Белая шляпа для Shodan. Как легально использовать поисковик по IoT

Ин­тернет час­то отож­дест­вля­ют с вебом, но WWW — это все­го лишь вер­шина айсбер­га. Его глу­бин­ная часть куда раз­нооб­разнее, и хоть она скры­та от глаз рядовых поль­зовате­лей, нич­то не меша­ет изу­чать ее спе­циали­зиро­ван­ными средс­тва­ми. Одним из них стал Shodan — поис­ковый сер­вис по интерне­ту вещей. Shodan обхо­дит­ся без записей DNS и нап­рямую опра­шива­ет сетевые узлы, отправ­ляя им серии зап­росов на все пор­ты в раз­ных диапа­зонах IP-адре­сов.

Те­невой ана­лог Гуг­ла помога­ет оце­нивать уро­вень рас­простра­нения тех или иных устрой­ств, опе­раци­онных сис­тем и веб‑инс­тру­мен­тов, а так­же выяс­нять текущий уро­вень про­ник­новения интерне­та в любые реги­оны — от квар­тала до кон­тинен­та. Воз­можнос­ти Shodan пос­тоян­но рас­ширя­ются, и некото­рые из них ста­новят­ся сюр­при­зом даже для его соз­дателя.

Ав­тором это­го край­не необыч­ного поис­ковика стал Джон Мэтер­ли (John Matherly) — прог­раммист швей­цар­ско­го про­исхожде­ния, обос­новав­ший­ся в шта­те Техас. Имя поис­ковика было выб­рано им в память о пер­сонаже из игры System Shock — не самого дру­желюб­ного обра­за ИИ, которо­му по сце­нарию хакер помог отри­нуть эти­чес­кие барь­еры.

В осно­ве Shodan лежит поис­ковый робот, подоб­ный «паукам» Google и Yandex. Он накап­лива­ет тех­ничес­кие све­дения обо всех узлах сети, отклик­нувших­ся хотя бы на один зап­рос. Пер­сональ­ные компь­юте­ры и мобиль­ные гад­жеты конеч­ных поль­зовате­лей обыч­но мас­киру­ет фай­рвол, поэто­му гораз­до чаще в поле зре­ния Shodan попада­ют все­воз­можные сетевые устрой­ства, фор­миру­ющие так называ­емый интернет вещей. Сов­сем недав­но его основную долю сос­тавля­ли мар­шру­тиза­торы, сетевые прин­теры и IP-камеры, но теперь даже некото­рые лам­почки име­ют собс­твен­ный IP-адрес. К интерне­ту не задумы­ваясь под­клю­чают прак­тичес­ки все — от умной бытовой тех­ники до раз­личных дат­чиков и авто­мати­зиро­ван­ных сис­тем управле­ния тех­нологи­чес­кими про­цес­сами.

Мно­гие из них рас­счи­таны на уда­лен­ное управле­ние и име­ют боль­шие проб­лемы с огра­ниче­нием дос­тупа. К ним мож­но под­клю­чить­ся по SSH, SNMP или даже HTTP, при­чем кому угод­но. Дефол­тные пароли, стан­дар­тные логины и пин‑коды — это лишь малая и ожи­даемая часть про­явле­ний челове­чес­кого фак­тора. Гораз­до инте­рес­нее, что прак­тичес­ки все эти устрой­ства откры­то переда­ют свой сетевой иден­тифика­тор и откли­кают­ся на зап­росы нас­толь­ко спе­цифич­но, что их без тру­да мож­но обна­ружить сре­ди мас­сы дру­гих — осо­бен­но исполь­зуя инс­тру­мен­ты прод­винуто­го поис­ка в Shodan.

Мощ­ные филь­тры поз­воля­ют отфиль­тро­вать резуль­таты по стра­не, городу или вруч­ную задан­ному диапа­зону коор­динат GPS. Поэто­му сам Мэтер­ли опи­сыва­ет свой про­ект как безобид­ный «интернет‑кар­тограф».

По­нача­лу мощь поис­ка по интерне­ту вещей повер­гает в шок. Если с помощью Гуг­ла мож­но най­ти лишь общее опи­сание и фотог­рафии стан­ции водо­очис­тки где‑нибудь в Канаде, то, узнав при помощи Shodan ее IP-адрес и осо­бен­ности под­клю­чения к интерне­ту, мож­но оста­новить насос. То же самое с элек­трос­танци­ями, кли­мати­чес­кими уста­нов­ками, сис­темами управле­ния тран­спор­том и дру­гими клю­чевы­ми эле­мен­тами сов­ремен­ной город­ской инфраструк­туры. Здра­вый смысл под­ска­зыва­ет, что мно­гие из них вооб­ще не дол­жны иметь выхода в Сеть. Одна­ко лень победи­ла и здесь: прак­тичес­ки всё — от домаш­ней ради­оня­ни до медицин­ско­го обо­рудо­вания круп­ных боль­ниц и авто­мати­чес­ких сбо­роч­ных линий — сегод­ня уда­лен­но нас­тра­ивает­ся через интернет. Дол­гое вре­мя опас­ность такого под­хода счи­тали гипоте­тичес­кой. Казалось, что для успешно­го взло­ма нуж­но будет узнать слиш­ком мно­гое. Писате­ли‑фан­тасты и сце­нарис­ты порой доводи­ли идею до абсурда, одна­ко реаль­ность ока­залась похуже мно­гих фан­тазий.

Взлом ≠ аудит

Один из пер­вых мас­штаб­ных ауди­тов с помощью Shodan про­вел док­торант кафед­ры информа­тики в Кем­бридж­ском уни­вер­ситете Эйри­анн Леверетт, ныне став­ший глав­ным кон­суль­тан­том по безопас­ности в ком­пании IOActive, совет­ником Евро­пей­ско­го агентства по безопас­ности сетей и информа­цион­ной безопас­ности (ENISA) и приг­лашен­ным экспер­том 52 групп быс­тро­го реаги­рова­ния на киберуг­розы (такие груп­пы соз­дают пред­ста­вите­ли ком­паний и про­вай­деры для рас­сле­дова­ния круп­ных инци­ден­тов). Его не инте­ресо­вали IP-камеры и про­чие при­митив­ные устрой­ства, спо­соб­ные кос­венно нав­редить толь­ко вла­дель­цу и его гос­тям. Он обна­ружил нас­тоящую бом­бу: 10 358 АСУ ТП с откры­тым управле­нием через веб. Перех­ватив управле­ние любой из них, мож­но спро­воци­ровать ава­рию, нанес­ти серь­езный ущерб, а то и вов­се устро­ить тех­ноген­ную катас­тро­фу. Этот при­мер вошел в кни­гу Томаса Рида Cyber War Will Not Take Place.

Сле­дом резуль­таты сво­их изыс­каний пред­ста­вил Дэн Тен­тлер — осно­ватель ком­пании AtenLabs, кон­суль­тант по воп­росам сетевой безопас­ности Twitter, Zynga и дру­гих круп­ных фирм. В ходе сво­его выс­тупле­ния на DEF CON 20 он показал, как смог за корот­кое вре­мя обна­ружить око­ло мил­лиона раз­личных уяз­вимых устрой­ств. Это были ото­питель­ные сис­темы, бой­леры, авто­мати­чес­кие две­ри, гараж­ные ворота, холодиль­ная уста­нов­ка дат­ско­го ледово­го кат­ка, фран­цуз­ская ГЭС и даже авто­мати­зиро­ван­ная сис­тема управле­ния дви­жени­ем, перек­люча­ющая все све­тофо­ры на сиг­нал «Вни­мание» по уда­лен­ной коман­де. Демонс­тра­цию мож­но уви­деть в ролике на YouTube (youtu.be/5cWck_xcH64).

