Manden bag fænomenet Shodan: Jeg havde ikke troet, det ville blive så stort

Illustration: Shodan
Da John Matherly først viste sin idé frem blev han blandt andre hånet af Microsoft. Nu har hans kontroversielle tjeneste 2,5 millioner brugere, og Matherly fastholder, at Shodans hensigter er gode.

Med Shodan kan man som bruger hurtigt slå op i internettets afkroge og blandt andet finde ud af, hvilke softwareversioner diverse onlinetjeneste kører.

Det kan man bruge til at sikre sig, at ens tjenester kører den seneste version, men eventuelle hackere kan også bruge Shodan til at holde øje med, hvilke tjenester der er opdaterede og dermed sikre.

Og på den måde målrette angreb mod de tjenester, der ikke er beskyttede.

Bag den populære og, ifølge to danske sikkerhedsforskere lidt for effektive, tjeneste er schweizer-amerikaneren John Matherly, der startede det succesfulde projekt op selv.

»Folk har altid spurgt mig, om ikke jeg gik de kriminelles ærinde. Men det har aldrig været mit udgangspunkt,« siger John Matherly til Version2 og fortæller, at Shodan startede med udgangspunkt i Business Intelligence, ikke sikkerhed.

Læs også: Scannings-databasen Shodan gør det legende let at hacke

Startede ikke som sikkerhedsværktøj

Idéen om at scanne internettets opkoblede enheder og sider for metadata og indeksere dem er ikke ny. Shodan er ikke alene på markedet, og var heller ikke først.

John Matherly, manden der byggede Shodan og som stadig står i spidsen for tjenesten Illustration: Twitter

Men Shodan er størst nu, og sikkerhedsfolk og andre ‘sikkerheds-interesserede’ bruger flittigt sitet shodan.io, der definerer sig selv som en ‘søgemaskine baseret på datamining’.

Tjenesten skulle hjælpe virksomheder med at finde alle deres opkoblede enheder, skabe et overblik.

»Jeg vidste, at store virksomheder som Microsoft betalte en del for det her på eksisterende tjenester som Netcraft, som dengang kun kiggede på netservere og desuden havde lukkede dataset,« siger John Matherly.

Hånet af Microsoft

Derfor besluttede han sig for at brede søgningen ud. Jo flere IP’er jo bedre. Shodan skulle ikke kun holde sig til www, men sweepe hele internettet.

Og så ville John Matherly åbne delvist op for de enorme dataset, en sådan scanning afføder. Kvit og frit.

»Men jeg er ikke en særligt god sælger. Så da jeg første gang pitchede mit koncept på en Black Hat-konference, blev jeg til grin. Microsoft grinede af mig, og troede ikke, det var muligt at samle alle de her metadata på en meningsfuld måde« siger John Matherly med en vis bitterhed i stemmen.

»Nu er de mine kunder.«

Et tweet ændrede alt

Det var især ét tweet, der gjorde forskellen for John Matherly, der dengang havde sølle 30 følgere på Twitter. Han skriver til sin lille skare af følgere, at en prototype på Shodan er klar til brug.
Og så går det ellers stærkt.

»Flere prominente sikkerhedsforskere bruger Shodan til at finde bunkevis af sårbarheder,« siger John Matherly og beskriver, hvordan interessen for hans projekt eksploderede indtil det nåede det niveau, det har i dag.

De 30 følgere er blevet til mere end 20.000 og ifølge Shodans egne tal abonnerer 56% af de såkaldte Fortune 100-virksomheder på selskabets tjenester for at holde styr på deres sikkerhed. Shodan har mere end 2,5 millioner unikke brugere.

»Det viser bare at jeg havde ret, da jeg i lang tid uden interesse for Shodan gjorde det rigtige ved at holde fast i in idé og tro på den.

Et tveægget sværd

Shodan er ikke alene på markedet.

Blandt Shodans konkurrenter er blandt andre censys.io, der ifølge it-sikekrhedskonsulenten Keld Norman fra Dubex er en smule mere analytisk.

Derfor er Shodan heller ikke alene om at arbejde i det etiske grænseland der opstår, når man scanner internettet og publicerer informationer, der på mange måder er definerende for sikkerheden på sites og devices verden over.

»Folk render rundt og laver ulykker med Shodan. Overalt. Det er det perfekte sted at starte som hacker, indtil man selv har inficerede maskiner nok til at scanne internettet,« siger Keld Norman, der i denne artikel kritiserer sitet for at tydeliggøre it-usikkerheder verden over.

Sammen med sikkerhedskonsulenten Claus Vesthammer fra Improsec kritiserer han Shodan for at gøre det legende let for hackere at spotte sårbarheder i systemer.

Fastholder uskyld

»Det er noget pjat, at Shodan skulle hjælpe kriminelle. Det vi gør er at vi hjælper virksomheder med at forstå, hvad der er forbundet til internettet hos dem,« siger John Matherly og giver et eksempel.

»Hvordan skulle en stor virksomhed finde ud af, om en medarbejder har sat en åben server op ved en fejl? Sådan noget ville Shodan opdage på et splitsekund.«

John Matherly fortæller desuden, at det efter den verdensomspændende sårbarhed Heartbleed var nemt med Shodan at se om ens devices var opdateret og patchet for sårbarheden eller ej.

»Vi kigger aldrig bag folks firewalls, og vi indtaster aldrig så meget som ét kodeord for at se, om folk stadig bruger de kodeord, de fik med da de i sin tid købte produktet,« garanterer John Matherly.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Larsen

Politiets hastighedskontrol er også et etisk grænseland. Her idømmes bøder længe før der er nogen risiko og skader. Og det baseres på helt uforståelige regler. 60 km på en motorvej ved København med tre baner og midterrabat. Grænse på en motortrafikvej med kun en bane og et rækværk i midten (ingen midterrabat) og en grænse på 100 km - helt uden sammenhæng er det.

  • 3
  • 16
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize