più alcune spese di servizio.
I principali utenti di SHODAN sono specialisti di test di penetrazione, professionisti della sicurezza, ricercatori accademici e forze dell'ordine. Naturalmente, Matherly ammette che gli aggressori possono anche usare il suo motore di ricerca come trampolino di lancio per le loro azioni nefaste. Ma questo aspetto del ricercatore non è particolarmente preoccupato. Perché i criminali informatici, come sai, di solito hanno accesso a botnet, ovvero grandi complessi di computer già infettati da codici malware, in grado di svolgere le stesse attività di SHODAN. Ma solo senza esporre i loro interessi criminali alla comunità della protezione delle informazioni legali. Inoltre, la stragrande maggioranza degli attacchi dei criminali informatici si concentra sul furto di denaro e proprietà intellettuale... Finora non si sa nulla di tentativi dolosi da parte di intrusi di far saltare in aria i sistemi di riscaldamento nelle case o di abbattere massicciamente i semafori nelle città. Ebbene, i professionisti della sicurezza, dal canto loro, stanno cercando in tutti i modi di prevenire lo sviluppo di eventi secondo tali scenari. Compreso l'utilizzo di SHODAN per identificare tutti coloro che non sono protetti, ma fortemente connessi in rete comune dispositivi e servizi.
Se fai una semplice ricerca per "password predefinita", puoi trovare numero infinito stampanti, server e sistemi di controllo con login "admin" e password "1234". Anche i sistemi più connessi non dispongono affatto delle credenziali di accesso: puoi connetterti ad essi utilizzando qualsiasi browser.
Allo sviluppatore di Shodan, John Materly, è stato chiesto di rispondere a domande relative al lavoro di Shodan.
V: John, come hai iniziato con Shodan?
O: Ho iniziato nel mio tempo libero con un computer Dell da $ 100 e ha funzionato a poco a poco per tre anni. Quando ho iniziato, ho aggiunto 10.000 - 100.000 dispositivi rilevati al mese, ora ne aggiungo centinaia di milioni. La velocità con cui posso lavorare ora è aumentata notevolmente.
V: Questo è molto. Qual è lo scopo della creazione di Shodan?
O: Non è proprio usato per quello per cui l'ho progettato. In effetti, ho creato Shodan in modo che le aziende possano tenere traccia di dove vengono utilizzati. Software... Ora viene utilizzato dagli esperti di sicurezza per cercare programmi, dispositivi e vulnerabilità in diversi sistemi protezione.
V: Shodan funziona come Google?
O: Sì, sono simili. Ma i bot di Google seguono i link, io no. L'unica cosa che faccio è scegliere un IP casuale tra tutti quelli esistenti, non importa se è online o in uso, e provo a connettermi ad esso tramite porte diverse. Questo non è certo sistema visivo, nel senso che non è possibile utilizzare un determinato browser per questo scopo. La maggior parte delle persone non sarà nemmeno in grado di rilevarlo in questo modo, poiché queste informazioni non hanno una rappresentazione visiva.
V: Quindi che tipo di dispositivi a cui puoi accedere si sono rivelati connessi a Internet? Qualcosa che non ti aspettavi di vedere?
O: Uno di questi dispositivi si è rivelato, ad esempio, un ciclotrone, un acceleratore di particelle cariche. Questa attrezzatura serve per fare esperimenti di fisica teorica, è molto, molto instabile e in nessun caso dovrebbe essere collegata a Internet. C'erano anche varie cose strane come i crematori. Vedi come appare il nome della persona nel sistema e ottieni l'accesso a diverse impostazioni cremazione. Non richiede alcuna autenticazione, nessuna password, niente. C'era anche un'enorme centrale idroelettrica da megawatt in linea in Francia. È interessante notare che alle spalle c'era già una storia di fallimenti, la città accanto ad essa era una volta allagata a causa di un errore alla stazione.
V: Cose come le centrali elettriche non dovrebbero avere difese migliori?
O: Uno dei motivi per cui ciò accade è perché le persone cercano di risparmiare denaro. Internet non esisteva nemmeno quando la maggior parte di queste stazioni sono state costruite, quindi hanno appena acquistato un adattatore per connettere il complesso a Internet e risparmiare un po' di soldi sull'implementazione di un sistema sicuro completo. È abbastanza ovvio che non hanno pensato affatto alla sicurezza.
V: Stai dicendo che molte cose non richiedono nemmeno una password?
O: Sì. E anche quei dispositivi che richiedono l'autenticazione spesso utilizzano le impostazioni predefinite, quindi tutto ciò che devi fare è andare su Shodan e cercare i dispositivi che utilizzano la password predefinita.
V: Come ti senti riguardo alla potenziale minaccia rappresentata da questo stato di cose?
O: C'è diversi livelli problemi di sicurezza. Le webcam connesse a Internet possono rappresentare una minaccia minima, ma possono ovviamente violare la privacy personale. I piccoli dispositivi non rappresentano tecnicamente una minaccia per la sicurezza nazionale in sé e per sé. Ma se hai la capacità di compromettere centinaia di migliaia di tali dispositivi, allora diventa davvero un problema di sicurezza nazionale, perché avere il controllo su così tanti dispositivi in un paese, puoi fare un'incredibile quantità di danni. Pertanto, il problema diventa critico quando si tratta di grandi quantità.
V: Ti sorprende che non sia ancora successo nulla di grave?
O: Penso che le persone sottovalutino la quantità di conoscenze tecniche necessarie per passare dalla scoperta all'utilizzo con successo. E in secondo luogo, non si sa mai per quanto tempo il sistema è stato effettivamente esposto. Puoi accedervi, eseguire alcuni programmi in modalità di sospensione e quando hai bisogno di usarlo per qualche obiettivo strategico, puoi inserirlo di nuovo.
V: Cioè, in questo momento in alcuni sistema importante può esserci un virus dormiente?
O: Sì, è abbastanza possibile. Voglio dire, hai comunque bisogno di una certa quantità di conoscenza - non puoi essere un sedicenne che ha appena preso in mano e si è connesso al sistema di controllo di una centrale elettrica, non è così facile. Puoi trovarlo con Shodan, ma per installarci il tuo codice, hai bisogno di una vera conoscenza di come funziona questo dispositivo, specialmente quando si tratta di sistemi complessi come una centrale elettrica.
V: Che cosa, allora, impedisce ai criminali ben addestrati di usare Shodan per fare del male?
O: Le persone che sanno davvero cosa stanno facendo e intendono fare qualcosa di illegale non useranno Shodan per questo, poiché non vogliono assolutamente lasciare una traccia che possa essere loro ricondotta. Shodan non lo è servizio anonimo... Se vuoi usarlo per ottenere più di 50 risposte per richiesta - e 50 non sono molte - devi fornire il tuo informazione personale, così come una certa tassa. Se qualcuno vuole fare qualcosa di veramente illegale, usa botnet che raccolgono le stesse informazioni per lui.
La CNN una volta ha definito Shodan "il motore di ricerca Internet più spaventoso". E anche il suo nome suona davvero intimidatorio. Anche se sono passati tre anni, Shodan non si è sviluppato molto da allora. Per chi non ha familiarità con Shodan, cerca dispositivi connessi a Internet in tutto il mondo. Questo concetto include non solo computer e smartphone, ma può anche trovare turbine eoliche, semafori, lettori di targhe, frigoriferi e qualsiasi altra cosa con una connessione di rete.
Tieni presente che molti di questi dispositivi che utilizziamo ogni giorno non sono protetti. Pertanto, un tale motore di ricerca è il sogno di ogni hacker. Shodan non è l'unico motore di ricerca di questo tipo. In questo articolo esamineremo altri quattro motori di ricerca focalizzati sulla ricerca di vulnerabilità. Potresti avere familiarità con alcuni di essi.
Per prima cosa, scopriamo di più su Shodan.
Shodan
Figura 1. Motore di ricerca Shodan
Ricordiamo che Shodan è tutt'altro che un motore di ricerca nuovo, ma costantemente aggiornato. Il suo nome è un riferimento a SHODAN, un personaggio della serie System Shock. La query più comune in questo motore di ricerca - "Server: SQ-WEBCAM" - mostra il numero di connessi a questo momento Telecamere IP. Se è la prima volta che provi Shodan, inserisci questa query principale e guarda cosa succede.
