
Uma fonte
S em IoT significa SegurançaShodan já foi escrito sobre mais de uma vez, incluindo aqui. Eu gostaria de sugerir mais uma vez examinar os recursos desta ferramenta maravilhosa e os princípios de sua operação. Quero fazer uma reserva desde já que a situação com este motor de busca é bastante clássica para pesquisadores da área de segurança da informação - a ferramenta pode ser usada com boas intenções e fortemente fora da lei.
Disclamer:
Usar o mecanismo de busca em si não é punível. Entrar com sucesso em um painel de controle aberto de um nó terminal de petróleo em algum lugar em Cingapura e experimentar abrir os amortecedores já são puníveis. Pessoas hostis podem vir e bater. Portanto, seja razoável e respeite o espaço das outras pessoas. Somos contra o uso do Shodan para qualquer outra coisa que não seja a pesquisa ou a análise de nossos próprios sistemas.
Proponho-me mais uma vez percorrer as capacidades deste motor de busca, as peculiaridades da sua sintaxe e tentar encontrar algo interessante. E não vamos imprimir Guerra e paz nas impressoras de rede de outras pessoas.
Pessoas são descuidadas
Os canais tornaram-se gigabit, surgiram ferramentas como o ZMap, que permitem escanear todo o array de endereços IPv4 em poucos minutos. E ainda, há muitas pessoas que estão sinceramente seguras de que se você não contar a ninguém sobre o serviço levantado, então você não poderá se preocupar com sua proteção.
Infelizmente, muito rapidamente, primeiro, bots automáticos virão até você, e depois pessoas reais, se algo interessante for encontrado. Esqueci de desligar o vsftpd no devido tempo, que levantei por um tempo. Como resultado, um mês depois, fiquei surpreso ao notar que arquivos de texto com spam, alguns pequenos arquivos criptografados e alegrias semelhantes regularmente aparecem e desaparecem dentro.
Se o problema fosse limitado a administradores juniores e pessoas comuns, que são perdoáveis por algum descuido e falta de qualificações, então simplesmente não posso justificar as empresas que constroem deliberadamente backdoors em seus produtos de hardware. Exemplos clássicos são as populares câmeras IP Hikvision e Dahua . Houve histórias semelhantes com roteadores D-link, Huawei e outros fabricantes.
E com o advento da Internet das Coisas, com suas abordagens “seguras” de implementação, tudo se torna completamente triste. Aqui você tem lâmpadas inteligentes sem senha que funcionam com a Internet externa via HTTP. Ou ainda aspiradores robóticos que serão usados para atacar sua infraestrutura interna, como aconteceu com Dongguan Diqee... Geralmente é divertido - as vulnerabilidades CVE-2018-10987 e CVE-2018-10988 permitiam obter direitos de root, assumir o controle do dispositivo, dirigir até o ponto desejado e receber uma imagem da câmera infravermelha do dispositivo.
Uma história semelhante aconteceu com LG Hom-Bot , onde um invasor pode interceptar o controle e usar um aspirador de pó inocente como um ponto para invadir a rede de outra pessoa.
Como funciona o Shodan
As coisas mudaram muito quando Shodan apareceu. Bem, ok, na verdade, tudo permaneceu igual, mas pelo menos houve uma oportunidade de avaliar a escala de um desastre específico e tentar entrar em contato com o fornecedor para fechar a vulnerabilidade. O Shodan é essencialmente um híbrido de nmap -sV em todo o intervalo IPv4 e nos resultados do mecanismo de pesquisa. Os rastreadores examinam escrupulosamente toda a Internet, tentam se conectar a portas abertas e, usando uma impressão digital, identificam o serviço por trás dessas portas.

Um exemplo de resultado de pesquisa para "vuln: cve-2014-0160".
Em combinação com a pesquisa, isso torna possível estimar rapidamente o número de versões de software vulneráveis após a publicação da próxima vulnerabilidade.
Os dados de cada postagem são armazenados em uma estrutura que os desenvolvedores chamam de banner. Isto é o que parece:
{
"data": "Moxa Nport Device
Status: Authentication disabled
Name: NP5232I_4728
MAC: 00:90:e8:47:10:2d",
"ip_str": "46.252.132.235",
"port": 4800,
"org": "Starhub Mobile",
"location": {
"country_code": "SG"
}
}
Dependendo da quantidade de informações recebidas, um banner pode conter muitos mais campos que podem ser filtrados e pesquisados. Por padrão, apenas o campo de dados é pesquisado, o que é parcialmente por motivos de segurança. O campo de dados será muito diferente em diferentes banners, dependendo do tipo de aplicativo, servidor ou dispositivo.
HTTP/1.1 200 OK
Server: nginx/1.1.19
Date: Sat, 03 Oct 2015 06:09:24 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 6466
Connection: keep-alive
Essa é a aparência de um campo de dados típico para um servidor HTTP. Você pode ver os principais parâmetros e versão.
Copyright: Original Siemens Equipment
PLC name: S7_Turbine
Module type: CPU 313C
Unknown (129): Boot Loader A
Module: 6ES7 313-5BG04-0AB0 v.0.3
Basic Firmware: v.3.3.8
Module name: CPU 313C
Serial number of module: S Q-D9U083642013
Plant identification:
Basic Hardware: 6ES7 313-5BG04-0AB0 v.0.3
E é assim que se parece um controlador industrial muito mais incomum Siemens S7. Nesse estágio, já se torna um pouco assustador quais dispositivos podem ficar na Internet e entrar nos resultados de pesquisa. Por outro lado, a segurança através da obscuridade ainda não ajudou ninguém.
Um caso de uso típico supõe que você forneça uma consulta geral ao campo de dados e, em seguida, refine sua pesquisa com vários filtros. O formato da solicitação é semelhante a este:
nuclear reactor filtername1:value filtername2:value filtername3:value
Observe que não há espaço após os dois pontos. Neste caso, em um primeiro momento, todos os registros contendo "reator nuclear" no campo de dados gerais serão selecionados e, em seguida, todos os filtros listados serão aplicados sequencialmente para restringir os objetos de busca.
Uma lista completa de filtros está disponível aqui . Ao mesmo tempo, alguma parte está disponível apenas para contas pagas, por exemplo "tag" e "vuln".
Tentando pesquisar

Vamos tentar algo como um controlador de porta.

