Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es Shodan? El buscador para todo en Internet

[22/11/2018] Shodan es el motor de búsqueda para todo en Internet. Mientras que Google y otros motores de búsqueda indexan solo la web, Shodan indexa prácticamente todo lo demás: cámaras web, instalaciones de tratamiento de agua, yates, dispositivos médicos, semáforos, aerogeneradores, lectores de matrículas, televisores inteligentes, refrigeradores, cualquier cosa imaginable que esté conectada a Internet (y que a menudo no debería estar).

La mejor manera de entender lo que hace Shodan es leer el libro del fundador John Matherly sobre el tema. El algoritmo básico es corto y dulce:

  1. Genere una dirección IPv4 aleatoria
  2. Genere un puerto aleatorio para probar desde la lista de puertos que Shodan entiende
  3. Verifique la dirección IPv4 aleatoria en el puerto aleatorio y tome un banner
  4. Goto 1

Eso es todo. Encuentre todas las cosas, indexe todas las cosas, haga que se puedan buscar todas las cosas. Es una cosa, y se llama Shodan.

Cómo trabaja Shodan

Los servicios que se ejecutan en puertos abiertos se anuncian, por supuesto, con banners. Un banner declara públicamente a toda Internet qué servicio ofrece y cómo interactuar con él. Shodan da el ejemplo de un banner FTP:

Shodan

Aunque Shodan no indexa el contenido web, sí consulta los puertos 80 y 443. Aquí está el banner https de CSOonline:

Shodan

Otros servicios en otros puertos ofrecen información específica del servicio. Eso no es una garantía de que el banner publicado sea verdadero o genuino. En la mayoría de los casos, lo es; y, en cualquier caso, la publicación de un banner deliberadamente engañoso es seguridad por medio de oscuridad.

Algunas empresas impiden que Shodan rastree su red, y Shodan respeta dichas solicitudes. Sin embargo, los atacantes no necesitan que Shodan encuentre dispositivos vulnerables conectados a su red. Bloquear a Shodan podría salvarle de una vergüenza momentánea, pero es poco probable que mejore su posición de seguridad.

Shodan asusta a las personas

Abordemos el tema que nadie quiere tocar: Shodan asusta a las personas.

Shodan aterroriza a las personas no técnicas que no entienden cómo funciona Internet. En el 2013, CNN lo llamó el "motor de búsqueda más temible en Internet. ¿Cómo puede permitir que los hackers sepan dónde están todas las plantas de energía para que puedan bombardearlas? ¡Esto es horrible!

Shodan revela lo que está conectado y visible desde Internet, como esta instalación
Shodan

Esto es, por supuesto, una hipérbole causada por la ignorancia. Los atacantes que intentan causar daño no necesitan que Shodan encuentre objetivos. Para eso están las botnets que ejecutan zmap. El valor real de Shodan radica en ayudar a los defensores a obtener una mayor visibilidad en sus propias redes.

No puede jugar a la defensa si no sabe lo que debe defender, y esto es cierto tanto en el nivel empresarial como en la sociedad en general. Shodan nos brinda una mayor visibilidad del mundo ciberfísico inseguro e interconectado en el que todos vivimos ahora.

Jugando a la defensiva con Shodan

Las empresas modernas normalmente se exponen más a Internet de lo deseado. Los empleados conectan cosas a la red para hacer su trabajo, ¡y listo! Multiplique eso en toda la TI paralela y tendrá que manejar una creciente superficie de ataque.

Shodan facilita la búsqueda en una subred o dominio para dispositivos conectados, puertos abiertos, credenciales predeterminadas, e incluso vulnerabilidades conocidas. Los atacantes pueden ver lo mismo, así que aplasta las escotillas antes de que decidan atacar.

Muchos dispositivos anuncian públicamente sus contraseñas predeterminadas en su banner. Muchos dispositivos de Cisco, por ejemplo, anuncian una combinación de nombre de usuario/contraseña predeterminada de "cisco/cisco. Encontrar dispositivos como este en su red, antes de que lo hagan los atacantes, parece ser una buena idea.