Изу­чение воз­можнос­тей Shodan про­дол­жалось, и на кон­ферен­ции Black Hat в 2014 году один из док­ладов имел осо­бен­но боль­шой резонанс. Это «Гло­баль­ный лог (без)опас­ности: исполь­зование Shodan для изме­нения мира» (Global Logfile of (IN)security: Using SHODAN to change the world), пред­став­ленный Бил­ли Риосом. Ранее Риос слу­жил ана­лити­ком в под­разде­лении РЭБ кор­пуса мор­ской пехоты. На граж­данке сна­чала работал кон­суль­тан­том в Microsoft, потом перешел в Google, где был руково­дите­лем под­разде­ления по рас­сле­дова­нию инци­ден­тов в сфе­ре безопас­ности. Затем Риос захотел соз­дать собс­твен­ный биз­нес и стал дирек­тором ком­пании Qualys. А с недав­них пор сде­лал­ся горячим пок­лонни­ком тво­рения Мэтер­ли.

Слияние черных дыр в безопасности

В сво­ем док­ладе Риос не толь­ко про­дол­жил иссле­дова­ние Тен­тле­ра, но и пред­ложил новые вари­анты прак­тичес­кого при­мене­ния Shodan. Он исполь­зовал поис­ковик для получе­ния фак­тичес­кой кар­тины всей сети или ее отдель­ных сег­ментов, изу­чения реаль­ной рас­простра­нен­ности уяз­вимос­тей и тем­пов их лик­видации.

Нап­ример, сре­ди мно­жес­тва моделей Cisco выпус­кались модуль­ные мар­шру­тиза­торы серии 7200, кое‑где работа­ющие и по сей день. Их про­шив­ка вер­сии 12.4 содер­жала серь­езную уяз­вимость, которую испра­вили выпус­ком новой. Одна­ко некото­рые адми­ны полени­лись переп­рошить мар­шру­тиза­торы, и к этим устрой­ствам мож­но под­клю­чить­ся до сих пор — спус­тя годы. Риос показы­вает, как мгно­вен­но най­ти их с помощью недоку­мен­тирован­ных филь­тров Shodan, ука­зав имя фай­ла уяз­вимой про­шив­ки iOS. Пос­ле пуб­ликации резуль­татов чис­ло уяз­вимых роуте­ров быс­тро сни­зилось на три поряд­ка. Метод уни­вер­сален и работа­ет для боль­шинс­тва дру­гих устрой­ств.

Другие статьи в выпуске:

Хакер #194. Car hacking!

• Содержание выпуска
• Подписка на «Хакер»-60%

Лю­бопыт­ным фак­том ока­залось и то, что плат­формы управле­ния сетевым тра­фиком сами под­держи­вают уда­лен­ное управле­ние. Най­ти любую из них мож­но прос­то по наз­ванию, а пароль в боль­шинс­тве слу­чаев будет сто­ять дефол­тный, который написан в офи­циаль­ном руководс­тве.

По­иск по сло­восо­чета­нию default password — один из самых прос­тых на Shodan, но если ты хочешь получить более инте­рес­ные резуль­таты, то луч­ше исполь­зовать дру­гие типич­ные приз­наки сис­тем с нас­трой­ками по умол­чанию. Одним из них слу­жит текст напоми­нания о необ­ходимос­ти сме­нить пароль. Обыч­но в нем исполь­зует­ся фра­за «обще­извес­тные учет­ные дан­ные» — publicly-known credentials.

Темная сторона светлого будущего

Ана­лити­ки Gartner прог­нозиру­ют: через пять лет интернет вещей рас­ширит­ся до 30 мил­лиар­дов устрой­ств. В Ericsson называ­ют для 2020 года еще более впе­чат­ляющее чис­ло: 50 мил­лиар­дов. Мож­но сме­ло добавить, что, сколь­ко бы их ни было, льви­ная доля будет содер­жать уяз­вимос­ти. По край­ней мере до тех пор, пока вла­дель­цы не пой­мут реаль­ность угро­зы, которую так наг­лядно демонс­три­рует Shodan.

