¿Qué es Shodan? El motor de búsqueda de todo en Internet
El mayor valor de Shodan reside en ayudar a los defensores a encontrar dispositivos vulnerables en sus propias redes, desde cámaras web hasta instalaciones de tratamiento de agua, yates y dispositivos médicos.
Shodan es un motor de búsqueda para todo lo que hay en Internet: cámaras web, instalaciones de tratamiento de aguas, yates, dispositivos médicos, semáforos, turbinas eólicas, lectores de matrículas, televisores inteligentes, frigoríficos, todo lo que puedas imaginar que esté conectado a Internet (y que a menudo no debería estarlo). Google y otros motores de búsqueda, en comparación, sólo indexan la web.
La mejor manera de entender lo que hace Shodan es leer el libro del fundador John Matherly sobre el tema. El algoritmo básico es corto y agradable:
| 1. Generar una dirección IPv4 aleatoria |
| 2. Generar un puerto aleatorio para probar la lista de puertos que Shodan entiende |
| 3. Comprueba la dirección IPv4 aleatoria en el puerto aleatorio y coge un banner |
| 4. Ir a 1 |
Eso es todo. Shodan encuentra todas las cosas, indexa todas las cosas, hace que se puedan buscar todas las cosas.
Cómo funciona Shodan
Los servicios que funcionan en puertos abiertos se anuncian, por supuesto, con banners. Un banner declara públicamente a todo Internet qué servicio ofrece y cómo interactuar con él. Shodan da el ejemplo de un banner de FTP:
220 kcg.cz Servidor FTP (Versión 6.00LS) ready.
Aunque Shodan no indexa el contenido de la web, sí consulta los puertos 80 y 443. Aquí está el banner https de CSOonline:
$ curl -I https://www.csoonline.com
HTTP/2 200
servidor: Apache-Coyote/1.1
x-mod-pagespeed: 1.12.34.2-0
content-type: text/html;charset=UTF-8
via: 1.1 varnish
accept-ranges: bytes
fecha: Fri, 25 May 2018 14:16:18 GMT
via: 1.1 varnish
edad: 0
x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR
x-cache: HIT, MISS
x-cache-hits: 2, 0
x-timer: S1527257779.808892,VS0,VE70
variar: Accept-Encoding,Cookie
x-via-fastly: Verdad
contenido-longitud: 72361
Otros servicios en otros puertos ofrecen información específica del servicio. Esto no es una garantía de que el banner publicado sea verdadero o genuino. En la mayoría de los casos, lo es, y en cualquier caso, publicar un banner deliberadamente engañoso es seguridad por oscuridad.
Algunas empresas bloquean a Shodan para que no rastree su red, y Shodan acepta estas peticiones. Sin embargo, los atacantes no necesitan Shodan para encontrar dispositivos vulnerables conectados a su red. Bloquear Shodan puede salvarle de una vergüenza momentánea, pero es poco probable que mejore su postura de seguridad.
¿Es legal Shodan?
En resumen, sí, Shodan es legal, y es legal usar Shodan para encontrar sistemas vulnerables. Por supuesto, no es legal entrar en los sistemas vulnerables que hayas encontrado utilizando Shodan.
Aun así, Shodan asusta a la gente. La CNN lo llamó el "motor de búsqueda más aterrador de Internet" en 2013. ¿Cómo puedes permitir que los hackers sepan dónde están todas las centrales eléctricas para que las hagan explotar? ¡Esto es horrible!
Esto es, por supuesto, una hipérbole causada por la ignorancia. Los atacantes que pretenden causar daño no necesitan Shodan para encontrar objetivos. Para eso están las botnets que ejecutan zmap. El verdadero valor de Shodan reside en ayudar a los defensores a obtener una mayor visibilidad de sus propias redes.
No se puede jugar a la defensiva si no se sabe lo que se debe defender, y esto es cierto tanto a nivel empresarial como en la sociedad en general. Shodan nos da una mayor visibilidad en el mundo ciberfísico inseguro e interconectado en el que todos vivimos ahora.
Cómo utilizar Shodan
La empresa moderna suele estar más expuesta a Internet de lo que le gustaría. Los empleados conectan cosas a la red para hacer su trabajo, y ¡voilá! Multiplica esto por toda la TI en la sombra, y tendrás una creciente superficie de ataque que gestionar.
Shodan facilita la búsqueda en una subred o dominio de dispositivos conectados, puertos abiertos, credenciales por defecto e incluso vulnerabilidades conocidas. Los atacantes pueden ver lo mismo, por lo que hay que cerrar las escotillas antes de que decidan atacar.
