Scannings-databasen Shodan gør det legende let at hacke

Illustration: Screendump, www.shodan.io
Shodan er i flere omgange blevet beskyldt for at gå kriminelles ærinder. Det er for nemt at finde sårbarheder med tjenesten, lyder det fra to danske sikkerhedsfolk.

Scanningstjenesten Shodan er et fantastisk værktøj, hvis man vil angribe en virksomhed eller privatperson digitalt og kan desuden kompromittere Tor-noder, der bruger https.

Sådan lyder det fra sikkerhedskonsulenterne Claus Vesthammer fra Improsec og Keld Norman fra Dubex, der begge lever af at angribe virksomheder for at teste deres sikkerhed.

For med minimalt teknisk indblik kan man kvit og frit søge i Shodans massive database efter eksempelvis åbne servere eller webcams koblet på internettet. Man kan se, hvilke versioner de kører, og dermed også, hvilke kendte sårbarheder der kan lirke dem op.

Nemmere bliver det næsten ikke.

»Folk render rundt og laver ulykker med Shodan. Overalt. Det er det perfekte sted at starte som hacker, indtil man selv har inficerede maskiner nok til at scanne internettet,« siger Keld Norman, der er sikkerhedskonsulent i Dubex.

Selv fastholder manden bag tjenesten, at dens hensigter er rene, og at tjenesten hjælper sikkerhedsfolk mere, end den gavner hackere.

»Vi kigger aldrig bag folks firewalls, og vi indtaster aldrig så meget som ét kodeord for at se, om folk stadig bruger de kodeord, de fik med, da de i sin tid købte produktet,« garanterer John Matherly, der stiftede tjenesten som et enkeltmandsprojekt. I dag har Shodan godt ti medarbejdere og mere end 2,5 millioner betalende kunder, herunder flere store virksomheder.

Serverer servere på sølvfade

Men med Shodan kan man også søge på bestemte lande. På den måde kan man med få klik finde eksempelvis private danskeres hjemmeservere, spækket med billeder, videoer og filer, der ikke er beskyttet med kodeord.

På blot få minutter kunne Keld Norman over for Version2 vise, hvordan adskillige private NAS-servere var online og åbne.

»Det er alt for nemt. Det kræver ingenting udover lidt tålmodighed, hvis man kun bruger den gratis version af siden, der viser et begrænset antal hits per side,« forklarer Keld Norman, der ligesom mange andre i hans branche dog har købt adgang til tjenesten.

De danske NAS-servere er praktisk talt lagt op på internettet til frit skue - og Shodan hjælper alle med at finde dem i mylderet. Det gælder i øvrigt også SCADA-systemer, der ofte styrer diverse industrielle systemer.

»Databasen er guldgrube for dem, der vil angribe - om man har fået lov til det eller ej. Vi kan finde ud af enormt meget om en virksomheds sikkerhed ved bare at kigge på Google og Shodan,« fortæller sikkerhedskonsulent Claus Vesthammer fra Improsec.

Både Claus Vesthammer og Keld Norman finder derfor værktøjet lidt for nyttigt.

»I Improsec har vi haft Shodan oppe at vende flere gange, og vi er kommet frem til, at tjenesten klart er mest værdifuld for folk som vil angribe, ikke forsvare systemer. Herunder også os, der penetrationstester, naturligvis,« siger Claus Vesthammer.

Åbner for billig auto-hacking

Keld Norman har desuden vist Version2 eksempler på hacking-bots, der kan samkøre informationerne fra Shodan med for eksempel hacking kits.

På den måde kan man med informationerne fra Shodan, der fortæller, hvor der er sikkerhedshuller, i den ene hånd og hacking kits, der er designet til automatisk at udnytte dem, i den anden fuldstændig automatisere simultan hacking af enormt mange enheder samtidig.

Helt uden selv at skulle andet end at sætte den i gang. Disse bots ligger frit tilgængelige på github, så kombinationen mellem Shodan og en autohacker er yderst tilgængelig.

Sådan virker Shodan

Shodan scanner basalt set internettet for opkoblede enheder og adresser, hvorefter den pinger dem for at indsamle metadata om hver eneste lille opkobling.

Shodan finder på den måde blandt andet ud af, hvilken software-version enheden eller siden kører, samt hvad den giver sig til kende som. Om der er tale om et ip-kamera eller en NAS, for eksempel.

