Shodan – czym jest i jak działa? Jak może pomagać w pracy cyberspecjalisty?
Shodan.io, często nazywany "Googlem dla urządzeń podłączonych do Internetu", to zaawansowana wyszukiwarka pozwalająca na identyfikowanie i analizowanie urządzeń podłączonych do sieci. W odróżnieniu od tradycyjnych wyszukiwarek, które indeksują strony internetowe, Shodan skanuje internet w poszukiwaniu m.in. serwerów, routerów, kamer i innych urządzeń podłączonych do sieci.
Shodan oferuje kilka opcji dostępu: Freelancer ($69/msc), Small Business ($359/msc), Corporate ($1099/msc). Jednak to nie wszystko, jest również plan darmowy oraz membership za $49 jednorazowo. Szczegółowe zestawienie planów można sprawdzić pod adresem https://account.shodan.io/billing
Jak działa Shodan?
Dzięki Shodan możemy przeglądać bardzo ciekawe informacje na temat tych urządzeń, jak np. otwarte porty, zainstalowane oprogramowanie, wersje tego oprogramowania (a co za tym idzie – podatności). Ma to ogromne znaczenie w cyberbezpieczeństwie i pomaga pozyskać wiele istotnych dla nas informacji bez bezpośredniej ingerencji w interesujący nas obiekt.
Skupmy się na planie darmowym i pokażmy moc drzemiącą w Shodan. Utworzyłem darmowe konto i zalogowałem się. Chociaż mamy trochę ograniczone możliwości, dla specjalisty nie będą one stanowiły dużej przeszkody. Przy jego pomocy możemy dla przykładu wpisać w polu wyszukiwania country:"PL" i przeglądać w ten sposób urządzenia podłączone do internetu w Polsce.
Jak korzystać z wyszukiwarki Shodan?
Spójrzmy na lewą stronę, mamy tam wiele bardzo istotnych informacji, które pozwolą nam pójść znacznie dalej. W momencie pisania tego artykułu mamy 4 763 772 wyniki, z czego dla przykładu 2 698 460 z Warszawy. Kliknę więc Warsaw i zawężę naszą listę.
W polu wyszukiwania zmieniły się dane, widnieje teraz country:"PL" city:"Warsaw". Przeglądając wyniki widzę m.in. serwery i kamery, jednak to jeszcze nie to, co najbardziej mnie w tym momencie interesuje. Podczas kursów HackerU uczymy wykorzystywać wiele fajnych podatności. Weźmy dla przykładu legendę, którą jest EternalBlue. Jest to podatność, dzięki której w kilka kliknięć można przejąć kontrolę nad urządzeniem z systemem Windows. Spróbuję więc znaleźć podatne urządzenia dopisując w polu wyszukiwania tag: "eternalblue", jednak już wiem co się stanie.
Przy pomocy darmowego konta nie mogę używać tagów, jak więc inaczej mogę znaleźć systemy, które potencjalnie mogą być podatne? Jeżeli wiem, że w np. w systemach Windows 7 (i nie tylko!) istnieje wysoka szansa, że znajdę właśnie taką podatność, może jestem w stanie chociaż je wyszukać? Wracam więc do poprzedniej strony z wynikami z Warszawy i po lewej stronie poniżej TOP OPERATING SYSTEMS klikam niebieskie „More…”. Super, mamy wiele systemów do wyboru. F3, Windows 7 i mamy „Windows 7 Professional – 114”. Oczywiście na tej liście jest tak naprawdę dużo więcej systemów podatnych na eternal blue, jednak pokazuję teraz jak w najprostszy sposób to sprawdzić.
Klikam więc podświetloną pozycję. W pasku wyszukiwania mam teraz country:"PL" city:"Warsaw" os:"Windows 7 Professional" i wyświetla się bardzo ciekawa lista urządzeń, zrzut ekranu z RDP (Remote Desktop Protocol), a mało tego – część z pozycji jest już oznaczona jako podatna na EternalBlue!
Podsumowanie
Oczywiście, stanowczo odradzam wykorzystywanie wspomnianej (i innych) podatności bez zgodny właściciela systemu, ponieważ jest to nielegalne i grozi poważnymi konsekwencjami prawnymi.
Pokazałem dzisiaj tylko jedną z możliwości, jakie daje nam Shodan, choć jest ich znacznie więcej. Portal posiada wiele dodatkowych usług, jak np. InternetDB by Shodan, który można łatwo integrować z różnymi skryptami tworząc w ten sposób zaawansowane narzędzia.
Shodan.io to potężne narzędzie, które oferuje mnóstwo funkcji niezbędnych dla specjalistów cyberbezpieczeństwa. Jego użyteczność i wszechstronność czyni go jednym z podstawowych elementów w arsenale narzędziowym każdego bezpiecznika.