Shodan - gêmeo escuro do Google



Uma fonte

S em IoT significa Segurança
Shodan já foi escrito sobre mais de uma vez, incluindo aqui. Eu gostaria de sugerir mais uma vez examinar os recursos desta ferramenta maravilhosa e os princípios de sua operação. Quero fazer uma reserva desde já que a situação com este motor de busca é bastante clássica para pesquisadores da área de segurança da informação - a ferramenta pode ser usada com boas intenções e fortemente fora da lei.



Disclamer:

Usar o mecanismo de busca em si não é punível. Entrar com sucesso em um painel de controle aberto de um nó terminal de petróleo em algum lugar em Cingapura e experimentar abrir os amortecedores já são puníveis. Pessoas hostis podem vir e bater. Portanto, seja razoável e respeite o espaço das outras pessoas. Somos contra o uso do Shodan para qualquer outra coisa que não seja a pesquisa ou a análise de nossos próprios sistemas.



Proponho-me mais uma vez percorrer as capacidades deste motor de busca, as peculiaridades da sua sintaxe e tentar encontrar algo interessante. E não vamos imprimir Guerra e paz nas impressoras de rede de outras pessoas.



Pessoas são descuidadas



Os canais tornaram-se gigabit, surgiram ferramentas como o ZMap, que permitem escanear todo o array de endereços IPv4 em poucos minutos. E ainda, há muitas pessoas que estão sinceramente seguras de que se você não contar a ninguém sobre o serviço levantado, então você não poderá se preocupar com sua proteção.



Infelizmente, muito rapidamente, primeiro, bots automáticos virão até você, e depois pessoas reais, se algo interessante for encontrado. Esqueci de desligar o vsftpd no devido tempo, que levantei por um tempo. Como resultado, um mês depois, fiquei surpreso ao notar que arquivos de texto com spam, alguns pequenos arquivos criptografados e alegrias semelhantes regularmente aparecem e desaparecem dentro.



Se o problema fosse limitado a administradores juniores e pessoas comuns, que são perdoáveis ​​por algum descuido e falta de qualificações, então simplesmente não posso justificar as empresas que constroem deliberadamente backdoors em seus produtos de hardware. Exemplos clássicos são as populares câmeras IP Hikvision e Dahua . Houve histórias semelhantes com roteadores D-link, Huawei e outros fabricantes.



E com o advento da Internet das Coisas, com suas abordagens “seguras” de implementação, tudo se torna completamente triste. Aqui você tem lâmpadas inteligentes sem senha que funcionam com a Internet externa via HTTP. Ou ainda aspiradores robóticos que serão usados ​​para atacar sua infraestrutura interna, como aconteceu com Dongguan Diqee... Geralmente é divertido - as vulnerabilidades CVE-2018-10987 e CVE-2018-10988 permitiam obter direitos de root, assumir o controle do dispositivo, dirigir até o ponto desejado e receber uma imagem da câmera infravermelha do dispositivo.





Uma história semelhante aconteceu com LG Hom-Bot , onde um invasor pode interceptar o controle e usar um aspirador de pó inocente como um ponto para invadir a rede de outra pessoa.



Como funciona o Shodan



As coisas mudaram muito quando Shodan apareceu. Bem, ok, na verdade, tudo permaneceu igual, mas pelo menos houve uma oportunidade de avaliar a escala de um desastre específico e tentar entrar em contato com o fornecedor para fechar a vulnerabilidade. O Shodan é essencialmente um híbrido de nmap -sV em todo o intervalo IPv4 e nos resultados do mecanismo de pesquisa. Os rastreadores examinam escrupulosamente toda a Internet, tentam se conectar a portas abertas e, usando uma impressão digital, identificam o serviço por trás dessas portas.





Um exemplo de resultado de pesquisa para "vuln: cve-2014-0160".



Em combinação com a pesquisa, isso torna possível estimar rapidamente o número de versões de software vulneráveis ​​após a publicação da próxima vulnerabilidade.



Os dados de cada postagem são armazenados em uma estrutura que os desenvolvedores chamam de banner. Isto é o que parece:



{
    "data": "Moxa Nport Device
            Status: Authentication disabled
            Name: NP5232I_4728
            MAC: 00:90:e8:47:10:2d",
    "ip_str": "46.252.132.235",
    "port": 4800,
    "org": "Starhub Mobile",
    "location": {
        "country_code": "SG"
    }
}


Dependendo da quantidade de informações recebidas, um banner pode conter muitos mais campos que podem ser filtrados e pesquisados. Por padrão, apenas o campo de dados é pesquisado, o que é parcialmente por motivos de segurança. O campo de dados será muito diferente em diferentes banners, dependendo do tipo de aplicativo, servidor ou dispositivo.



