Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es Shodan? El buscador de todo en Internet

[06/05/2022] Shodan es un motor de búsqueda de todo lo que hay en Internet: cámaras web, instalaciones de tratamiento de agua, yates, dispositivos médicos, semáforos, turbinas eólicas, lectores de matrículas, televisores inteligentes, refrigeradores, todo lo que pueda imaginar que está conectado a Internet (y a menudo no debería estarlo). Google y otros motores de búsqueda, en comparación, indexan solo la web.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

La mejor manera de entender lo que hace Shodan es leer el libro del fundador John Matherly sobre el tema. El algoritmo básico es corto y agradable:

  1. Genere una dirección IPv4 aleatoria
  2. Genere un puerto aleatorio para probar de la lista de puertos que Shodan entiende
  3. Verifique la dirección IPv4 aleatoria en el puerto aleatorio y tome un banner
  4. Ir a 1

Eso es todo. Shodan encuentra todas las cosas, indexa todas las cosas, hace que se puedan buscar todas las cosas.

Cómo funciona Shodan

Los servicios que se ejecutan en puertos abiertos se anuncian, por supuesto, con pancartas. Un banner declara públicamente a todo Internet qué servicio ofrece y cómo interactuar con él. Shodan da el ejemplo de un banner FTP:

220 kcg.cz FTP server (Version 6.00LS) ready.

Si bien Shodan no indexa el contenido web, consulta los puertos 80 y 443. Aquí está el banner https de CSOonline:

$ curl -I https://www.csoonline.com
HTTP/2 200
server: Apache-Coyote/1.1
x-mod-pagespeed: 1.12.34.2-0
content-type: text/html;charset=UTF-8
via: 1.1 varnish
accept-ranges: bytes
date: Fri, 25 May 2018 14:16:18 GMT
via: 1.1 varnish
age: 0
x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR
x-cache: HIT, MISS
x-cache-hits: 2, 0
x-timer: S1527257779.808892,VS0,VE70
vary: Accept-Encoding,Cookie
x-via-fastly: Verdad
content-length: 72361

Otros servicios en otros puertos ofrecen información específica del servicio. Eso no es una garantía de que el banner publicado sea verdadero o genuino. En la mayoría de los casos, lo es y, en cualquier caso, publicar una pancarta deliberadamente engañosa es seguridad por medio de oscuridad.

Algunas empresas bloquean a Shodan para que no rastree su red y Shodan cumple con tales solicitudes. Sin embargo, los atacantes no necesitan Shodan para encontrar dispositivos vulnerables conectados a su red. El bloqueo de Shodan puede salvarlo de una vergüenza momentánea, pero es poco probable que mejore su posición de seguridad.

¿Shodan es legal?

En resumen, sí, Shodan es legal y es legal usar Shodan para encontrar sistemas vulnerables. Por supuesto, no es legal entrar en ningún sistema vulnerable que haya encontrado usando Shodan.

Aun así, Shodan asusta bastante a las personas. CNN lo llamó el "motor de búsqueda más aterrador de Internet en el 2013. ¿Cómo puede informar a los hackers dónde están todas las plantas de energía para que puedan hacerlas explotar? ¡Esto es horrible!

Esto es, por supuesto, una hipérbole causada por la ignorancia. Los atacantes que intentan causar daño no necesitan a Shodan para encontrar objetivos. Para eso están las botnets que ejecutan zmap. El valor real de Shodan radica en ayudar a los defensores a obtener una mayor visibilidad de sus propias redes.

Uno no puede jugar a la defensiva si no sabe qué debe defender, y esto es cierto tanto a nivel empresarial como a nivel de la sociedad en su conjunto. Shodan nos brinda una mayor visibilidad del mundo ciberfísico inseguro e interconectado en el que todos vivimos ahora.

Cómo usar Shodan

La empresa moderna normalmente se expone más a Internet de lo que preferiría. Los empleados conectan cosas a la red para hacer su trabajo, ¡y listo! Multiplique eso en toda la TI oculta y tendrá una superficie de ataque creciente por administrar.

Shodan facilita la búsqueda de dispositivos conectados, puertos abiertos, credenciales predeterminadas, e incluso vulnerabilidades conocidas en una subred o dominio. Los atacantes pueden ver lo mismo, así que cierre las escotillas antes de que decidan atacar.

Muchos dispositivos anuncian públicamente sus contraseñas predeterminadas en su banner. Muchos dispositivos de Cisco, por ejemplo, anuncian una combinación predeterminada de nombre de usuario y contraseña de "cisco/cisco. Encontrar dispositivos como este en su red antes de que lo hagan los atacantes parece ser una buena idea.

