Nettleseren din er utdatert. Den har kjente sikkerhetsproblemer og vil ikke kunne vise alle egenskapene til denne og andre nettsider. Lær mer og se hvordan du kan oppdatere nettleseren din..

X

Rapport: Security workshop - Shodan

Foto: Salve J. Nilsen
Foto: Salve J. Nilsen

Onsdag 30. november var jeg på en svært interessant sikkerhetsworkshop holdt av Éireann Leverett, i regi av Hackeriet og OWASP Norge. Éireann viste frem et verktøy som var helt nytt for meg: Shodan.

Jeg tenkte jeg kort skulle oppsummere det jeg lærte og drøfte litt hvilken lærdom vi kan ta fra et verktøy som Shodan.

Hva er Shodan?
Shodan er en søkemotor som indekserer ‘bannere’ – altså metadata servere sender til klienter. En banner kan inneholde en del forskjellig informasjon, men tanken bak er å gi info som kan være nyttig for klienten å vite når den snakker med serveren.

Man kan f.eks. bruke netcat til å finne banneren til en HTTP-server, ved å først opprette en forbindelse til serveren og deretter sende en ugyldig HTTP-request.

Eksempel:

 fredrik$ nc naboens.net 80
 HEAD / HTTP/1.0
 HTTP/1.1 200 OK
 Date: Fri, 02 Dec 2011 14:00:14 GMT
 Server: Apache
 Last-Modified: Tue, 21 Jun 2011 08:54:55 GMT
 Accept-Ranges: bytes
 Content-Length: 111
 Connection: close
 Content-Type: text/html

Ikke så mye spennende informasjon her, så la oss se litt nærmere på hva Shodan kan brukes til.

Populære søk
Å ta turen til populære søk er ikke noe hyggelig syn for en sikkerhetsinteressert IT-entusiast med moralsk ryggrad. Topplisten ser for øyeblikket slik ut:

  1. Server: SQ-WEBCAM
  2. default password
  3. dreambox country:ES
  4. cisco-ios last-modified
  5. netgear

Her finner man altså lett streamer til webkamera, fjernaksess til dreambox-oppsett og routere, samt at noen servere faktisk opplyser standard brukernavn og passord i banneren (!) – sistnevnte er nesten like håpløst som at folk ikke endrer dem…

Videre kan man bruke filtre som avgrenser søket geografisk, etter spesifikke operativsystemer, til en spesiell host eller port, osv. Shodan indekserer for øvrig ikke bare port 80 (WWW), men også 23 (FTP), 22 (SSH) og 21 (telnet). Flere kreative søk ble nevnt på workshopen.

Er Shodan slem?
Det er ingen tvil om at Shodan kan brukes til onde hensikter – er det derfor et ondt verktøy?

Selvfølgelig ikke. Dataene er allerede tilgjengelig for alle; hvem som helst kan lage en slik database. Shodan er et godt eksempel på «Security by awareness.»

Shodan er bare 2 år gammel, dette “problemet” er i alle fall tigangeren eldre. Mennesker med onde hensikter har utnyttet banner-informasjon i lang tid, med Shodan er det bare enklere for mannen i gata å se de praktiske implikasjonene.

Merk at det egentlige problemet er bruken av standard brukernavn og passord (eller mangelen på autentisering overhodet), ikke at man har mulighet til å søke etter spesielle dataløsninger. Sistnevnte har for øvrig Google blitt brukt til i lang tid, Shodan tar bare konseptet et skritt lengre.

Videre finnes det mange bruksområder der Shodan er genuint nyttig, for eksempel til å samle inn statistikk om hvilke servere som er mest utbredt og hvordan dette endrer seg over tid. Et søk som fanget min interesse var søket etter bluecoat – en løsning som ble brukt til å sensurere internett i Syria tidligere i år. Av Shodan-søket ser vi at Iran er det landet med flest bluecoat-enheter i dag, etterfulgt av USA (185 vs. 29 enheter).

Interessant er det også at Shodan ikke bruker DNS når den indekserer servere, den bruker rett og slett brute force. Dette innebærer at servere som alltid har vært allment tilgjengelig over internett, men som ikke blir plukket opp av diverse søkemotorer, også blir synlig.

Dette er en bra ting, siden systemadministratorer, hardware- og softwareprodusenter tvinges til å fokusere på å løse de egentlige sikkerhetsproblemene, ikke bare feie de under teppet. Som Éireann selv sa: «Security doesn’t come from not telling anyone your IP address.» (Se også ERIPP.)

Slik falsk trygghet har jeg selv jobbet mot, blant annet ved å fortelle hvordan man finner fødselsnummer og hvordan man sikrer nettverket sitt (kortversjon: ikke bruk WEP).

Konklusjon
Shodan er et verktøy i kategorien «eye opener». For meg var dette også min første sikkerhetsworkshop, og det var en veldig tilfredsstillende en. Jeg vil rette en takk til Éireann, Hackeriet og OWASP Norge. Dette ga mersmak!

Du kan lese mer om Shodan her, og du kan følge John Matherly – utvikleren bak Shodan – på Twitter her.

Dersom du er interessert i tilsvarende workshops i fremtiden gjør du lurt i å følge med på mailinglistene til henholdsvis Hackeriet og OWASP Norge!

Foto av Salve J. Nilsen, hentet med tillatelse fra Meetup.com.