Shodan también le permite buscar dispositivos vulnerables a explotaciones específicas, como Heartbleed. Además de ayudar a los defensores a identificar sus propios dispositivos para asegurarlos, esto ayuda a los probadores de penetración durante la fase de recopilación de información; el uso de Shodan es más rápido y más sigiloso que el ruido de la totalidad de la subred de su cliente.

Los miembros pagados tienen acceso a la API e incluso pueden crear alertas cuando aparecen nuevos dispositivos en la(s) subred(es) que quieren monitorear, una forma económica y efectiva de controlar lo que sus amigos están conectando en la Internet.

Deje de poner basura en Internet

El aspecto más notable de Shodan, sin embargo, podría ser la conciencia pública que aporta a la vasta cantidad de infraestructura ciberfísica crítica e insegura que de alguna manera se ha conectado a Internet. La cartografía de Internet de Shodan ayuda a cuantificar los problemas de seguridad sistémica a los que se enfrenta Internet, y permite a los periodistas escribir, y a los creadores de políticas discutir, sobre las soluciones a los problemas en esa escala. (Admisión completa: este reportero tiene una membresía pagada de Shodan y considera que es una herramienta muy útil para el periodismo de investigación).

Tome como ejemplo cosas como ICS/SCADA. Los sistemas de control industrial son anteriores a Internet y se diseñaron a propósito sin tener en cuenta la seguridad. Después de todo, nunca se pretendió que estuvieran conectados a una red global, y los controles físicos de seguridad se consideraron más que suficientes para evitar que un atacante malintencionado descargue aguas residuales sin tratar en su suministro de agua dulce.

Eso ha cambiado, y la infraestructura crítica que nunca tuvo la intención de estar en Internet, ahora está a pocos pasos de todos los atacantes del planeta. Shodan hace que sea fácil encontrar estos sistemas y activar la alarma. ¿Deberían las instalaciones de tratamiento de agua, presas, crematorios, yates -lo que se le ocurra- conectarse a Internet bajo cualquier circunstancia? Probablemente no, y Shodan hace que la concientización sobre el tema sea mucho más fácil.

Del mismo modo, una gran cantidad de dispositivos de IoT inseguros está ahogando el mercado, desde cafeteras conectadas hasta juguetes sexuales y refrigeradores hasta, una vez más, lo que se le ocurra. El mercado claramente no ha seleccionado la ciberseguridad fuerte para estos dispositivos, y los reguladores, con algunas notables excepciones, no han intervenido para exigir controles de ciberseguridad más estrictos. Peor aún, los fabricantes de IoT dejan de operar o simplemente abandonan el soporte de los dispositivos que fabrican, dejando a los consumidores atrapados con dispositivos inseguros -e incapaces de ser asegurados- que luego se convierten en esclavos de ejércitos de botnets. El riesgo sistémico que esto supone para todo el internet no puede ser subestimado.

El jadeo inicial de "oh por dios, por parte de personas no técnicas al descubrir a Shodan, aplica mejor al mercado y a las fuerzas reguladoras que permiten que esta situación florezca.

Tuercas y tornillos

Shodan puede explorarse libremente, pero el número de resultados está limitado por una cuenta gratuita. Los filtros avanzados requieren una membresía pagada de 49 dólares. Los desarrolladores y los usuarios empresariales que necesitan un flujo de datos en tiempo real de toda la situación pueden obtener eso también.

Defender a su organización de la vergüenza puede tener un valor de relaciones públicas, pero no un valor de seguridad. Shodan les brinda a las organizaciones visibilidad sobre su posición de seguridad externa y la de otras organizaciones.

Internet sigue incurriendo en una deuda de seguridad cada vez más grande. Shodan nos permite ver el problema claramente, sin importar cuánto pueda incomodar a algunas personas no técnicas.