Shodan: Vysokým školám dochází toner!

Ano, je to tak. Podfinancované vysoké školství a vysoká administrativní zátěž způsobuje, že akademickým institucím zřejmě pomalu dochází tonery. Ale dost legrace, jdeme si hrát se Shodanem. :-)

Nástroj Shodan.io jsem měl v hledáčku už dávno. Nyní jsem využil výhodné nabídky a toho, že jsem po škole zůstal půlkou nohy na akademické půdě, a zažádal jsem si o akademickou licenci, abych si mohl zkusit něco nového.

Prohledáváme IoT, elektrárny i nemocnice

Shodan je nástroj, který skenuje IP adresy a jejich různé porty a uchovává si hlavičky odpovědí. V těch lze pak snadno vyhledávat. Na rozdíl od obyčejného Googlu tak nehledá weby, ale rovnou všechna zařízení, která jsou připojena na internet. Tedy i tiskárny, přístroje, webkamery (jo, i domácí, bezpečnostní, včetně náhledů!), routery a všechno možné, co naslouchá na nějakém otevřeném portu. Hodí se to, když chcete dělat nějaké bezpečnostní skeny, dolovat různé statistiky využití nástrojů na webu (Apache, nginx, IIS…), podíl připojených zařízení od různých firem a tak.

Už jsem četl pár zajímavých článků o tom, jak tam lidi dokonce našli nějaké anesteziologické přístroje v nemocnicích, rentgeny, cétéčka a podobně (viz článek Jak jsem z auta hacknul nemocnici a dostal se k informacím o pacientech na Lupě nebo článek Bezpečnost dat ve zdravotnictví: většina úniků se zjistí pozdě na Rootu). Do toho se ale pouštět nebudu, spokojím se s málem. Navíc to v ČR asi ani nebývá, to se týká high-tech organizací v USA.

Důležité je, že výsledky, které crawler Shodanu uchovává, jsou otagované a otestované na nejrůznější zranitelnosti. Můžete si tak zkontrolovat sami sebe a svou síť, jak jste na tom. Databáze se dá snadno prohledávat pomocí různých direktiv a klíčových slov.

Jdeme na to: nemocnice

Na začátku jsem, coby lékař, samozřejmě zkusil prohledat nemocnice. Výběr jsem nakonec zúžil na české a i zde jsem dostal zajímavé výsledky. Např. jedna IP adresa vrací hlavičku:

HTTP/1.1 401 Authorization Required
Date: Thu, 22 Nov 2018 21:34:06 GMT
Server: Apache/2.2.27 (FreeBSD) PHP/5.3.13 with Suhosin-Patch mod_ssl/2.2.27 OpenSSL/1.0.1u-freebsd DAV/2
WWW-Authenticate: Basic realm="--- Jako uzivatelske jmeno zadejte ***** a jako heslo uvedte rok zalozeni nemocnice, ktery muzete nalezt na *****. S pozdravem ***** ---"
Content-Length: 401
Content-Type: text/html; charset=iso-8859-1

No, trochu jsem to raději zahvězdičkoval. Člověk se víceméně nedostane k ničemu zásadnímu, i poté je nutná další autorizace, ale je to pěkná ukázka, že i obyčejné hlavičky mohou obsahovat zajímavé informace.

Pokročilé vyhledávání

Shodan samozřejmě umožňuje pokročilé vyhledávání – podle místa (stát, město, souřadnice), podle organizace, podle portu, podle aplikace či systému, který na dané IP adrese a daném portu sedí. A umožňuje také vyhledávání potenciálně zranitelných zařízení.

Můžu tak vyhledat zařízení, která potenciálně mohou obsahovat zranitelnost typu Heartbleed:

country:CZ vuln:CVE-2014-0160

Výsledkem je téměř 700 záznamů z České republiky.

Ale slíbil jsem tonery, pojďme na ně.

Chybějící tonery

Vyhledávací dotaz je jednoduchý:

toner low country:cz

Chtěl jsem si však vyzkoušet i command-line tool Shodanu, tak jsem si jej nainstaloval a spustil příkaz:

$ shodan search --fields ip_str,port,org,hostnames toner low country:CZ

Vlastně tím vyhledávám „toner low country:CZ“ a chci vidět IP adresu, port, jméno organizace a případný hostname. Výsledek je zde:

158.194.*.*  515     Univerzita Palackeho v Olomouci                  *.upol.cz
158.194.*.*  515     Univerzita Palackeho v Olomouci
160.217.*.*  515     University of South Bohemia in Ceske Budejovice  *.ef.jcu.cz
158.194.*.*  515     Univerzita Palackeho v Olomouci
158.194.*.*  515     Univerzita Palackeho v Olomouci
158.194.*.*  515     Univerzita Palackeho v Olomouci
158.194.*.*  515     Univerzita Palackeho v Olomouci
158.194.*.*  515     Univerzita Palackeho v Olomouci
158.194.*.*  515     Univerzita Palackeho v Olomouci
195.178.*.*  515     Institute of Biophysics, Academy of Sciences     *.ibp.cz
158.194.*.*  515     Univerzita Palackeho v Olomouci
46.227.*.*   9100    Dial Telecom, a.s.
80.92.*.*    9100    LAM plus s.r.o.                                  obecniuradklokocna.lam.cz
158.194.*.*  515     Univerzita Palackeho v Olomouci                  *.upol.cz
46.16.*.*    9100    MaRcom-Eko s.r.o.                                *.marcomnet.cz
89.29.*.*    9100    PODA a.s.
158.194.*.*  515     Univerzita Palackeho v Olomouci

Ha… a je to. Trochu jsem to taky zahvězdičkoval. Ale vidíte to? Dvě univerzity a Akademie věd dominují. :-)

Vyzkoušejte to!

Je to jen rychlý blogový příspěvek, nejlepší bude, když si to zkusíte sami. Je možnost používat nástroje bez registrace, některé funkce jsou k dispozici registrovaným uživatelům zdarma. Pokročilé hledání a zobrazování (mapy, náhledy z webkamer a RDP přihlašovacích obrazovek, obrázky, command-line nástroj apod.) můžete normálně získat za hromady dolarů – doživotně. Ale v rámci Black Friday je do pondělka doživotní upgrade účtu jen za $5 (viz zprávička). Anebo využijte akademickou licenci, pokud máte možnost.

Zajímavé odkazy