Shodan is de zoekmachine voor alles op internet. Terwijl Google en andere zoekmachines alleen de content op het web indexeren, doet Shodan dat met de ‘dingen’. Denk aan webcams, waterzuiveringsinstallaties, jachten, medische apparatuur, verkeerslichten, windturbines, kentenkenscanners, smart tv’s, koelkasten; alles wat je je maar kunt voorstellen dat verbonden is met internet. Shodan vindt de IoT-apparaten en OT-installaties. Sommige mensen vinden dat angstaanjagend, maar het lukt aanvallers ook zonder de zoekmachine wel om kwetsbare apparaten te vinden die verbonden zijn met het netwerk. Het zijn juist de verdedigers die Shodan nodig hebben.
Hoe Shodan precies werkt, staat beschreven in het boek van de man achter het project: John Matherly. Het onderliggende algoritme is kort en krachtig:
- Genereer een willekeurig IPv4-adres;
- genereer uit een lijst van poorten die Shodan begrijpt een willekeurige poort om te testen;
- controleer het willekeurige IPv4-adres op de willekeurige poort en pak een banner; en
- ga naar 1.
Dat is Shodan in een notendop: vind de dingen, indexeer de dingen, maak alle dingen doorzoekbaar.
Hoe Shodan werkt
Diensten die op open poorten draaien kondigen zichzelf aan met zogenoemde banners. Een banner geeft een openbare verklaring af aan het hele internet over de dienst die het biedt en hoe je ermee om moet gaan. Een voorbeeld van een dergelijke banner is:
220 kcg.cz FTP server (Version 6.00LS) ready.
Hoewel Shodan geen webcontent indexeert, stuurt het wel zoekopdrachten uit naar poorten 80 en 443. Hieronder staat bijvoorbeeld de https-banner van CSOonline:
$ curl -I https://www.csoonline.com
HTTP/2 200
server: Apache-Coyote/1.1
x-mod-pagespeed: 1.12.34.2-0
content-type: text/html;charset=UTF-8
via: 1.1 varnish
accept-ranges: bytes
date: Fri, 25 May 2018 14:16:18 GMT
via: 1.1 varnish
age: 0
x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR
x-cache: HIT, MISS
x-cache-hits: 2, 0
x-timer: S1527257779.808892,VS0,VE70
vary: Accept-Encoding,Cookie
x-via-fastly: Verdad
content-length: 72361
Sommige ondernemingen blokkeren Shodan zodat de zoekmachine hun netwerk niet kan doorzoeken, en de zoekmachine respecteert dat verzoek. De vraag is of dat zinvol is. Het blokkeren van de zoekmachine voorkomt misschien een tijdelijk gênante situatie, maar het maakt de beveiliging waarschijnlijk niet sterker.
Shodan jagen mensen schrik aan
Eerlijk is eerlijk: Shodan maakt mensen doodsbang. De zoekmachine jaagt niet-technische mensen, die niet begrijpen hoe internet werkt, de stuipen op het lijf. In 2013 noemde CNN noemde Shodan zelfs de ‘engste zoekmachine op internet’. Want: “Hoe kun je hackers in godsnaam laten weten waar alle energiecentrales staan zodat je deze kunt opblazen? Dit is verschrikkelijk!”
De zorgen zijn, natuurlijk, sterk overdreven en een gevolg van onwetendheid. Aanvallers die schade willen toebrengen hebben Shodan namelijk helemaal niet nodig om een doelwit te lokaliseren. Dat doen hun botnets wel, al dan niet op basis van ZMap, een gratis en open-source beveiligingsscanner. De echte waarde van de zoekmachine zit in de hulp die het verdedigers biedt door hen meer inzicht te geven in hun eigen netwerken.
Een verdediging is onmogelijk zonder te weten wat er beschermd moet worden. Dit geldt zowel voor bedrijven als voor de hele maatschappij. Shodan geeft het benodigde inzicht in de onveilige, onderling verbonden cyber-fysieke wereld waarin we tegenwoordig leven.
Schaduw-IT
Bedrijven stellen tegenwoordig veel meer ‘dingen’ bloot aan internet dan ze zouden willen. Dat komt vooral doordat medewerkers veel dingen aansluiten op het netwerk, vaak met het excuus dat zij daarmee hun werk beter kunnen doen, zonder dat de IT-beheerder hiervan op de hoogte is. Maar deze zogenoemde schaduw-IT vergroot wel het aanvalsgebied dat beheerders moet beheren exponentieel.
Shodan maakt het eenvoudig om een subnet of domein te doorzoeken naar verbonden apparaten, open poorten, standaard toegangsgegevens en het vindt zelfs bekende kwetsbaarheden. Cybercriminelen weten deze doelwitten ook te vinden, dus met deze kennis kan men de luiken dichttimmeren om een inbreuk te voorkomen.
In de eerder genoemde banner kondigen veel apparaten openbaar aan wat hun standaard wachtwoord is. Bij de apparaten van Cisco, bijvoorbeeld, staat in de banner dat “cisco/cisco” de standaard combinatie van gebruikersnaam en wachtwoord is. Dat maakt het belangrijk dat de IT-beheerder deze apparaten eerder op zijn netwerk kan vinden, en de inloggegevens verandert, dan de potentiële aanvallers.
Shodan vindt ook de apparaten met specifieke kwetsbaarheden zoals de security bug Heartbleed. Naast dat het voor verdedigers handig is om vast te stellen welke apparaten beveiligd moeten worden, helpt het ook penetratietesters tijdens de fase waarin zij informatie vergaren. De zoekmachine is daarbij sneller en onzichtbaarder dan het, met veel kabaal, uitvoeren van een Nmap-netwerkscan op een volledig subnet.
De betaalde versie van Shodan geeft toegang tot de API en kan zelfs waarschuwen als er nieuwe apparaten verschijnen op subnets die gecontroleerd moeten worden. Dat is een relatief goedkope en effectieve manier om in de gaten te houden wat mensen allemaal via een bedrijfsnetwerk aansluiten op internet.
Verhoog het bewustzijn
Het meest opmerkelijke aspect van Shodan is echter dat het bijdraagt aan het verhogen van het bewustzijn over de enorme hoeveelheid onveilige, kritische cyber-fysieke apparaten die op de een of andere manier verbinding maken met internet. Door het in kaart brengen hiervan, of ‘internet cartography’, brengt Shodan ook de structurele beveiligingsproblemen van internet aan het licht. De media publiceert daarover, mensen maken zich daar druk over en beleidsmakers gaan daarmee aan de slag. Dat vergroot het bewustzijn bij burgers en medewerkers over de problemen, en hoe hun gedrag daaraan bijdraagt.
De laatste tijd geldt dat bijvoorbeeld voor ICS/SCADA. Er verschijnen berichten, en nieuw beleid, over de risico’s die het hacken van deze industriële beheerssystemen met zich meebrengen voor de maatschappij. ICS/SCADA bestaan al veel langer dan internet en er werd bij het ontwerp vaak geen rekening gehouden met beveiliging. Het was tenslotte nooit de bedoeling om deze systemen aan te sluiten op het wereldwijde internet. Fysieke beveiligingscontroles werden voldoende geacht, bijvoorbeeld om onbevoegden weg te houden van een drinkwaterinstallatie.
Dat is tegenwoordig wel anders. Bedrijfs- en maatschappijkritische infrastructuren zijn nu in een stap en een sprong bereikbaar voor elke aanvaller, overal ter wereld. Shodan maakt het eenvoudig om deze systemen te vinden en de alarmbellen te laten schallen. Zouden waterzuiveringsinstallaties, dammen, crematoria, jachten, noem het maar op, onder andere omstandigheden ooit op internet aangesloten worden? Waarschijnlijk niet, en Shodan verhoogt het bewustzijn daarover.
Naast industriële systemen verschijnen er in grote getale onveilige IoT-apparaten de markt die verbonden zijn met internet. Van ‘slimme’ koffiemachines en seksspeeltjes tot thermostaten en koelkasten. Wederom: noem het maar op. Het lukt de markt duidelijk niet om krachtige beveiligingsmaatregelen af te dwingen voor deze apparaten. Wet- en regelgevers, enkele uitzonderingen daargelaten, krijgen dat ook niet voor elkaar. De IoT-fabrikanten zouden hierin de verantwoordelijkheid moeten nemen, maar zij verdwijnen of houden gewoon op met het ondersteunen van hun apparaten. Gebruikers blijven daardoor onzeker en onveilig achter met apparaten die vervolgens door cybercriminelen worden opgenomen in botnets. Het structurele risico dat dit met zich meebrengt voor het hele internet verdient nog veel meer aandacht.
Shodan Enterprise Edition
Voor wie alles erop en eraan wil, biedt Shodan met zijn de nieuwe Enterprise Edition al zijn gegevens, on-demand toegang tot zijn wereldwijde infrastructuur en een onbeperkte licentie voor alle medewerkers binnen een organisatie waarmee zij alle functies van de zoekmachine, overal en altijd, kunnen gebruiken.
Dat is best veel en mensen die een groot fan zijn van bedreigingsinformatie komen bij Shodan Enterprise volledig aan hun trekken. Zoals de zoekmachine het zelf promoot: “Het Shodan-platform helpt niet alleen je eigen netwerk te controleren, maar het hele internet. Het brengt datalekken naar de cloud aan het licht, evenals phishing websites, aangetaste databases en nog veel meer. De Enterprise Data Licentie geeft mensen de middelen om alle verbonden apparaten op internet te controleren.”
Voor grote organisaties, of een organisatie die intern het wiel niet opnieuw wil uitvinden met ZMap, biedt Shodan Enterprise een uitgebreide datalicentie. Hiermee kan men hun gegevens gebruiken voor rechtenvrije commerciële toepassingen zoals fraudepreventie, marktonderzoek en, natuurlijk, het verzamelen van dreigingsinformatie.
Kosten
Men kan gratis aan de slag met Shodan, maar de resultaten zijn beperkt met een gratis account. Geavanceerde filters vereisen een abonnement (USD $49/lifetime). Ontwikkelaars kunnen ook een real-time datastroom krijgen van alles wat ze maar willen. De Shodan Enterprise ‘alles erop en eraan’-suite is op aanvraag beschikbaar voor een onbekend, maar waarschijnlijk substantieel, bedrag.
Bron: CSO online