Muchos dispositivos anuncian públicamente sus contraseñas por defecto en su banner. Muchos dispositivos de Cisco, por ejemplo, anuncian una combinación de nombre de usuario y contraseña por defecto de "cisco/cisco". Encontrar dispositivos de este tipo en tu red antes de que lo hagan los atacantes puede ser una buena idea.
Shodan también permite buscar dispositivos vulnerables a exploits específicos, como Heartbleed. Además de ayudar a los defensores a identificar sus propios dispositivos para protegerlos, esto ayuda a los probadores de penetración durante la fase de recopilación de información; el uso de Shodan es más rápido y sigiloso que el ruidoso nmap de toda la subred de su cliente.
Los miembros de pago tienen acceso a la API de Shodan e incluso pueden crear alertas cuando aparecen nuevos dispositivos en la(s) subred(es) que quieren supervisar, una forma barata y eficaz de vigilar lo que su gente está conectando a Internet.
Buscando el IoT abierto y el ICS
El aspecto más destacable de Shodan podría ser la concienciación pública que aporta sobre la gran cantidad de infraestructuras críticas e inseguras que de alguna manera se han conectado a Internet. La cartografía de Internet de Shodan ayuda a cuantificar los problemas de seguridad sistémicos a los que se enfrenta Internet, y permite a los periodistas escribir sobre las soluciones a los problemas a esta escala, y a los responsables de la formulación de políticas, discutirlas. (Revelación completa: este reportero es miembro de pago de Shodan y lo considera una herramienta muy útil para el periodismo de investigación).
Por ejemplo, cosas como ICS/SCADA. Los sistemas de control industrial son anteriores a Internet y se diseñaron a propósito sin pensar en la seguridad. Al fin y al cabo, nunca se pensó en conectarlos a una Internet global, y los controles de seguridad física se consideraban más que suficientes para evitar que un atacante malintencionado, por ejemplo, vertiera aguas residuales en el suministro de agua potable.
Eso ha cambiado, y las infraestructuras críticas que nunca estuvieron destinadas a estar en Internet están ahora a unos pocos saltos de cualquier atacante del planeta. Shodan hace que sea fácil encontrar estos sistemas y dar la alarma. ¿Deberían las instalaciones de tratamiento de agua, las presas, los crematorios, los yates, etc., estar conectados a Internet bajo ninguna circunstancia? Probablemente no, y Shodan facilita la concienciación sobre este tema.
Asimismo, una avalancha de dispositivos IoT inseguros está ahogando el mercado, desde cafeteras conectadas hasta juguetes sexuales, pasando por frigoríficos y, de nuevo, lo que se quiera. Es evidente que el mercado no ha seleccionado una ciberseguridad sólida para estos dispositivos, y los reguladores, con algunas excepciones notables, no han intervenido para exigir controles de ciberseguridad más fuertes. Y lo que es peor, los fabricantes de IoT cierran el negocio o simplemente abandonan el soporte de los dispositivos que fabrican, dejando a los consumidores abandonados con dispositivos inseguros -e insegurables- que luego se convierten en esclavos de ejércitos de botnets. No se puede exagerar el riesgo sistémico que esto supone para todo Internet.
El grito inicial de "omg" de la gente no técnica al descubrir Shodan se dirige mejor a las fuerzas del mercado y la regulación que permiten que esta situación florezca.
¿Es Shodan gratis?
La exploración de Shodan es gratuita, pero el número de resultados está limitado con una cuenta gratuita. Los filtros avanzados requieren una membresía de pago (49 dólares/de por vida). Los desarrolladores que necesiten un flujo de datos en tiempo real de todo el conjunto también pueden conseguirlo.
La Edición Empresarial de Shodan te ofrece todos los datos de Shodan, acceso a la infraestructura global de Shodan y una licencia ilimitada para que todos los empleados de tu organización puedan acceder a todo en todo momento.
¡Guau! Eso es mucho. Si lo que te gusta es la información sobre amenazas, entonces Shodan Enterprise puede ser su opción. Como dice el texto promocional: "La plataforma Shodan le ayuda a supervisar no sólo su propia red, sino también todo Internet. Detecte fugas de datos a la nube, sitios web de phishing, bases de datos comprometidas y mucho más. La licencia de datos para empresas le ofrece las herramientas para supervisar todos los dispositivos conectados en Internet".
Para una organización grande, o que no quiera reinventar la rueda internamente con zmap, Shodan Enterprise ofrece una licencia de datos para utilizar sus datos para uso comercial sin atribución. Los posibles casos de uso incluyen la prevención del fraude, la inteligencia de mercado, por no hablar de la inteligencia sobre amenazas.
¿El precio? Bueno, tendrás que ponerte en contacto con su equipo de ventas para saberlo. Sin embargo, sospechamos que su paquete de "todo incluido" no es barato.
