Cum să găsiți și să eliminați dispozitivul din motorul de căutare Shodan IoT

Îndepărtați dispozitivul de pe Shodan

Shodan, creierul lui John Matherly, este un motor de căutare specializat care permite utilizatorilor găsiți informații sensibile despre dispozitivele conectate la internet neprotejate (de exemplu, computere, monitoare pentru bebeluși, imprimante, camere web, routere, sisteme de automatizare casnică, aparate inteligente, servere) folosind diverse filtre. Orice dispozitiv care nu este protejat este potențial vulnerabil pentru oricine, inclusiv hackerii, folosind Shodan pentru a-l găsi.

Wikipedia o descrie ca „un motor de căutare a bannerelor de servicii, care sunt metadate pe care serverul le trimite înapoi clientului.” Diferența dintre Shodan și motoarele de căutare tradiționale precum Google este că Shodan indice dispozitive IoT (Internet of Things) și returnează informații accesibile publicului despre ele, mai degrabă decât conținutul site-ului web.

Cu Shodan, oricine poate găsi dispozitive care folosesc detalii de autentificare implicite - o configurație greșită și prea comună, de configurare de securitate. În acest articol, vom învăța cum să profitați de Shodan pentru a-ți găsi dispozitivele vulnerabile și pentru a le bloca de controlul public.

Shodan este uneori dat un rap rău în mass-media populare (și senzaționaliste), portretizat pur și simplu ca o modalitate ușoară pentru cei răi de a găsi ținte vulnerabile la hack. Realitatea este că Shodan nu este singurul instrument pe care un hacker îl are în arsenalul lor și există multe modalități prin care ciberneticii pot încălca lacune de securitate. Shodan este un instrument puternic și ușor de utilizat pentru utilizatorii casnici și întreprinderile care ajută la identificarea dispozitivelor vulnerabile. După aceea, este de la dvs. să vă protejați dispozitivele.

Dar mai întâi, să rezumăm elementele de bază ale lui Shodan, ce este, ce face, cum funcționează, cât costă și dacă își merită reputația controversată.

Cât de înfricoșător este Shodan?

Pentru utilizatorul de acasă, Shodan poate părea un pic ca Big Brother. Acesta a fost numit „cel mai înfricoșat motor de căutare de pe internet”. Potrivit CNN Business, cercetătorii din Shodan au găsit dispozitive sensibile de comandă și centru de control pentru centralele nucleare. Un blog CT Access descrie un scenariu înfricoșător în care un utilizator Shodan a reușit să acceseze un sistem de control al traficului și, cu o singură comandă simplă, a setat sistemul la modul de testare. Dar mijloacele de a compromite aceste sisteme au fost făcute publice prin măsuri de securitate scăzute în sistemele în sine. Conform CSO Online, „Dacă o organizație expune date sensibile la Internet, blocarea lui Shodan nu va rezolva problema”. În schimb, utilizatorii ar trebui să utilizeze Shodan proactiv ca instrument de securitate pentru a afla dacă informațiile despre dispozitivele lor sunt acces public.

Shodan a fost etichetat înfricoșător, în principal din cauza numărului mare de dispozitive care există acolo, care au o siguranță redusă. De exemplu, atunci când folosesc parole implicite, cum ar fi „admin” sau „0000”. Găsirea dispozitivului dvs. pe Shodan ar trebui să fie un apel de trezire pentru a soluționa deficiențele de securitate..

Pentru ce este folosit Shodan?

În timp ce Shodan este un instrument util pentru metroul digital și cybercriminali, acesta are multe utilizări pozitive pentru utilizatorii și organizațiile de acasă:

  • Permite in-house testere de penetrare și hackeri de pălării albe pentru identificarea vulnerabilităților din rețelele de întreprindere
  • Utilizatori de acasă pot descoperi vulnerabilități cu propriile dispozitive conectate la internet și pot identifica dacă altcineva le folosește. De exemplu, un hacker a accesat serverul dvs. și care este adresa IP a acestora?
  • Oferă date valoroase despre dispozitivele IoT (Internet of Things) pentru scopuri de cercetare de către oamenii de știință de date, oficialii de aplicare a legii și profesioniști în domeniul cibersecurității
  • Shodan te poate ajuta identificarea rețelelor de infrastructură critice, de ex. instalații de tratare a apei care nu ar trebui să fie pe internet public, Centre de control SCADA accesibile la internet și dispozitive IoT pentru rețelele de domiciliu nesigure, de la frigidere până la sisteme de securitate la domiciliu.
  • Shodan urmărește exploatările recente care vizează tipuri de dispozitive specifice sau folosind software special. Puteți descoperi cu ușurință dacă afacerea dvs. poate fi vulnerabilă la o exploatare de securitate. (Puteți chiar să configurați un flux RSS care să vă anunțe despre exploatările IoT recente.) În 2016, Github a raportat o eroare exploatabilă în IIS 6.0 în Microsoft Windows Server 2003. Software-ul nu mai este acceptat de Microsoft. Este simplă crearea unei căutări Shodan pentru a enumera toate dispozitivele neprotejate (la momentul scrierii) 597.611 utilizând Microsoft-IIS / 6.0.

