Shodan - tražilica za uređaje spojene na Internet

Sažetak

The fact that we could even recover data from a formatted Hard Drive is kind of amazing. You choose (or not) to delete data, but it is still there, even if it is not that easy to read.

This paper is some kind of a warning to all those selling Hard Drives via eBay that once contained personal data.

Keywords: recovery; data; traces

Uredi

Uvod

Razvoj Internetskih tehnologija doveo je do povećanja broja uređaja s podrškom za mrežni rad. Ti uređaji postali su dio naše svakodnevnice zbog jednostavnosti korištenja i olakšanja života. Tehnologija “Interneta Stvari” (engl. Internet of Things) je sustav koji je omogućio umrežavanja nekad običnih uređaja u mrežu. Ti uređaji mogu biti računala, pametni telefoni, pametni satovi, web-kamere, frižideri, senzori za toplinu u kući itd. Svaki uređaj spojen na mrežu može imati velike koristi i time unaprijediti svoju funkcionalnost. S druge strane, svaki uređaj spojen na mrežu, ako nije primjereno zastićen, predstavlja potencijalnu točku napada.

Shodan je tražilica (engl. search engine) uređaja spojenih na mrežu. U ovom radu prikazat ćemo kako je velik broj uređaja nedovoljno zastićen i time podložan napadu. Koristit ćemo Shodan u pozitivne svrhe demonstracije potencijalnih prijetnji spajanja uređaja na mrežu. Razumijevanjem kako napadaći mogu iskoristiti ranjivosti pomaže nam da se lakše sami zaštitimo od potencijalnih napada.

Funkcionalnosti i usluge tražilice Shodan

Shodan je web tražilica uređaja i nudi mnoge opcije korištenja. Najjednostavnija opcija je korištenje web stranice (web aplikacije) koja ima jednostavno i razumljivo korisničko sučelje. Tu opciju je jednostavno koristiti i nije potrebno neko veliko znanje da bi pronašli neki uređaj. Druga opcija je korištenje aplikacijskog sučelja (API) putem neke od ponuđenih tehnologija. Dostupna su rješenja za većinu programskih jezika (C# .NET, JAVA; Python, Node.js i slični). Treća opcija je korištenje sučelja komandne linije (CLI - command line interface). Za potrebe istraživanja koristit ćemo prvu opciju, web tražilicu koristeći preglednik google chrome.

Web tražilica je jednostavna za korištenje. Nudi mougćnost pretrage upisom teksta u polje. Mogu se upisati ključne riječi i/ili izrazi prema kojima se filtriraju rezultati. Filteri se označavaju izrazom “filterName:value”. Neki od značajnih filtera su city(grad), country(zemlja), org (organizacija), ip (ip adresa), isp (internet service provider), os (operacijski sustav), port (port), product (ime software ili programa koji se koristi).

Primjeri korištenja tražilice i filtera

Filteri

Upisom izraza “org: “Fakultet elektrotehnike i racunarstva”” tražimo uređaje povezane s organizacijom “Fakultet elektrotehnike i računarstva”. Dobiva se ukupno 1377 rezultata za uređaje spojene na mrežu.

Statistika:

Tu se nalaze između ostalog servis “Katalog knjižnice FER-a”, servis “Mammographic Image Analysis Homepage”, “HP Color LaserJet” printer, servis “IspraviMe - Hrvatski spell checker” uz mnogo ostalih računala i servisa. Shodan besplatni račun dozvoljava prikazivanje samo dvije stranice rezultata pa ne možemo vidjeti sve. Možemo dodatno filtrirati po npr. portu.

Ako želimo vidjeti sve dostupne HTTP servere na FER-u, upisat ćemo izraz “org:“Fakultet elektrotehnike i racunarstva” port 80”. Pošto Shodan ima ograničenje na besplatni račun za broj rezultata koji možemo prikazati dnevno, bitno je biti kreativan te sam odlučio demonstrirati tražilicu pomoću traženja printera organizacije FER.

U tražlicu upisujemo: “ printer org:“fakultet elektrotehnike i racunarstva” ”.

Pronašli smo printer javno dostupan na adresi printer1.zpf.fer.hr. Odlaskom preglednikom na tu adresu učitat će se mrežno grafičko sučelje printera. Naravno, za korištenje printera i mijenjanje postavki potrebno je korisničko ime i lozinka. Dalje od toga nećemo ići jer bi to bio neovlašteni pokušaj pristupa računalnom sustavu što je kažnjivo zakonom.

Konkretno u ovoj maloj pretrazi nismo našli ništa nezastićeno, ali postoji veliki broj uistinu nezastićenih uređaja, te uređaja kojima nisu promijenjene početne postavke (npr. routeri, web kamere, printeri i slično) te im je moguće pristupiti samo čitanjem priručnika koji dolazi sa uređajom. Znajući koji je uređaj, lako je putem internet pretrage pronaći početne postavke korisničkog imena i lozinke u digitalnom formatu priručnika uređaja. Zanimljiv članak šaljive prirode na tu temu može se naći na poveznici: https://techcrunch.com/2019/01/21/shodan-safari/.

Primjer

Još jedan primjer: “port:80 has_screenshot:true”. Nalazimo uređaje koji imaju otvoren port:80 i prikaz slike vezane za taj uređaj. U nastavku je za primjer slika web nadzorna kamera sa sveučilišta u Groningenu.

Kliknemo li na crvenu strelicu pored naziva, možemo vidjeti prikaz kamere uživo (live-stream).

Kako Shodan radi?

Shodan je servis zatvorenog koda (closed-source) te nije moguće pristupiti njegovom izvornom programskom kodu. Time zapravo ne možemo znati što se točno događa u pozadini, ali možemo pročitati informacije koje pišu na stranici dokumentacije servisa. Navodi se da Shodan koristi javno dostupne informacije o računalima i drugim uređajima koje dohvaća putem uzastopnog slanja zahtjeva na velik broj IP adresa i različitih portova. Kao odgovor dobiva “Banner” tj. osnovne informacije o programu koji se izvršava na vratima (port) uređaja određenog IP adresom. Te informacije zapisuje u neki spremnik te ih postavlja javno dostupnima svojim korisnicima.

Banner - metapodaci o software-u

Dohvaćanje bannera pokreće se slanjem HTTP zahtjeva na uređaj određen adresom i vratima. Ako su na tom uređaju vrata otvorena, postoji mogućnost da će uređaj odgovoriti te vratiti neke osnovne informacije o samom uređaju i programu koji je pokrenut na navedenim vratima. Sam sadržaj bannera ovisi o operacijskom sustavu, pokrenutom programu, korištenom protokolu i slično. Na primjer, za HTTP protokol izgleda ovako: