HARD CORE SECURITY LAB

SHODAN Computer Search Engine, czyli jedna z pierwszych wyszukiwarek serwerów oraz urządzeń sieciowych pracujących w ramach globalnej pajęczyny, od początku swego istnienia wzbudza spore emocje. Projekt ten bardzo intensywnie się rozwija, stale poszerzając dostępne opcje wyszukiwania oraz sukcesywnie indeksując informacje zebrane w trakcie przeczesywania kolejnych zakresów adresów IP. Informacje dostępne w ramach tej usługi mogą się stać prawdziwym rajem dla włamywaczy poszukujących bezbronnych celów. Spójrzmy na kilka niepokojących przykładów...

Stali czytelnicy HCSL, wiedzą już za pewne, że SHODAN pozwala m.in. na wyszukiwanie serwerów internetowych konkretnego rodzaju i to w konkretnej wersji (np. IIS 5.0), precyzowanie zapytań o interesującą nas lokalizację geograficzną (np. country:PL), czy też odnajdowanie zindeksowanych wpisów dotyczących tylko konkretnych zakresów adresów IP (np. 70.100.26.0/24). Na pierwszy rzut oka trudno jednak docenić to, jak wielkie możliwości usługa ta daje potencjalnemu intruzowi poszukującemu łatwych celów.

Proste zapytanie o treści:

• "Server: NAShttpd"

pozwoli nam przykładowo na odnalezienie interfejsów webowych związanych z kilkudziesięcioma dyskami sieciowymi NAS (ang. Network Attached Storage). Założę się, że do niektórych z tych zasobów można się dostać za pomocą poświadczeń domyślnych (Nikogo nie zachęcam jednak do wykonywania prób uzyskania dostępu do cudzych plików!). Prawdziwy raj dla amatorów podglądania cudzych plików?
Interesują nas irańskie urządzenia Cisco nie wymagające podania hasła dostępowego? Proszę bardzo, wystarczy tylko skonstruować odpowiednie zapytanie:

• "cisco-ios" "last-modified" country:IR

Osoby zainteresowane innymi interesującymi możliwościami, zachęcam do zapoznania się z najpopularniejszymi zapytaniami konstruowanymi przez coraz liczniejszych użytkowników serwisu SHODAN.

SHODAN jest więc swego rodzaju tęczową tablicą, dającą potencjalnym intruzom prosty dostęp do wiedzy zgromadzonej w ramach skanowania Internetu zakrojonego na ogromną skalę. W ten oto sposób znacznie zwiększa się prawdopodobieństwo wystąpienia ataków na serwery i urządzenia internetowe, zawierające powszechnie znane słabości konfiguracyjne. Wszakże komputerowi przestępcy oraz żartownisie nie muszą już zajmować się czasochłonnym i żmudnym odnajdowaniem potencjalnych celów.

Wygląda więc na to, że monitorowanie informacji zbieranych potencjalnie przez usługę SHODAN na temat naszych systemów informatycznych warto już dziś uwzględnić w ramach własnych procedur bezpieczeństwa. Chyba, że jesteśmy w stu procentach pewni, że nie mamy się czego obawiać...