Îndepărtați-vă dispozitivul din Shodan

Exemplu de rulare populară pentru a identifica routerele care utilizează numele de utilizator / parola ca admin / 1234 în bannerul lor (Sursa: Shodan)

Este legal Shodan?

Una dintre primele întrebări pe care ne-au inițiat-o este „Este legal?” Scott Hirschfeld, de la CT Access, răspunzând din punct de vedere tehnic, spune că este. Deoarece Shodan este doar un „scaner portuar masiv” și expune pur și simplu dispozitive vulnerabile (nu folosește de fapt informațiile pe care le descoperă), este legal. „Scanarea porturilor nu reprezintă o încălcare a Legii privind fraudele și abuzurile computerului, deoarece nu îndeplinește cerința de daune cu privire la disponibilitatea sau integritatea dispozitivului.” Scanerele populare precum nMap și Nessus pot face aproape aceeași treabă.

Cum funcționează Shodan?

Stindarduri de service și prindere banner

Înțelegerea a ceea ce este un banner de servicii, ajută la înțelegerea modului în care dispozitivele pot fi vulnerabile la Shodan. Shodan funcționează prin dezlănțuirea de crawlere web (păianjeni) care prind bannere de servicii, care furnizează informații publice despre serviciile unui dispozitiv - de ex. HTTP, FTP, SSH, Telnet, SNMP etc..

Informațiile pot include numele și adresa IP a dispozitivului, ce software-ul rulează serviciul, ce opțiuni acceptă și ce servicii oferă. Rețineți că banner-urile pot fi falsificate, dar ce este un tezaur de informații pe care le ofera bannerele reale!

Îndepărtați-vă dispozitivul din Shodan

Exemplu de banner-ul Shodan simplificat (Sursa: Shodan)

Ușor, un banner poate fi comparat cu un semn al restaurantului pe ușă atunci când se deschide pentru afaceri care anunță programul său de deschidere, meniu, etc. În acest scenariu, când ușa este deblocată și restaurantul se deschide, automat pe site-urile de internet care prezintă funcția restaurantul își va actualiza informațiile la Deschis și, mai probabil, afișați locația și datele de contact ale restaurantului. În mod similar, un banner de servicii oferă informații despre un dispozitiv care poate fi preluat și afișat de Shodan.

Ce sunt filtrele Shodan?

Puteți filtra rezultatele căutării după țară, oraș, organizație, sistem de operare, interval de timp, nume gazdă, interval IP sau produs. Intervalul IP este o modalitate de a verifica dacă dispozitivele dvs. sunt vulnerabile. Pagina cu rezultate oferă, de asemenea, un filtru sumar, de ex. țări de vârf, nu orice țară de pe pământ. Dacă doriți să vedeți rezultatele pentru o anumită țară, trebuie să utilizați filtrul de țară din șirul dvs. de căutare, de ex. „Țară parola implicită: SUA”. Puteți obține rezultate adânci cu mai multe filtre.

Făcând clic Detalii oferă informații suplimentare despre dispozitiv, de ex. proprietarul dispozitivului, deschide porturi și serviciile pe care dispozitivul le rulează. Un hacker negru ar putea cunoaște un exploit împotriva unei anumite versiuni de SSH. Shodan este rapid și ușor de utilizat pentru a găsi fiecare computer deschis către web care rulează versiunea respectivă. Voila, o listă instantanee de ținte vulnerabile.

Îndepărtați-vă dispozitivul din Shodan

Exemplu de filtru pentru dispozitive FreeBSD care utilizează o parolă implicită (Sursa: Shodan)

Adrese IP publice

Dispozitivele domestice partajează o adresă IP publică, care este (ar trebui să fie) protejată de ISP-ul dvs. și atribuită routerului. Cu excepția cazului în care Shodan a făcut o scanare foarte recentă pe internet și a inclus IP-ul atribuit de ISP-ul dvs. (foarte puțin probabil), este posibil să nu vă afișați într-o căutare. Rețineți că Shodan finalizează doar o rasușare a întregului internet (aproximativ 500 de milioane de dispozitive) o dată pe lună, așa că dacă doriți să faceți o solicitare actualizată pentru a confirma că sunteți în afara grilei Shodan, trebuie să utilizați API Shodan pentru scanare la cerere (un serviciu disponibil doar abonaților plătiți.) Alte dispozitive conectate la dispozitivul dvs., de ex. imprimanta dvs., vă identifică prin adresele IP locale (private), care nu vor apărea într-o căutare Shodan.

