Shodan - tražilica za uređaje spojene na Internet

Razumijevanjem kako napadaći mogu iskoristiti ranjivosti pomaže nam da se lakše sami zaštitimo od potencijalnih napada. Shodan tražilica prikazuje nam informacije o uređajima spojenim na Internet poput ip adrese, vrata, programa koji su pokrenuti na uređaju, lokacije te potencijalnih ranjivosti uređaja. Tu se mogu naći web kamere, printeri, kućni senzori, računala, sustavi za upravljanja industrijskim postrojenjima (ICS) i svakakvi drugi uređaji. Shodan možemo koristiti u svrhu otkrivanja potencijalnih ranjivosti u vlastitim sustavima (poznatih i onih za koje možda nismo znali).

Keywords: Shodan; search engine; tražilica; uređaj; ip; port; ranjivost;

Razvoj Internetskih tehnologija doveo je do povećanja broja uređaja s podrškom za mrežni rad. Ti uređaji postali su dio naše svakodnevnice zbog jednostavnosti korištenja i olakšanja života. Tehnologija “Interneta Stvari” (engl. Internet of Things) je sustav koji je omogućio umrežavanja nekad običnih uređaja u mrežu. Ti uređaji mogu biti računala, pametni telefoni, pametni satovi, web-kamere, frižideri, senzori za toplinu u kući itd. Svaki uređaj spojen na mrežu može imati velike koristi i time unaprijediti svoju funkcionalnost. S druge strane, svaki uređaj spojen na mrežu, ako nije primjereno zastićen, predstavlja potencijalnu točku napada.

Shodan je tražilica (engl. search engine) uređaja spojenih na mrežu. U ovom radu prikazat ćemo kako je velik broj uređaja nedovoljno zastićen i time podložan napadu. Koristit ćemo Shodan u pozitivne svrhe demonstracije potencijalnih prijetnji spajanja uređaja na mrežu.

Shodan je web tražilica uređaja i nudi mnoge opcije korištenja. Najjednostavnija opcija je korištenje web stranice (web aplikacije) koja ima jednostavno i razumljivo korisničko sučelje. Tu opciju je jednostavno koristiti i nije potrebno neko veliko znanje da bi pronašli neki uređaj. Druga opcija je korištenje aplikacijskog sučelja (API) putem neke od ponuđenih tehnologija. Dostupna su rješenja za većinu programskih jezika (C# .NET, JAVA; Python, Node.js i slični). Treća opcija je korištenje sučelja komandne linije (CLI - command line interface). Za potrebe istraživanja koristit ćemo prvu opciju, web tražilicu koristeći preglednik google chrome.

Web tražilica je jednostavna za korištenje. Nudi mougćnost pretrage upisom teksta u polje. Mogu se upisati ključne riječi i/ili izrazi prema kojima se filtriraju rezultati. Filteri se označavaju izrazom “filterName:value”. Neki od značajnih filtera su city(grad), country(zemlja), org (organizacija), ip (ip adresa), isp (internet service provider), os (operacijski sustav), port (port), product (ime software ili programa koji se koristi).

Upisom izraza “org: “Fakultet elektrotehnike i racunarstva”” tražimo uređaje povezane s organizacijom “Fakultet elektrotehnike i računarstva”. Dobiva se ukupno 1377 rezultata za uređaje spojene na mrežu.

Statistika:

Tu se nalaze između ostalog servis “Katalog knjižnice FER-a”, servis “Mammographic Image Analysis Homepage”, “HP Color LaserJet” printer, servis “IspraviMe - Hrvatski spell checker” uz mnogo ostalih računala i servisa. Shodan besplatni račun dozvoljava prikazivanje samo dvije stranice rezultata pa ne možemo vidjeti sve. Možemo dodatno filtrirati po npr. portu.

Ako želimo vidjeti sve dostupne HTTP servere na FER-u, upisat ćemo izraz “org:“Fakultet elektrotehnike i racunarstva” port 80”. Pošto Shodan ima ograničenje na besplatni račun za broj rezultata koji možemo prikazati dnevno, bitno je biti kreativan te sam odlučio demonstrirati tražilicu pomoću traženja printera organizacije FER.

U tražilicu upisujemo: “ printer org:“fakultet elektrotehnike i racunarstva” ”.

Pronašli smo printer javno dostupan na adresi printer1.zpf.fer.hr. Odlaskom preglednikom na tu adresu učitat će se mrežno grafičko sučelje printera. Naravno, za korištenje printera i mijenjanje postavki potrebno je korisničko ime i lozinka. Dalje od toga nećemo ići jer bi to bio neovlašteni pokušaj pristupa računalnom sustavu što je kažnjivo zakonom.

Konkretno u ovoj maloj pretrazi nismo našli ništa nezastićeno, ali postoji veliki broj uistinu nezastićenih uređaja, te uređaja kojima nisu promijenjene početne postavke (npr. routeri, web kamere, printeri i slično) te im je moguće pristupiti samo čitanjem priručnika koji dolazi sa uređajom. Znajući koji je uređaj, lako je putem internet pretrage pronaći početne postavke korisničkog imena i lozinke u digitalnom formatu priručnika uređaja. Zanimljiv članak šaljive prirode na tu temu može se naći na poveznici: https://techcrunch.com/2019/01/21/shodan-safari/.

Još jedan primjer: “port:80 has_screenshot:true”. Nalazimo uređaje koji imaju otvoren port:80 i prikaz slike vezane za taj uređaj. U nastavku je za primjer slika web nadzorna kamera sa sveučilišta u Groningenu.

Kliknemo li na crvenu strelicu pored naziva, možemo vidjeti prikaz kamere uživo (live-stream).

Shodan je servis zatvorenog koda (closed-source) te nije moguće pristupiti njegovom izvornom programskom kodu. Time zapravo ne možemo znati što se točno događa u pozadini, ali možemo pročitati informacije koje pišu na stranici dokumentacije servisa. Navodi se da Shodan koristi javno dostupne informacije o računalima i drugim uređajima koje dohvaća putem uzastopnog slanja zahtjeva na velik broj IP adresa i različitih portova. Kao odgovor dobiva “Banner” tj. osnovne informacije o programu koji se izvršava na vratima (port) uređaja određenog IP adresom. Te informacije zapisuje u neki spremnik te ih postavlja javno dostupnima svojim korisnicima.

Dohvaćanje bannera pokreće se slanjem HTTP zahtjeva na uređaj određen adresom i vratima. Ako su na tom uređaju vrata otvorena, postoji mogućnost da će uređaj odgovoriti te vratiti neke osnovne informacije o samom uređaju i programu koji je pokrenut na navedenim vratima. Sam sadržaj bannera ovisi o operacijskom sustavu, pokrenutom programu, korištenom protokolu i slično. Na primjer, za HTTP protokol izgleda ovako:

Uz prikaz detalja za svaki uređaj ispisuje se i lista poznatih ranjivosti za tehnologije koje su otkrivene pretragom.

Google indexira WWW (World Wide Web), dok Shodan indexira veći dio Interneta. WWW je samo mali dio velike mreže zvane Internet koja sadrži milijarde spojenih uređaja. Shodanova tražilica razlikuje se po tome što koristi kompliciraniju sintaksu, tj. koristi ključne riječi i filtere koje treba unaprijed razumjeti kako bi se uspješno pretraživalo.

nmap je program za mapiranje otvorenih portova na ciljanoj IP adresi. Shodan se razlikuje po tome što on nije alat za mapiranje, već za pretragu uređaja koji su unaprijed pronađeni. Druga razlika je to što nmap moramo pokrenuti sa vlastite IP adrese, što ostavlja trag, dok sa Shodanom ne pokrećemo program sa svoje adrese već samo pretražujemo postojeću bazu uređaja i time ne ostavljamo podatke (osim korisničke podatke o pretragama na Shodanovoj stranici koji se vjerojatno spremaju).

Razumijevanjem ranjivosti mrežnih sustava možemo bolje zaštititi sam sustav. Shodan se može koristiti u namjenu testiranja na ranjivosti (pen testing). Više o tome može se saznati na poveznici: https://monitor.shodan.io/ .

Razni podaci sa stranice mogu se koristiti za statističke izračune. Možemo pratiti koje tehnologije i programski jezici su najzastupljeniji, kako se povećava broj korisnika određenih sustava te kako se koriste uređaji konkurentnih organizacija.

Naravno, treba spomenuti i negativnu komponentu Shodan tražilice. Ona otkriva ranjivosti raznih uređaja i sustava te ih prikazuje na jednostavan način svakom korisniku. Svaka ranjivost potencijalno pruža mogućnost napadaču da je iskoristi te donese materijalnu ili nematerijalnu štetu pojedincu ili organizaciji.

Shodan je proglašen najstrašnijom tražilicom na javnom World Wide Web-u od strane mnogih medija. Unatoč tome, treba uvidjeti i pozitivne načine korištenja ove tražilice. Bitno je shvatiti da svaki uređaj koji pristupa Internetu treba biti primjereno zaštićen iako smo vidjeli da to često nije slučaj. Postoje mnoge ranjivosti na Internetu i Shodan pridonosi osvješćivanju da takve ranjivosti postoje te da ih treba ukloniti.

[1]Shodan.io

[2] Shodan informacije i dokumentacija

[3] Popis Shodan filtera