Об­наружить устрой­ства с откры­тым уда­лен­ным управле­нием мож­но по раз­ным приз­накам. Один из них — стан­дар­тный код HTTP откли­ка 200 — «успешная обра­бот­ка зап­роса». Хочешь най­ти мобиль­ные гад­жеты, переде­лан­ные в камеры наб­людения и управля­емые через пер­вую вер­сию Android Webcam Server? Лег­ко! Это при­ложе­ние при­нима­ет зап­росы на порт 8080 и откры­вает панель управле­ния на стра­нице /remote.html. С ее помощью мож­но менять нас­трой­ки камеры, смот­реть изоб­ражение пря­мо в окне бра­узе­ра и слу­шать звук от встро­енно­го мик­рофона. И нуж­но для это­го все­го лишь перей­ти по одно­му из резуль­татов в поис­ковой выдаче Shodan. Кро­ме кода 200, мож­но исполь­зовать пря­мое ука­зание на отсутс­твие аутен­тифика­ции: -Authenticate.

Для Shodan не име­ет зна­чения, как отве­тит тот или иной сетевой узел. Поис­ковик прос­то про­токо­лиру­ет соб­ранные откли­ки и помеща­ет их в свою базу. Дос­туп к ней пре­дос­тавля­ется всем жела­ющим: озна­коми­тель­ный — бес­плат­но, а под­робнос­ти раз­ного уров­ня — за день­ги.

Как подружиться со злобным ИИ

На­чать работу с Shodan мож­но на одном из двух сай­тов: основном (shodanhq.com) и экспе­римен­таль­ном (shodan.io). Учет­ные дан­ные на них исполь­зуют­ся незави­симо. Если зарегис­три­ровать­ся, то поис­ковая выдача будет пол­нее и появит­ся воз­можность смот­реть детали о най­ден­ных узлах сети. Без нее дос­тупны толь­ко общие све­дения о пер­вых десяти IP-адре­сах по каж­дому зап­росу. С базовым акка­унтом удас­тся пос­мотреть уже пять­десят резуль­татов, но целенап­равлен­ная работа с Shodan воз­можна толь­ко за счет исполь­зования филь­тров, за которые спи­сыва­ются кре­диты. Минималь­но мож­но опла­тить 19 дол­ларов в месяц. За эти день­ги начис­ляет­ся восемь активных кре­дитов (они спи­сыва­ются за каж­дый филь­тр) и поис­ковая выдача рас­ширя­ется до десяти тысяч резуль­татов.

Эк­спер­ты, фри­лан­серы, уни­вер­ситет­ские кафед­ры и спе­циали­зиру­ющиеся на воп­росах безопас­ности фир­мы пла­тят Мэтер­ли тысячи дол­ларов за воз­можность неог­раничен­ного исполь­зования Shodan или даже за соз­дание его час­тичной копии на базе собс­твен­ных сер­веров. За счет пос­тоян­ного при­тока финан­сов мощ­ности Shodan быс­тро уве­личи­вают­ся. Сей­час за месяц он успе­вает прос­каниро­вать свы­ше мил­лиар­да IP-адре­сов. Четыре года назад это были десят­ки мил­лионов.

Пос­коль­ку сер­вис не име­ет под­робной справ­ки и дру­жес­твен­ного интерфей­са, понача­лу мно­гие прос­то не зна­ют, что писать в поис­ковой стро­ке. Они смот­рят чужие (и уже уста­рев­шие) зап­росы, сла­бо пред­став­ляя прак­тичес­кую поль­зу от поис­ка по ним. Най­ти что‑то с помощью Shodan мож­но толь­ко в том слу­чае, если знать какие‑то детали о пред­мете поис­ка. Для это­го сто­ит почитать, что пишут экспер­ты и сам Мэтер­ли. Они час­то делят­ся любопыт­ными наход­ками на форумах и в соц­сетях. Нап­ример, вет­ряные генера­торы фир­мы Nordex опре­деля­ются по иден­тифика­цион­ной стро­ке «jetty 2000», а мно­гие сетевые хра­нили­ща — по откли­ку «220 NASFTPD Turbo station».