É maravilhoso. Agora vamos dar uma olhada em todos os controladores VertX da HID de propriedade da Spectrum Business.
door controller org:"Spectrum Business"
Em seguida, clicando em um determinado host, um breve resumo dos dados coletados nele é expandido. Ou você pode ver a saída completa dos dados brutos.
Dados brutos por 70.62.170.218
Property Name Value
area_code null
asn AS10796
city Garfield Heights
country_code US
country_code3 null
country_name United States
data.0._shodan.crawler 4aca62e44af31a464bdc72210b84546d570e9365
data.0._shodan.id e85c3c1b-54ff-4194-8dc1-311da6851e5d
data.0._shodan.module http
data.0._shodan.options.referrer 5ee031c4-75c3-423f-99b8-5c06dd97cf14
data.0._shodan.ptr True
data.0.data
data.0.domains ['rr.com']
data.0.hash 0
data.0.hostnames ['rrcs-70-62-170-218.central.biz.rr.com']
data.0.http.host 70.62.170.218
data.0.http.html null
data.0.http.html_hash null
data.0.http.location /
data.0.http.redirects []
data.0.http.robots null
data.0.http.robots_hash null
data.0.http.securitytxt null
data.0.http.securitytxt_hash null
data.0.http.server null
data.0.http.sitemap null
data.0.http.sitemap_hash null
data.0.http.title null
data.0.port 443
data.0.timestamp 2020-09-02T15:26:31.443605
data.0.transport tcp
data.1._shodan.crawler 4aca62e44af31a464bdc72210b84546d570e9365
data.1._shodan.id 458e8be2-04df-4db7-8499-8e378792584e
data.1._shodan.module http
data.1._shodan.ptr True
data.1.data HTTP/1.1 301 Moved Permanently Location: https://70.62.170.218:443/ Content-Length: 0 Date: Wed, 02 Sep 2020 15:26:23 GMT Server: HID-Web
data.1.domains ['rr.com']
data.1.hash -788227878
data.1.hostnames ['rrcs-70-62-170-218.central.biz.rr.com']
data.1.http.host 70.62.170.218
data.1.http.html
data.1.http.html_hash 0
data.1.http.location /
data.1.http.redirects []
data.1.http.robots null
data.1.http.robots_hash null
data.1.http.securitytxt null
data.1.http.securitytxt_hash null
data.1.http.server HID-Web
data.1.http.sitemap null
data.1.http.sitemap_hash null
data.1.http.title null
data.1.port 80
data.1.timestamp 2020-09-02T15:26:24.253885
data.1.transport tcp
data.2._shodan.crawler 70752434fdf0dcec35df6ae02b9703eaae035f7d
data.2._shodan.id b7f280e3-cffc-4ddd-aa4b-1f9cd9e4d2be
data.2._shodan.module vertx-edge
data.2._shodan.ptr True
data.2.data HID VertX/ Edge door controller MAC: 00:06:8E:41:AB:81 Name: EdgeEHS400 Internal IP: 70.62.170.218 Type: EHS400 Firmware Version: 2.1.1.101 Firmware Date: 2018-05-03-11
data.2.domains []
data.2.hash -764264635
data.2.hostnames []
data.2.opts.raw 646973636f76657265643b3039313b30303a30363a38453a34313a41423a38313b456467654548533430303b37302e36322e3137302e3231383b313b4548533430303b322e312e312e3130313b323031382d30352d30332d31313b
data.2.port 4070
data.2.tags ['ics']
data.2.timestamp 2020-08-26T20:59:09.260224
data.2.transport udp
data.2.vertx.firmware_data 2018-05-03-11
data.2.vertx.firmware_version 2.1.1.101
data.2.vertx.internal_ip 70.62.170.218
data.2.vertx.mac 00:06:8E:41:AB:81
data.2.vertx.name EdgeEHS400
data.2.vertx.type EHS400
data.3._shodan.crawler 4aca62e44af31a464bdc72210b84546d570e9365
data.3._shodan.id 43663d5e-db76-4cba-8f14-6c1bf417ddd3
data.3._shodan.module ntp
data.3._shodan.ptr True
data.3.data NTP protocolversion: 3 stratum: 3 leap: 0 precision: -17 rootdelay: 0.108978271484 rootdisp: 0.162017822266 refid: 1209934681 reftime: 3807379353.45 poll: 3
data.3.domains ['rr.com']
data.3.hash -1317347992
data.3.hostnames ['rrcs-70-62-170-218.central.biz.rr.com']
data.3.opts.raw 1c0303ef00001be60000297a481e2359e2efff9972f64603e2f0016cc6b1f800e2f0016ceef1bb83e2f0016cef0fb34d
data.3.port 123
data.3.timestamp 2020-08-25T21:30:20.877776
data.3.transport udp
dma_code 510
domains ['rr.com']
hostnames ['rrcs-70-62-170-218.central.biz.rr.com']
ip 1178512090
ip_str 70.62.170.218
isp Spectrum Business
last_update 2020-09-02T15:26:31.443605
latitude 41.4344
longitude -81.6373
org Spectrum Business
os null
ports [80, 123, 443, 4070]
postal_code null
region_code OH
tags ['ics']
O que mais você pode achar interessante
Na verdade, o que eles simplesmente não encontraram. Tanto o controle das turbinas da hidrelétrica, quanto o controlador para o controle dos sistemas de refrigeração da pista de patinação municipal Aqui estão algumas opções interessantes e relativamente inofensivas.

"Server: Prismview Player"
Mostra painéis de publicidade ao ar livre. E para sempre os sensores de temperatura mostram zero absoluto.

http.title:"Tesla PowerPack System" http.component:"d3" -ga3ca4f2
Mostra o status atual do Tesla PowerPack .
A internet não é o lugar mais seguro
Na verdade, as listas disponíveis são simplesmente infinitas. Você pode encontrar os painéis de controle de turbinas eólicas e centros de mídia de alguém em vietnamita, aparecendo na Internet. Siga algumas regras básicas e tudo ficará bem.
- Se o dispositivo pode funcionar offline - não o exponha à Internet
- Se você realmente precisa expor o dispositivo à Internet, não precisa encaminhar o acesso a ele diretamente. Use uma VPN para se conectar à sua rede
- —
- ,