Cum efectuați căutările?

În mod similar cu un motor de căutare tradițional, pur și simplu introduceți un șir de căutare și faceți clic pe Căutare. Centrul de ajutor al Shodan oferă o listă cuprinzătoare de filtre pentru a restrânge rezultatele căutării dvs. Mai jos sunt câteva întrebări simple de eșantion:

  • Găsiți dispozitive Cisco în California - orașul Cisco: California
  • Găsiți serverele Apache în Germania - Țara Apache: de
  • Găsiți toate dispozitivele care nu sunt situate în New York - oraș: „New York”

Notă: Nu există spațiu între punct și valoarea de căutare și, dacă utilizați un șir cu un spațiu, ar trebui să înfășurați valoarea de căutare între ghilimele.

Cine poate folosi Shodan?

Oricine îl poate folosi și este gratuit pentru utilizatorii fără cont, deși căutările sunt limitate la două pagini de rezultate. Cel mai scump plan de abonament este de 899 USD pe lună, cu rezultate nelimitate.

Sfaturi pentru a vă feri dispozitivele de pe grila Shodan - [SOLVED]

Există o serie de moduri de a vă proteja dispozitivele, dar cea mai bună practică este de departe să utilizați un VPN pentru a rămâne sub radarul Shodan.

Securitatea Shodan 101

Utilizatorul de origine nu ar trebui să se bazeze pe ISP-ul său pentru o protecție completă:

  • Instalați un VPN. Nu va fi neapărat să vă coste bani mari; multe sunt gratuite.
  • Nu folosiți niciodată configurații implicite, de exemplu. parole, nume de utilizator și SSID
  • Preferabil cumpărați un router direct de la producător mai degrabă decât de la ISP-ul dvs., deoarece producătorii sunt de obicei mai actualizați cu patch-uri; este, până la urmă, afacerea lor principală
  • Mereu configurați software-ul corect, și mențineți-l plasat și actualizat
  • Informațiile despre frigiderul dvs. sunt accesibile pe internet? Întrebați-vă dacă dispozitivele dvs. trebuie să fie conectate cu adevărat. Uneori, configurațiile implicite ale furnizorilor nu sunt sigure.
  • Mereu utilizați HTTPS pe dispozitivele IoT și autentificarea cu mai mulți factori acolo unde este disponibil

În plus față de cele de mai sus, o abordare cu mai multe fațete a securității dispozitivelor unei organizații este cea mai bună modalitate de a o proteja:

  • Utilizați întotdeauna un VPN, în special dacă gestionați dispozitivele de la distanță, de ex. pentru contractori sau furnizori externi sau au o politică BYOD
  • Examinați conținutul bannerelor de servicii și aveți grijă la ceea ce dezvăluiți în mesajele de eroare și de bun venit; cea mai mică informație este plătirea murdăriei pentru hackerul dedicat. Apache Tomcat publică în mod implicit tone de informații despre serviciile pe care un dispozitiv le rulează. IBM are un ghid rapid pentru curățarea Apache Tomcat, iar Yeah Hub oferă instrucțiuni pas cu pas pentru întărirea serverelor IIS.
  • Implementați o politică strictă de securitate la organizația dvs. Amenințările privilegiate îți pun afacerea în pericol mult mai mare ca existența Shodan și software de hacking de pe Dark Web.
  • Eliminați moștenirea și serviciile neutilizate
  • Luați în considerare firmware-ul de router open source, care este personalizabil și de multe ori mai fiabil decât opțiunile comerciale, creat și gestionat, așa cum este acesta, de către geek-ul voluntar IT care îl fac pentru dragostea acestuia și nu doar pentru bani. Două opțiuni sunt Tomato și DD-WRT.
  • Restricți-ți propriul acces pentru a-ți gestiona routerul la o singură adresă IP care nu face parte din grupul de adrese care ți-a fost atribuită rețeaua. Practicați un management sigur, de ex. nu permiteți routerului să vă stocheze detaliile de conectare.
  • Nu activați niciodată redirecționarea porturilor pentru dispozitivele IoT sau serverele din LAN. Dacă aveți nevoie de acces la dispozitivele dvs. prin internet, instalați un server VPN de acasă și accesați LAN-ul prin VPN.
  • Fii la fel de furios ca un hacker. În loc să anunțați intrusii că i-ați detectat, permițând firewallului dvs. să trimită un mesaj de destinație ICMP inaccesibil către adresele pe care doriți să le blocați, lăsați-l pe scanner. Să știți dacă există o gazdă este o informație valoroasă pentru hackerii care folosesc Shodan.
  • Utilizați o politică de blocare a contului pentru a reduce riscul de atacuri de forță brută în rețeaua dvs.