HTTP/1.1 200 OK
Server: nginx/1.1.19
Date: Sat, 03 Oct 2015 06:09:24 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 6466
Connection: keep-alive


Essa é a aparência de um campo de dados típico para um servidor HTTP. Você pode ver os principais parâmetros e versão.



Copyright: Original Siemens Equipment
PLC name: S7_Turbine
Module type: CPU 313C
Unknown (129): Boot Loader           A
Module: 6ES7 313-5BG04-0AB0  v.0.3
Basic Firmware: v.3.3.8
Module name: CPU 313C
Serial number of module: S Q-D9U083642013
Plant identification: 
Basic Hardware: 6ES7 313-5BG04-0AB0  v.0.3


E é assim que se parece um controlador industrial muito mais incomum Siemens S7. Nesse estágio, já se torna um pouco assustador quais dispositivos podem ficar na Internet e entrar nos resultados de pesquisa. Por outro lado, a segurança através da obscuridade ainda não ajudou ninguém.



Um caso de uso típico supõe que você forneça uma consulta geral ao campo de dados e, em seguida, refine sua pesquisa com vários filtros. O formato da solicitação é semelhante a este:



nuclear reactor filtername1:value filtername2:value filtername3:value


Observe que não há espaço após os dois pontos. Neste caso, em um primeiro momento, todos os registros contendo "reator nuclear" no campo de dados gerais serão selecionados e, em seguida, todos os filtros listados serão aplicados sequencialmente para restringir os objetos de busca.



Uma lista completa de filtros está disponível aqui . Ao mesmo tempo, alguma parte está disponível apenas para contas pagas, por exemplo "tag" e "vuln".



Tentando pesquisar





Vamos tentar algo como um controlador de porta.





É maravilhoso. Agora vamos dar uma olhada em todos os controladores VertX da HID de propriedade da Spectrum Business.



door controller org:"Spectrum Business"


Em seguida, clicando em um determinado host, um breve resumo dos dados coletados nele é expandido. Ou você pode ver a saída completa dos dados brutos.



Dados brutos por 70.62.170.218
Property Name 	Value
area_code 	null
asn 	AS10796
city 	Garfield Heights
country_code 	US
country_code3 	null
country_name 	United States
data.0._shodan.crawler 	4aca62e44af31a464bdc72210b84546d570e9365
data.0._shodan.id 	e85c3c1b-54ff-4194-8dc1-311da6851e5d
data.0._shodan.module 	http
data.0._shodan.options.referrer 	5ee031c4-75c3-423f-99b8-5c06dd97cf14
data.0._shodan.ptr 	True
data.0.data 	
data.0.domains 	['rr.com']
data.0.hash 	0
data.0.hostnames 	['rrcs-70-62-170-218.central.biz.rr.com']
data.0.http.host 	70.62.170.218
data.0.http.html 	null
data.0.http.html_hash 	null
data.0.http.location 	/
data.0.http.redirects 	[]
data.0.http.robots 	null
data.0.http.robots_hash 	null
data.0.http.securitytxt 	null
data.0.http.securitytxt_hash 	null
data.0.http.server 	null
data.0.http.sitemap 	null
data.0.http.sitemap_hash 	null
data.0.http.title 	null
data.0.port 	443
data.0.timestamp 	2020-09-02T15:26:31.443605
data.0.transport 	tcp
data.1._shodan.crawler 	4aca62e44af31a464bdc72210b84546d570e9365
data.1._shodan.id 	458e8be2-04df-4db7-8499-8e378792584e
data.1._shodan.module 	http
data.1._shodan.ptr 	True
data.1.data 	HTTP/1.1 301 Moved Permanently Location: https://70.62.170.218:443/ Content-Length: 0 Date: Wed, 02 Sep 2020 15:26:23 GMT Server: HID-Web
data.1.domains 	['rr.com']
data.1.hash 	-788227878
data.1.hostnames 	['rrcs-70-62-170-218.central.biz.rr.com']
data.1.http.host 	70.62.170.218
data.1.http.html 	
data.1.http.html_hash 	0
data.1.http.location 	/
data.1.http.redirects 	[]
data.1.http.robots 	null
data.1.http.robots_hash 	null
data.1.http.securitytxt 	null
data.1.http.securitytxt_hash 	null
data.1.http.server 	HID-Web
data.1.http.sitemap 	null
data.1.http.sitemap_hash 	null
data.1.http.title 	null
data.1.port 	80
data.1.timestamp 	2020-09-02T15:26:24.253885
data.1.transport 	tcp
data.2._shodan.crawler 	70752434fdf0dcec35df6ae02b9703eaae035f7d
data.2._shodan.id 	b7f280e3-cffc-4ddd-aa4b-1f9cd9e4d2be
data.2._shodan.module 	vertx-edge
data.2._shodan.ptr 	True
data.2.data 	HID VertX/ Edge door controller MAC: 00:06:8E:41:AB:81 Name: EdgeEHS400 Internal IP: 70.62.170.218 Type: EHS400 Firmware Version: 2.1.1.101 Firmware Date: 2018-05-03-11
data.2.domains 	[]
data.2.hash 	-764264635
data.2.hostnames 	[]
data.2.opts.raw 	646973636f76657265643b3039313b30303a30363a38453a34313a41423a38313b456467654548533430303b37302e36322e3137302e3231383b313b4548533430303b322e312e312e3130313b323031382d30352d30332d31313b
data.2.port 	4070
data.2.tags 	['ics']
data.2.timestamp 	2020-08-26T20:59:09.260224
data.2.transport 	udp
data.2.vertx.firmware_data 	2018-05-03-11
data.2.vertx.firmware_version 	2.1.1.101
data.2.vertx.internal_ip 	70.62.170.218
data.2.vertx.mac 	00:06:8E:41:AB:81
data.2.vertx.name 	EdgeEHS400
data.2.vertx.type 	EHS400
data.3._shodan.crawler 	4aca62e44af31a464bdc72210b84546d570e9365
data.3._shodan.id 	43663d5e-db76-4cba-8f14-6c1bf417ddd3
data.3._shodan.module 	ntp
data.3._shodan.ptr 	True
data.3.data 	NTP protocolversion: 3 stratum: 3 leap: 0 precision: -17 rootdelay: 0.108978271484 rootdisp: 0.162017822266 refid: 1209934681 reftime: 3807379353.45 poll: 3
data.3.domains 	['rr.com']
data.3.hash 	-1317347992
data.3.hostnames 	['rrcs-70-62-170-218.central.biz.rr.com']
data.3.opts.raw 	1c0303ef00001be60000297a481e2359e2efff9972f64603e2f0016cc6b1f800e2f0016ceef1bb83e2f0016cef0fb34d
data.3.port 	123
data.3.timestamp 	2020-08-25T21:30:20.877776
data.3.transport 	udp
dma_code 	510
domains 	['rr.com']
hostnames 	['rrcs-70-62-170-218.central.biz.rr.com']
ip 	1178512090
ip_str 	70.62.170.218
isp 	Spectrum Business
last_update 	2020-09-02T15:26:31.443605
latitude 	41.4344
longitude 	-81.6373
org 	Spectrum Business
os 	null
ports 	[80, 123, 443, 4070]
postal_code 	null
region_code 	OH
tags 	['ics']




O que mais você pode achar interessante



Na verdade, o que eles simplesmente não encontraram. Tanto o controle das turbinas da hidrelétrica, quanto o controlador para o controle dos sistemas de refrigeração da pista de patinação municipal Aqui estão algumas opções interessantes e relativamente inofensivas.







"Server: Prismview Player"


Mostra painéis de publicidade ao ar livre. E para sempre os sensores de temperatura mostram zero absoluto.





http.title:"Tesla PowerPack System" http.component:"d3" -ga3ca4f2


Mostra o status atual do Tesla PowerPack .



A internet não é o lugar mais seguro



Na verdade, as listas disponíveis são simplesmente infinitas. Você pode encontrar os painéis de controle de turbinas eólicas e centros de mídia de alguém em vietnamita, aparecendo na Internet. Siga algumas regras básicas e tudo ficará bem.



  1. Se o dispositivo pode funcionar offline - não o exponha à Internet
  2. Se você realmente precisa expor o dispositivo à Internet, não precisa encaminhar o acesso a ele diretamente. Use uma VPN para se conectar à sua rede
  3. ,





All Articles