Мэ­тер­ли всег­да пред­лага­ет изу­чать воз­можнос­ти Shodan на прак­тике и готов обес­печить тех­ничес­кую под­дер­жку по email или телефо­ну (за день­ги, вви­ду боль­шого количес­тва жела­ющих). Это про­ект одно­го челове­ка, поэто­му на сос­тавле­ние справ­ки у него нет вре­мени. В сво­ем выс­тупле­нии Бил­ли Риос про­демонс­три­ровал мас­су недоку­мен­тирован­ных филь­тров Shodan: сор­тиров­ку по орга­низа­ции через зап­рос org, по заголов­кам через title, про­вай­дерам через isp, наз­вани­ям полей сер­тифика­тов SSL и дру­гие трю­ки. В помощь начина­ющим Мэтер­ли соз­дал сер­вис Explorer. На этой стра­нице слу­чай­ным обра­зом отоб­ража­ются IP-адре­са, с которых про­ще начать изу­чение прин­ципов работы Shodan.

Многоступенчатая очистка

В пос­леднее вре­мя Shodan сущес­твен­но попол­нил кол­лекцию филь­тров, и его научи­лись исполь­зовать для нет­риви­аль­ных задач. Помимо тра­дици­онно­го поис­ка уяз­вимых сис­тем, это могут быть иссле­дова­ния рас­простра­нен­ности веб‑инс­тру­мен­тов (гло­баль­но и по реги­онам), популяр­ности сетевых устрой­ств раз­ных фирм, оцен­ка доли типовых решений для веб‑хос­тинга (сер­веры, панели управле­ния) и дру­гой срав­нитель­ный ана­лиз, опи­рающий­ся на фак­тичес­кое сос­тояние сети. Зачем про­водить опро­сы и делать экс­тра­поля­цию, ког­да мож­но прос­то взять и опро­сить пару мил­лиар­дов реаль­ных устрой­ств через Shodan?

С помощью это­го поис­ковика мож­но уви­деть текущую долю опе­раци­онных сис­тем, сетевых плат­форм или веб‑при­ложе­ний. По умол­чанию отоб­ража­ется ситу­ация в мире, но филь­тра­ми мож­но огра­ничить выбор­ку вплоть до города.

В декаб­ре прош­лого года было выпол­нено иссле­дова­ние срав­нитель­ной популяр­ности трех панелей управле­ния веб‑хос­тингом: cPanel, WHM и Webmin. Пос­леднюю, к при­меру, мож­но иден­тифици­ровать при помощи зап­роса port:10000 title:webmin. Для двух дру­гих тре­бует­ся отфиль­тро­вать резуль­таты. Сухой оста­ток cPanel получа­ется по зап­росу port:2082 -cloudflare, а WHM — port:2086 -cloudflare. Самой популяр­ной в мире ока­залась cPanel, а в Рос­сии — Webmin.

Заразительный пример

Shodan сущес­тву­ет уже шесть лет. За это вре­мя он стал излюблен­ным инс­тру­мен­том «белых хакеров» — спе­циалис­тов по тес­там на про­ник­новение, иссле­дова­телей из ака­деми­чес­кой сре­ды и экспер­тов по воп­росам информа­цион­ной безопас­ности. С его помощью мож­но быс­тро выпол­нить аудит собс­твен­ной инфраструк­туры пред­при­ятия и най­ти все уяз­вимые устрой­ства с выходом в интернет. Дос­таточ­но прос­то огра­ничить поиск по реги­ону, типу ОС и дру­гим парамет­рам. Исполь­зование Shodan в корыс­тных целях тех­ничес­ки зат­рудне­но из‑за необ­ходимос­ти регис­тра­ции и опла­ты, а прак­тичес­ки — опас­но или бес­смыс­ленно. Встав­шие на тем­ную сто­рону могут исполь­зовать для сво­их целей подоб­ные инс­тру­мен­ты на базе бот­нетов и сох­ранять ано­ним­ность.