Il motivo principale per cui è considerato Shodan buon motore di ricerca per gli hacker, è il tipo di informazioni che è in grado di fornire (ad esempio, i tipi di connessione). Sebbene queste informazioni possano essere trovate su Google, è necessario utilizzare i termini di ricerca corretti, che non sono sempre ovvi.
Un altro dei più query popolari in Shodan, la password predefinita. Saresti sorpreso di quanti dispositivi sono elencati nei risultati di ricerca per questa query. Spero che la tua non sia presente, ma in tal caso, cambia meglio la password.
Shodan è molto utile se stai cercando di più informazione specifica. Buon esempio: cerca "Porta SSH: '22 ''. Vedrai molti dispositivi SSH che utilizzano la porta 22.
Nelle SERP, puoi anche vedere l'indirizzo IP, la posizione e le porte utilizzate dal dispositivo.
Anche Shodan, di regola, mostra alcune caratteristiche di ciascun dispositivo, ad esempio: algoritmi MAC, algoritmi di crittografia, algoritmi di compressione.
Se noti che nei risultati di ricerca di Shodan sono apparse informazioni sul tuo dispositivo che non vorresti divulgare, dovresti considerare di correggerle. Queste informazioni sono importanti per i tester quanto lo sono per gli hacker.
Certo, per utente normale Se non sei un hacker o un tester, sarà interessante fare ricerche su Shodan e vedere quali informazioni vengono visualizzate in esso.
Un'altra query spaventosa è "port:' 6666 '' 'kiler", che trova i dispositivi infetti dal Trojan KilerRat.
Figura 2. Il Trojan KilerRat
KilerRat è un Trojan che fornisce accesso remoto al computer infetto. Può rubare credenziali, modificare voci di registro, accedere alla webcam di un utente.
PunkSPIDER
Figura 3. Trova PunkSPIDER
A prima vista, PunkSPIDER non sembra un motore di ricerca grande o serio, specialmente se paragonato a Shodan. Ma i loro obiettivi sono simili. PunkSPIDER è un sistema per trovare vulnerabilità nelle applicazioni web. Si basa su PunkSCAN, uno scanner di sicurezza. PunkSPIDER può cercare vulnerabilità suscettibili ai seguenti tipi di attacchi: Cross Site Scripting (XSS), Blind SQL Injection (BSQLI), Path Traversal (TRAV).
Anche se non hai idea di quali siano questi tipi di attacchi, puoi comunque utilizzare PunkSPIDER per controllare le vulnerabilità del tuo sito.
Ecco un esempio del risultato per la query "sito":
Scansionato: 2016-08-11T20: 12: 57.054Z
Bqli: 0 | sqli: 0 | xss: 0 | trav: 0 | mxi: 0 | osci: 0 | xpathi: 0 | Rischio complessivo: 0
La prima riga mostra il dominio. La seconda riga mostra la data e l'ora in cui il dominio è stato aggiunto al sistema PunkSPIDER. Sulla terza riga, puoi vedere l'elenco tipi diversi attacchi e se sono state trovate vulnerabilità a questi attacchi.
Se effettui query più generiche utilizzando termini come "blog", " social networks"," Forum "o" porno ", otterrai centinaia di risultati. Il fatto che un sito appaia nella SERP non significa che sia infetto. Per un utilizzo più flessibile di PunkSPIDER, puoi utilizzare l'help dedicato.
Puoi anche controllare come funziona con i siti in Reti Tor... La ricerca di ".onion" restituisce 588 risultati. Non è chiaro se siano tutti infetti o meno, ma questo può essere verificato.
IVRE
Figura 4. Motore di ricerca IVRE
Il motore di ricerca IVRE, a differenza di Shodan o PunkSPIDER, è progettato per hacker, programmatori, tester. Anche l'utilizzo della console principale di questo motore di ricerca richiede conoscenza di base tecnologie di rete.
Allora, cos'è IVRE (Instrument de veille sur les réseaux extérieurs)? Infatti è aperto fonte scritto in Python con MongoDB. Utilizza strumenti come Bro, Argus, NFDUMP e ZMap per visualizzare i dati sui dispositivi connessi a Internet. IVRE supporta anche la possibilità di importare dati in formato XML da Nmap e Masscan.
Il sito principale di IVRE fornisce risultati di scansione Nmap che possono essere ordinati utilizzando parole chiave(in questo senso c'è una somiglianza con Shodan). Ecco alcune parole chiave da provare: phpmyadmin, anonftp, x11open. Quindi il filtro su "phpmyadmin" restituisce risultati di ricerca sui server phpMyAdmin, "anonftp" cerca i server FTP che forniscono accesso anonimo, cerca "X11open" server aperti X11. Questa potrebbe non essere una scoperta rivoluzionaria, tuttavia, se trascorri un po' di tempo e comprendi il principio e le caratteristiche di IVRE, puoi scoprire quanto sia utile questo motore di ricerca.
L'esempio seguente mostra i risultati della ricerca per le parole chiave "phpmyadmin" e "sortby: endtime".
Figura 5. Risultati di ricerca IVRE
Per chi vuole saperne di più su caratteristiche tecniche IVRE, si consiglia di visitare il loro GitHub. Puoi anche leggerli, sebbene non sia stato aggiornato da molto tempo.
ZoomEye
Figura 6. Pagina iniziale Motore di ricerca ZoomEye
ZoomEye, come le sue controparti, cerca i dispositivi e le vulnerabilità connessi a Internet. Ma prima di dire "ci siamo già passati", cerchiamo di capire quali sono le sue caratteristiche.
ZoomEye è supportato dagli sviluppatori di Knownsec Inc, azienda cinese un'industria della sicurezza con sede a Pechino. La prima versione di questo motore di ricerca è stata rilasciata nel 2013 e l'ultima è nota come ZoomEye 3.0.
Ancora una volta, puoi ottenere di più da questo motore di ricerca se conosci le stringhe e le parole chiave specifiche per trovare ciò che desideri. Ecco alcuni esempi:
Apache httpd- trova i risultati per i server HTTP Apache.
dispositivo: "webcam"- trova un elenco di webcam connesse a Internet.
app: "Monitoraggio consumo energetico TED 5000"- Trova un elenco di monitor The Energy Detective (TED).
ZoomEye, come Shodan, semplifica il filtraggio dei risultati di ricerca per paese, dispositivi pubblici, servizi web, ecc. Se non sai cosa cercare, sistema di ricerca inizia a visualizzare le query più frequenti.
In alcuni casi, cerca anche alcuni parola casuale può portare a risultati piuttosto interessanti. Ad esempio, prova a cercare "zombie".
Censimento
Infine, diamo un'occhiata a Censys. Lui, come i motori di ricerca sopra descritti, cerca i dispositivi connessi a Internet. Censys raccoglie i dati utilizzando ZMap e ZGrab (uno scanner a livello di applicazione che funziona con ZMap) e scansiona lo spazio degli indirizzi IPv4.
Puoi sperimentare con Censys. Ecco alcuni esempi che puoi utilizzare per la ricerca:
https://www.censys.io/ipv4?q=80.http.get.status_code%3A%20200 - questa richiesta consente di cercare tutti gli host con certo codice Stati HTTP.
Puoi anche digitare stringa di ricerca Un indirizzo IP, ad esempio "66.24.206.155" o "71.20.34.200". Inoltre, Censys può eseguire ricerche di testo completo. Se inserisci "Intel" troverai non solo Dispositivi Intel ma anche host con una voce "Intel" nei propri dati di registrazione. Come con la maggior parte dei motori di ricerca, puoi usare operatori logici"E", "o" e "non".
Ancora una volta, queste informazioni servono per sapere da dove iniziare. Inoltre, man mano che imparerai a conoscere il sistema, troverai funzioni molto più utili.
Che ne dici di un manuale di istruzioni?
La maggior parte di questi motori di ricerca richiederà un po' di pratica prima che diventino davvero strumenti efficaci... Ma sarà interessante solo vedere come funzionano e quali risultati producono.
Per coloro che non sono principianti da molto tempo, questi motori di ricerca possono diventare strumenti potenti... Possono essere molto utili anche per gli sviluppatori.
Quindi se query di ricerca"Server SMTP" o "APC AOS cryptlib sshd" ti fa sorridere di comprensione, ti consigliamo vivamente di provare tutti i motori di ricerca di cui sopra.
