Shodan: доступ к открытым данным

В отличие от Google, который исследует всемирную сеть в поисках веб-сайтов, Shodan работает с задворками Интернета. Это что-то типа «темного Google», который ищет серверы, веб-камеры, принтеры, роутеры и другое оборудование, которое подключено к сети.

Shodan работает в режиме 24/7 и собирает информацию о примерно 500 млн подключенных устройств в месяц.

То, что, оказывается, можно найти с помощью простого поиска в Shodan, ошеломляет. Бессчетное число светофоров, камер безопасности, устройства «умного дома» и системы отопления — все это подключено к интернету и может быть легко обнаружено извне.

Успейте купить корпоративный пакет COSSA-2025 со скидкой!

Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.

Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.

Успейте приобрести пакет до повышения цены!

Пользователи Shodan нашли автоматизированные системы управления аквапарка, газораспределительной станции, холодильников для вина в отеле и крематория. Исследователи информационной безопасности смогли обнаружить «из Интернета» при помощи все того же Shodan даже систему управления атомной станцией и резонансного циклического ускорителя заряженных частиц.

Важнее всего здесь тот факт — и это как раз делает Shodan настолько устрашающей вещью, — что все эти системы и устройства, которые можно обнаружить, практически никак не защищены.

Это просто одна огромная ошибка безопасности,

— характеризует сложившуюся ситуацию HD Moore — главный офицер по безопасности Rapid7, которая для своих исследовательских задач поддерживает частную версию базы данных, подобной Shodan.

Даже быстрый поиск по фразе «default password» выдает бессчетное количество принтеров, серверов и устройств управления, в которых логин и пароль — стандартные «admin» и «1234» . Еще большее число систем и устройств вообще не запрашивают никакого пароля — так что, для того, чтобы подсоединиться к ним, нужен лишь веб-браузер.

Во время своего выступления на конференции по кибербезопасности Defcon независимый исследователь Дэн Тентлер (Dan Tentler) показал, как с помощью Shodan находить системы управления парообразующими кондиционерами, водонагревателями и гаражными воротами.

Он нашел даже автоматическую автомойку, которую можно включать и выключать через Интернет, а также хоккейный каток в Дании, который можно «разморозить» одним кликом. Системы дорожного контроля целого города были подключены к сети и могли быть переведены в «тестовый режим» (моргание желтого света на светофоре) вводом одной единственной команды. Тентлер обнаружил с помощью Shodan гидроэлектростанцию во Франции с двумя турбинами, генерирующими 3 мегаватта энергии.

Обладая этой информацией, вы действительно можете причинить серьезный ущерб, — сдержанно заявляет Тентлер.

Так почему же все эти устройства и системы подключены к сети при минимуме элементов безопасности? Считается, что некоторые вещи, которые изначально разработаны с возможностью подключения к Интернету, например, дверные замки, контролируемые с iPhone, сложно обнаружить извне. О безопасности думают в последнюю очередь.

Однако более важен тот факт, что большинство устройств, обнаруживаемых с помощью Shodan, вообще не должны быть подключены к сети. Компании часто приобретают системы, которые дают им возможность контролировать, ну, скажем, отопление с обычного компьютера. Как же соединить этот компьютер с системой контроля отопления? Конечно, это можно сделать напрямую, но, зачастую, вместо этого IT-специалисты просто «поднимают» веб-сервер, к которому с двух сторон по сети подключается компьютер и система управления. И вот все cтановится доступно целому миру.

Здесь вообще нет никакой безопасности. Ведь о том, что эти системы кто-то будет подключать к Интернету, никто не думал, когда они разрабатывались,

— говорит Мэтерли.

Хорошая новость заключается в том, что Shodan практически всегда используется во благо.

Мэтерли, который закончил работу над своим проектом Shodan более трех лет назад, ограничил поисковую выдачу 10 результатами без создания аккаунта, и 50 — с аккаунтом. Если же вы хотите видеть всю информацию, которую может дать Shodan, Мэтерли требует сообщить ему, что же именно вы хотите обнаружить и определенную плату.

Пентестеры (профессионалы, занимающиеся тестами на проникновение, «белые хакеры» — прим. ред.), специалисты по безопасности, исследователи и правоохранительные органы — вот основные пользователи Shodan. Плохие актеры, начинающие прорабатывать роль, могут начать с знакомства с Shodan, отмечает Мэтерли. Он добавляет, однако, что у настоящих киберпреступников обычно есть доступ к ботнетам — большим массивам зараженных компьютеров — которые могут выполнить ту же работу, что и его поисковик, не привлекая лишнего внимания.

До сегодняшнего момента кибератаки были направлены на кражу денег или интеллектуальной собственности, и плохие парни пока не пытались причинить вред, взорвав здание или отключив все светофоры в городе.

Профессионалы из области компьютерной безопасности надеются избежать этого сценария, обнаруживая с помощью Shodan незащищенные устройства, которые подключены к сети, и сообщая тем, кто ими управляет, о уязвимости их конфигураций. В то же время, к сети подключено слишком много систем, управляющих критически важными объектами, которые буквально ждут, когда же хакеры попытаются их атаковать.

Источник: CNNMoney