За­дать новое нап­равле­ние быва­ет прос­то, а вот оста­вать­ся его лидером — гораз­до слож­нее. Помимо Shodan, соз­дают­ся дру­гие подоб­ные сер­висы. В ком­пании Rapid7 раз­рабаты­вают его зак­рытый ана­лог, а для ауди­та веб‑при­ложе­ний луч­ше под­ходит бес­плат­ный PunkSPIDER.
Кон­курен­ция нарас­тает, поэто­му Мэтер­ли пос­тоян­но рас­ширя­ет фун­кци­ональ­ность сво­его поис­ковика. Shodan обраста­ет допол­нитель­ными сер­висами (Scanhub и Nmap), пла­гина­ми и аддо­нами — их уже мож­но заг­рузить со стра­ницы сай­та. Есть вер­сии для бра­узе­ра Firefox и ана­лити­чес­кой сис­темы Maltego. С недав­них пор Shodan мож­но интегри­ровать в любой софт. Появи­лись откры­тые API и дру­гие средс­тва для раз­работ­чиков, сре­ди которых — биб­лиоте­ки на Python, Ruby и Node.js. В кон­це мая это­го года Джон Мэтер­ли дол­жен при­ехать в Мос­кву на форум по прак­тичес­кой безопас­ности Positive Hack Days. Пос­мотрим, какие сюр­при­зы он при­гото­вит на этот раз.

ПРИМЕР РАБОТЫ С SHODAN

Начать зна­комс­тво с интерне­том вещей мож­но на любом сай­те Shodan: основном и час­то перег­ружен­ном зап­росами (shodanhq.com) или экспе­римен­таль­ном (shodan.io), который пос­тоян­но обраста­ет тес­товыми инс­тру­мен­тами ана­лиза. Сре­ди них Explore — наибо­лее полез­ный для нович­ков. Он показы­вает IP-адре­са устрой­ств с прос­тым дос­тупом и типовые поис­ковые зап­росы.

До­пус­тим, ты хочешь най­ти сетевые хра­нили­ща с дефол­тным паролем. Таких мно­го сре­ди NAS про­изводс­тва Lenovo/EMC. Ранее это сов­мес­тное под­разде­ление наз­валось Iomega, что оста­вило свой след в коде про­шив­ки. При уста­нов­ке уда­лен­ного соеди­нения они отправ­ляют зап­рос вида: «Set-Cookie: iomega=». Имен­но его мы и напишем в поис­ковой стро­ке Shodan.

На боль­шинс­тве най­ден­ных устрой­ств будет сто­ять дефол­тный пароль (ADMIN/ADMIN), как было и на этой модели ix4 300d.

Обыч­но через веб‑интерфейс управля­ют с помощью Java-при­ложе­ний, которые не име­ют циф­рового сер­тифика­та. Начиная с вер­сии 1.7.51 в Java RE отсутс­тву­ет воз­можность запус­ка непод­писан­ных аппле­тов. В нас­трой­ках сов­ремен­ной панели Java мож­но добавить толь­ко сайт в спи­сок исклю­чения, но Shodan ищет по IP. Поэто­му управлять най­ден­ными устрой­ства­ми мож­но толь­ко из ста­рых вер­сий Java — их мож­но ска­чать в раз­деле архивных релизов.

Бо­лее инте­рес­ные резуль­таты получа­ются при исполь­зовании филь­тров, дос­туп к которым мож­но получить пос­ле бес­плат­ной регис­тра­ции. Нап­ример, зап­рос «title:"Network Cube "Camera"» выдаст спи­сок сетевых камер, для дос­тупа к которым не тре­бовал­ся пароль, ког­да их нашел Shodan. Боль­шинс­тво из них так и оста­ются откры­тыми для всех.

Во вре­мя всех этих изыс­каний не вклю­чай свою веб‑камеру и заранее най­ди адво­ката — чис­ло ловушек (honeypot) осо­бен­но велико в пер­вой полусот­не резуль­татов из выдачи Shodan.