Aflați dacă dispozitivele dvs. sunt vulnerabile

Pentru a începe, veți avea nevoie de adresa dvs. publică. Pentru a o găsi, introduceți pur și simplu „care este adresa mea IP” în Google.

Pentru a găsi computerul în Shodan, tastați „net: [adresa dvs. publică]” (fără ghilimele) în caseta de căutare Shodan. Dacă ISP-ul dvs. își face treaba, veți primi un 404 Nu a fost gasit mesaj de stare. Dacă sunteți vulnerabil, Shodan va returna detaliile dispozitivului. Este posibil ca hackerii să nu îți cunoască adresa IP publică, dar dacă utilizați un nume de utilizator și o parolă implicită, v-ar putea găsi căutând dispozitive care folosesc detalii de autentificare implicite. Cea mai bună modalitate de a vă îndepărta de grila Shodan este instalând un VPN, de ex. OpenVPN.

Alternative la Shodan pentru a confirma dacă dispozitivele dvs. sunt vulnerabile:

  • Dacă Shodan nu oferă detaliile adresei dvs. IP publice într-o căutare de bază, puteți utiliza un instrument de scanare a porturilor online, cum ar fi Ascundeți numele meu pentru a confirma că porturile dvs. sunt protejate. Introdu adresa de IP publică. Toate porturile trebuie să fie într-o stare închisă sau filtrată (protejată de un firewall sau filtru). Dacă utilizați Ascundeți numele meu pentru a scana adresa dvs. IP locală, ar trebui să primiți un mesaj potrivit căruia gazda este în jos sau ceva similar, „Eroare: Serverul nu este dispus să scaneze această gazdă.”
  • Censys este similar cu Shodan, dar mai nou și mai ușor de utilizat decât utilizatorul. Introduceți adresa dvs. IP. Dacă dispozitivul dvs. este protejat, ar trebui să primiți un mesaj în conformitate cu „Nu am găsit niciun serviciu acces public în această gazdă sau gazda este pe lista noastră neagră”.
  • Scanerul IoT poate face o scanare a portului pentru a descoperi dacă vreunul dintre dispozitivele dvs. este accesibil public pe internet.

Scanere bloc Shodan

Strict vorbind, nu scoateți dispozitivul din Shodan, ci blocați motorul să îl găsească. IP Fire spune că Shodan folosește aproximativ 16 scanere diferite pentru a menține indexul actualizat. Pentru a bloca aceste scanere, puteți configura definițiile de gazdă cunoscute pentru scanerele Shodan în firewall-ul computerului. Din păcate, aceste adrese IP se pot schimba oricând, astfel încât va trebui să le țineți la curent ca parte a rutinei de securitate. Din păcate, VPN-urile sunt concepute pentru a sustrage firewall-urile, astfel încât un firewall vă poate avertiza la o interogare Shodan, dar este posibil să nu vă protejeze de un atac de hacking. Blocarea scanerelor cunoscute Shodan este o soluție rapidă în situațiile în care nu puteți utiliza o VPN și dispozitivele dvs. trebuie să fie publice.

Configurați un VPN

Comparitech a rotunjit cele mai bune (și cele mai rele) VPN-uri, inclusiv cele gratuite:

  • Cele mai bune servicii VPN pentru 2018
  • 20+ VPN-uri gratuite evaluate cot la cot
  • Cele mai bune 6 VPN-uri gratuite în care puteți avea încredere
  • Cele mai bune VPN-uri pentru Linux în 2018 (și cel mai rău)

Ar trebui să vă panicați pentru Shodan?

Majoritatea oamenilor nu-și fac prea multe griji că aplicațiile precum Facebook și browserele precum Google știu mai multe despre ele decât propriile lor mame, chiar dacă ar trebui. Nu doriți să vă prezentați într-o căutare Shodan, dar nu este, așa cum am văzut, prea dificil să vă protejați.

Dispozitivele care utilizează configurații implicite prezintă cel mai mare risc din partea criminalilor cibernetici care folosesc Shodan sau orice alt software conceput pentru a elimina configurațiile nesigure ale dispozitivului. Nu doar Shodan este înfricoșător. Dorks Google - interogări de căutare SQL care caută în indexul unui site web de informații - au fost dezvoltate înainte ca Shodan să ajungă pe scena în 2009. Aceste interogări pot fi de asemenea folosite pentru a găsi informații vulnerabile pe site-ul dvs., de ex. un document care conține date sensibile.

Pentru a începe cu Shodan, baza de cunoștințe Shodan este cuprinzătoare și un loc util în care să înveți cum să folosești motorul și să te protejezi în mod eficient, precum și să te distrezi învățând unele informații și chestiuni IoT.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

20 − = 16

Adblock
detector