Shodan también le permite buscar dispositivos vulnerables a riesgos específicos, como Heartbleed. Además de ayudar a los defensores a identificar sus propios dispositivos para protegerlos, esto ayuda a los evaluadores de penetración (penetration testers) durante la fase de recopilación de información; usar Shodan es más rápido y sigiloso que hacer un nmap de forma ruidosa de toda la subred de su cliente.

Los miembros pagos tienen acceso a la API de Shodan, e incluso pueden crear alertas cuando aparecen nuevos dispositivos en las subredes que desean monitorear -una forma económica y efectiva de controlar lo que sus amigos conectan a Internet.

Búsqueda abierta de IoT e ICS

El aspecto más notable de Shodan podría ser la conciencia pública que genera sobre la gran cantidad de infraestructura crítica, e insegura que de alguna manera se ha conectado a Internet. La cartografía de Internet de Shodan ayuda a cuantificar los problemas de seguridad sistémicos a los que se enfrenta Internet y permite a los periodistas escribir sobre soluciones a problemas de esta escala, y a los responsables de la formulación de políticas a discutir sobre ellas. (Divulgación completa: este reportero tiene una membresía paga de Shodan y lo considera una herramienta muy útil para el periodismo de investigación).

Tome cosas como ICS/SCADA, por ejemplo. Los sistemas de control industrial son anteriores a Internet y se diseñaron a propósito, sin tener en cuenta la seguridad. Después de todo, nunca tuvieron la intención de conectarse a una Internet global, y los controles de seguridad física se consideraron más que suficientes para evitar que un atacante malicioso, por ejemplo, arroje aguas residuales sin tratar en su suministro de agua dulce.

Eso ha cambiado, y la infraestructura crítica que nunca tuvo la intención de estar en Internet ahora está a unos cuantos saltos de distancia de todos los atacantes del planeta. Shodan facilita la búsqueda de estos sistemas y da la alarma. ¿Deberían las instalaciones de tratamiento de agua, represas, crematorios, yates -lo que sea- estas cosas alguna vez estar conectadas a Internet bajo alguna circunstancia? Probablemente no, y Shodan hace que crear conciencia sobre el tema sea mucho más fácil.

Del mismo modo, una avalancha de dispositivos IoT inseguros está inundando el mercado, desde cafeteras conectadas hasta juguetes sexuales, refrigeradores y, de nuevo, lo que se le ocurra. Claramente, el mercado no ha seleccionado una ciberseguridad fuerte para estos dispositivos, y los reguladores, con algunas excepciones notables, no han intervenido para exigir controles de ciberseguridad más fuertes. Peor aún, los fabricantes de IoT cierran o simplemente abandonan el soporte de los dispositivos que fabrican, dejando a los consumidores varados con dispositivos inseguros -e imposibles de asegurar- que luego quedan esclavizados en ejércitos de botnets. No se puede subestimar el riesgo sistémico que esto representa para todo Internet.

El "Dios mío inicial de las personas no técnicas al descubrir Shodan está mejor dirigido al mercado y las fuerzas regulatorias que permiten que esta situación florezca.

¿Shodan es gratis?

Shodan es libre de explorar, pero la cantidad de resultados está limitada con una cuenta gratuita. Los filtros avanzados requieren una membresía de pago (49 dólares de por vida). Los desarrolladores que necesitan un flujo de datos en tiempo real de todo el asunto también pueden obtenerlo.

La edición empresarial de Shodan le brinda todos los datos de Shodan, acceso bajo demanda a la infraestructura global de Shodan, y una licencia ilimitada para que todos los empleados de su organización accedan a todo en todo momento.

¡Vaya! Eso es mucho. Si lo suyo es la información sobre amenazas, entonces Shodan Enterprise podría ser para usted. Como afirma su copia promocional, "la plataforma Shodan le ayuda a monitorear no solo su propia red sino también todo Internet. Detecte fugas de datos en la nube, páginas web de phishing, bases de datos comprometidas y más. La licencia de datos empresariales le brinda las herramientas para monitorear todos los dispositivos conectados a Internet.

Para una gran organización, o una que no quiere reinventar la rueda internamente con zmap, Shodan Enterprise ofrece una licencia de datos destinada a usar sus datos para uso comercial sin atribución. Los posibles casos de uso incluyen prevención de fraude, inteligencia de mercado, sin mencionar la inteligencia de amenazas.

¿El precio? Bueno, tendrá que ponerse en contacto con su equipo de ventas para eso. Sin embargo, sospechamos que su paquete "todo incluyendo el fregadero de la cocina no es barato.

Puede ver también: