Shodan: мир открытых портов и уязвимых устройств

[BOOX]

В то время как большинство людей использует поисковики, чтобы найти нужную им информацию, существует другой мир, скрытый от обычных юзеров.


Это мир Shodan — поисковой системы, которая индексирует не веб-страницы, а сетевые устройства, сканируя открытые порты и уязвимости.

Shodan стал незаменимым инструментом для исследователей безопасности и хакеров, но он также может быть использована и для защиты от них. В статье рассмотрим, что такое Shodan, как он работает, какие риски и возможности он представляет для информационной безопасности.

Что такое Shodan и чем он отличается от обычных поисковых систем​

В отличие от, например, Яндекса или Google, которые ищут текст на веб-страницах, Shodan видит сами устройства, распознавая их тип, программное обеспечение и открытые порты. Shodan сканирует интернет в поисках открытых портов и устройств, которые откликаются на запросы. Он использует ботов, проверяющих IP-адреса на наличие открытых портов и сервисов.

Когда бот находит активное устройство, он собирает информацию о нем, например:

• тип устройства — камера, маршрутизатор, сервер и т. д.;
• операционная система — Windows, Linux, iOS и т. д.;
• версия программного обеспечения;
• какие порты устройства доступны для подключения;
• дополнительная информация — название устройства, серийный номер, IP-адрес и т. д.

Собранная информация индексируется в базе данных Shodan, что позволяет заинтересованным лицам искать устройства по различным критериям.

Риски Shodan​

Информация, собранная Shodan, может быть использована злоумышленниками для различных видов хакерских атак. Доступ к открытым портам и информации об устройствах предоставляет хакерам возможность использовать разные методы атаки.

Shodan, Censys, BinaryEdge, ZoomEye, Fofa, internet-measurement и другие публичные системы представляют собой ASM-систему, выполняющую непрерывное сканирование всего интернета. У каждой из этих систем есть свои сервера-сканеры, и их хорошо видно на ханипотах. Вы можете запустить такой у себя или взять публичный, например

Для просмотра ссылки необходимо нажать Вход или Регистрация

. Так что самой простой защитой от shodan'а и им подобных будет блокировка соответствующего пула адресов.

Но Shodan — это не единственное, что может вас просканировать. Любой желающий может запустить nmap или masscan и получить тот же результат, что и из Shodan, но сделать это с любого IP-адреса. Поэтому я бы посоветовал на межсетевом экране перед серверами активировать правило, отправляющее TCP SYN-ACK пакеты в ответ на любой входящий TCP SYN. Это приведет к тому, что сканирующая сторона будет видеть 65535 открытых портов, в которых просто нереально будет увидеть продуктивные сервисы. Это отличная защитная мера, которая иногда встречается на периметрах разных компаний. Как пентестер, имитирующий реальные атаки, могу сказать, что это очень сильно мешает разведке.

Однако мы можем ещё сильнее испортить жизнь сканерам, если вместо отправки TCP SYN-ACK перенаправим все входящие соединения на какой-нибудь порт-заглушку, отправляющий в ответ «мусор» из /dev/zero. Это подвесит сканеры, когда те начнут определять версии служб, бесконечно читая данные из каждого порта. В конечном счете это может привести даже к утечке памяти на сканирующей стороне и отказу в обслуживании.

Вот некоторые из наиболее распространенных рисков:

1. Сканирование уязвимостей. Shodan позволяет хакерам быстро и эффективно сканировать устройства на наличие известных уязвимостей. Например, если устройство использует устаревшую версию программного обеспечения с известными багами, хакеры могут использовать их для получения несанкционированного доступа.
2. Атаки DDoS. Поисковик может быть использован для организации DDoS-атак (отказ в обслуживании). Хакеры могут направить большое количество запросов к устройству, что приводит к перегрузке и отказу в работе.
3. Бомбардировка спамом. Информация о сетевых устройствах, собранная Shodan, может быть использована для рассылок спама и вредоносных программ.
4. Захват управления устройствами. Shodan может быть использован для захвата управления устройствами, например, камерами видеонаблюдения или маршрутизаторами. Хакеры могут использовать захваченные устройства для шпионажа или других злонамеренных действий.
5. Кража данных. Злоумышленники могут использовать Shodan для поиска устройств, хранящих конфиденциальные данные, например, базы данных или финансовую информацию.

Важно помнить, что Shodan — это мощный инструмент, который может быть использован для хороших или плохих целей. Необходимо осознавать риски, связанные с использованием Shodan, и принимать меры по защите своих сетевых устройств.

Не только угроза, но и инструмент защиты​

Shodan, несмотря на свою репутацию инструмента хакеров, также является полезным для специалистов по безопасности. Он предоставляет бесценную информацию о сетевых устройствах, что позволяет проактивно выявлять проблемы и устранять уязвимости.

С помощью Shodan специалисты могут быстро найти устройства с устаревшим программным обеспечением или с открытыми портами, которые могут быть использованы для атак. Он также позволяет отслеживать изменения в сети и выявлять новые устройства, которые могут представлять угрозу. Анализ информации Shodan помогает понять, как хакеры атакуют устройства, что позволяет улучшать стратегии защиты. Shodan даже позволяет создать карту сети, которая показывает все устройства, подключенные к интернету, что упрощает управление и защиту сети. Кроме того, Shodan является ценным инструментом для обучения и исследований в сфере кибербезопасности.

Как скрыть свои устройства от «всевидящего ока»​

Чтобы защитить свои сетевые устройства от сканирования Shodan, необходимо предпринять ряд мер.

Защитить свои сетевые устройства от сканирования можно несколькими способами, например:

1. Использовать файрвол и корректно настроить для предотвращения сканирования различными способами (SYN/TCP/UDP/FIN/ACK-сканирование).
2. Периодически сканировать всю внешнюю инфраструктуру на наличие неиспользуемых внешних адресов и портов (например, с помощью nmap). Закрывать неиспользуемые порты через файрвол.
3. Использовать решения класса IDS/IPS для обнаружения и предотвращения попыток сетевого сканирования.
4. Вести черные списки IP-адресов/доменных имен популярных ресурсов автоматизировано сканирующих внешние сетевые ресурсы (Shodan, Censys, ZoomEye и другие).
5. Использовать виртуальные локальные сети (VLAN) для разграничения и изоляции устройств внутренней сети.
6. По возможности использовать GeoIP-фильтрацию, для предотвращения попыток сканирования сетевых ресурсов зарубежными сервисами.

К сожалению, защита от сканирования Shodan — не одноразовая задача. Необходимо регулярно проверять настройки безопасности и обновлять программное обеспечение, чтобы убедиться, что ваши сетевые устройства защищены от угроз.

Shodan и IoT​

Интернет вещей (IoT) приносит людям удобство и новые возможности, но при этом создает новые уязвимости. Shodan играет ключевую роль в анализе устройств IoT, помогая специалистам по безопасности понять их характеристики и риски.

Основным методом Shodan является текстовый анализ заголовков в ответ на запрос по стандартным портам. Из результатов такого анализа можно сделать выводы относительно типа устройства, версии установленного ПО, а также настроек. Именно по этим признакам исследователи безопасности могут составлять специальные поисковые запросы, например, для поиска IoT. В данном случае злоумышленник должен точно знать, что искать, в подборках для исследователей есть примеры текстовых строк для поиска, например, зарядных станций Tesla, контроллеров ветряных станций, медицинских систем, железнодорожных систем, SCADA и многого другого. Самым популярным объектом поиска являются IP-камеры, которые также можно искать через текстовый поиск в баннере.

Он сканирует интернет в поисках открытых портов, характерных для устройств IoT — HTTP, HTTPS и Telnet. Анализирует протоколы, используемые устройствами IoT, определяя их тип и функции. Также Shodan классифицировать устройства IoT и анализирует их веб-интерфейсы, что позволяет определить функции устройства и найти уязвимости.

Shodan использует комплексный подход, который включает анализ сетевых данных, сигнатур и конфигураций для точного обнаружения и классификации IoT-устройств. Вот несколько ключевых методов:

1. Порт-сканирование. Shodan отправляет запросы к разным диапазонам IP-адресов, проверяя открытые порты. На основе ответа делает вывод, какое устройство находится за этим портом (например, веб-камера, сервер или промышленный контроллер).
2. Анализ баннеров. После подключения к устройству Shodan собирает информацию, представленную в ответах устройств — так называемые баннеры. Баннеры могут содержать данные о версии ПО, типе устройства, производителе и конфигурации сети.
3. Сопоставление с известными шаблонами. Shodan классифицирует устройства, используя базы данных шаблонов сигнатур, сравнивая полученные данные с известными параметрами популярных устройств и сервисов. Это позволяет Shodan идентифицировать IoT-устройства по их уникальным характеристикам.
4. Информационные утечки. Shodan также выявляет устройства, которые неправильно настроены и случайно предоставляют доступ к конфиденциальной информации, например, к логам системы или конфигурационным файлам.

Все это делает Shodan незаменимым инструментом для специалистов по безопасности IoT. Он позволяет быстро найти устройства IoT с известными уязвимостями и создать карту сети IoT, что помогает понять, какие устройства подключены к сети и как они используются. Shodan также позволяет отслеживать изменения в сети IoT и выявлять новые устройства, которые могут представлять угрозу.

Российская версия Shodan: между возможностями и рисками​

Идея создания российской версии Shodan — поисковой системы сетевых устройств, аналогичной зарубежному сервису, недавно обсуждалась в IT-сообществе. Мнения специалистов разделились. Одни видят в этом возможность укрепить кибербезопасность страны. Российская версия Shodan могла бы помочь выявлять уязвимые устройства в российском сегменте интернета и предотвращать хакерские атаки.

Данные, собранные таким сервисом, могли бы использоваться для анализа угроз и разработки более эффективных стратегий защиты. Кроме того, создание аналогичного сервиса могло бы стимулировать развитие отечественной IT-индустрии и привлечь к ней новых специалистов.

Перспективы у идеи создания российского аналога определенно есть. Во-первых, это позволит предоставить более точные и актуальные данные о сетевых устройствах в России, тогда как Shodan нацелен на всю сеть и не адаптирован под реалии наших устройств, приложений, применяемых технологий. Во-вторых, российская версия может быть использована в том числе и для мониторинга за внешним периметром критической инфраструктуры. Можно смотреть, где открыты «опасные» порты, где не устранена эксплуатируемая уязвимость, сколько определенных устройств с трендовой уязвимостью функционирует в Рунете и т. п. Все это, конечно, идеальный вариант, который вряд ли будет реализован по нескольким причинам: правовые и этические проблемы, необходимость затраты больших ресурсов (в т. ч. финансовых), риски безопасности новой платформы и данных, предоставляемых третьим сторонам.

Другие не считают такое решение целесообразным в современных реалиях. К тому же доступ к информации о сетевых устройствах может быть использован не только для защиты, но и для атаки. Важно обеспечить безопасность данных и защитить сервис от несанкционированного доступа. Необходимо также разработать специальные правила и нормы, чтобы обеспечить безопасность и защитить граждан от злоупотреблений.

Я не думаю, что у такого решения будут какие-то перспективы. У Shodan есть альтернативы, однако все продолжают использовать именно ее. Если создавать что-то новое, то нужно предложить какой-то сценарий, с которым справится именно новое решение, а Shodan задачу решить не сможет. Единственный возможный сегодня сценарий – это если Shodan, как и многие другие сервисы, ограничит доступ пользователей из РФ. Однако даже в этом случае, специалисты скорее будут использовать VPN.

Таким образом, создание российской версии Shodan — это сложный вопрос, который требует тщательного анализа и обсуждения.

При рассмотрении подобной инициативы следует в первую очередь ответить на вопросы: для решения каких задач подобное средство будет предназначено, и кто им будет пользоваться. Поскольку такие инструменты могут применяться как защитниками, так и атакующими.

Если российский Shodan планируется использовать для повышения общего уровня защищенности Рунета (мониторинг публичной доступности потенциально критичных ресурсов), то инициатива выглядит более чем полезной, однако тогда возникает логичный вопрос: а кто подобным мониторингом будет заниматься.

Чуть более ясным видится использование подобных сканеров для проведения разведывательных и контрразведывательных мероприятий. При таком сценарии использования ценность полученных сведений налицо (естественно, при сохранении их конфиденциальности). Кроме того, необходимо понимать, что ряд программных средств со схожим функционалом уже используется различными ведомствами, чья деятельность непосредственно связана с обеспечением безопасности, просто доступ к подобным инструментам, как правило, является исключительным. Скорее всего, такую же исключительность можно было бы ожидать и от российского Shodan.

Важно взвесить все возможные преимущества и риски, прежде чем принимать решение о ее реализации. Необходимо также учитывать опыт зарубежных стран и разработать специальные механизмы регулирования и контроля за использованием такого сервиса.

Подводя итог​

Shodan — это не просто поисковая система, а мощный инструмент, который предоставляет беспрецедентный взгляд на невидимую сторону интернета. Он отражает реальность сетевых устройств, их уязвимости и потенциал для хакерских атак. Shodan может быть опасным инструментом в руках злоумышленников, но он также является ценным для специалистов по безопасности, позволяющим проактивно выявлять угрозы и улучшать защиту сетевых устройств.

Важно понимать, что Shodan — это зеркало, отражающее угрозы и возможности. Использование Shodan требует ответственности и компетентности. Специалисты по безопасности должны использовать его для улучшения защиты сетевых устройств и предотвращения хакерских атак. В то же время необходимо учитывать риски и разрабатывать механизмы регулирования, чтобы предотвратить злоупотребление информацией, получаемой с помощью Shodan.

Для просмотра ссылки необходимо нажать Вход или Регистрация