Derefter inddeles diverse fund i overskuelige kategorier, som brugeren af Shodan kan søge i.

Derudover tilbyder Shodan at vise, hvilke kendte sårbarheder hver side er sårbar over for.

Det kan Shodan automatisk finde ud af ved en simpel sammenkørsel af de versioner, enhederne eller siderne tjenesten finder, og et register over, hvilke versioner der er sårbare over for bestemte angreb.

»Det kan være en fordel for sikkerhedsfolk, men også for hackere. Med Shodan kan man målrette angreb med diverse færdigstrikkede kits, der er nemme at bruge, og Shodan peger nærmest på, hvilke hackerkits der kan bruges hvor,« lyder det fra Keld Norman.

Ikke lavet til sikkerhedsfolk

Kategoriseringen alene skaber tvivl om Shodans hensigter, mener han.

»Præsentationen i Shodan er lavet sådan, at man som bruger opfordres til at gå på opdagelse. Det er ikke lavet til at sikkerhedsteste specifikke områder eller selskaber,« siger Keld Norman.

»Alle kan gå ind og gennemgå de forskellige kategorier. Selv i gratisversionen, hvor søgningen dog er begrænset en smule.«

Shodans fremgangsmåde er ikke synderligt avanceret og kan gøres efter af alle med nok computerkraft. Men en af de helt store fordele ved at bruge Shodan i stedet for sit eget botnet eller datacenter er, at man er anonym.

»Shodan pinger hele tiden alle servere. Så når man som forsvarer i et angreb prøver at finde ud af, hvor og hvornår hackerne startede med at se på en, ser man kun Shodan, Shodan og Shodan,« siger Claus Vesthammer.

Keld Norman fortæller også, hvordan han selv kan gøre Shodan kunsten efter, men at det for den helt nye hacker er guld værd med anonymitet og et enormt scannet register, der ikke kræver et botnet at holde opdateret.

Version2 bringer snarligt et interview med grundlæggeren og ejeren af Shodan, John Matherly, hvor han uddyber sine synspunkter.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Man kunne vel også lade Cneter for Cybersikkerhed bruge den til at advare danskerne, eller til at tvinge ISP'er til at spærre for de dårlige servere. Lidt ligesom TDC i mange år spærrede for port 25 til deres kunder, da for mange mindre-kompetente personer havde åbne mail relays.

Det ville være med til at løfte sikkerheden i DK. Ville vel kun kræve en statsansat medarbejder, hvis man fik lavet systemer til at understøtte det.

For naboens NAS er en trussel ikke for ham, men for samfundet, så det skal han ikke have lov til. Men vi er udenfor politkeres fatteevne, der er stor risiko for brok, og forventet tak/gevinst er tæt på nul. Derfor er politikerne bange for at gøre det rigtige for Danmark.

  • 8
  • 1
Hans Nielsen

Hvis man istedet udnyttet at man kan finde de fleste sårbarheder et sted. Så kunne udvikler, administratore og andre jo teste og bruge stedet aktiv.

Så det er vel kun for firmaer, personer, administratorer,... som bare lader det stå til, tt dette er et negativ sted.

Alle andre som tager sikkerhed alvorligt, må vel tage det positivt ?

Og igen, at alt findes samlet.... At det skulle betyde at sikkerheden bliver svækket. Igen kun for tåbelige mennesker.

Det er vel nemmere at beskytte sig mod noget kendt, som er nemt at finde, end mod noget ukendt som kun deles i snæver kredse.
At det ikke er katoriseret som Claus Vesthammer ønsker sig, det er vel kun godt for mennesker som tager dette alvorligt.
Så er der stadigt arbejde for en seriøs sikkerhedsmand :-)

Igen som andre påpejer, det burde jo stå i ens bonus beskrivelse, at man mister ledelse og administratore mister deres job uden bonus og vederlag, hvis man bliver ramt af noget som er kendt af Shodans

Og ja, alle steder som har åbenkendte sikkerhedshuller, burde sortlistet.

Som TDCselv blev, da de IKKE selv have styr på port 25. Noget de først "gad" da alle deres kunder ikke kunne sende mail i en uges tid.

  • 0
  • 1
Tylon Foxx

Jeg er helt enig med Hans Nielsen. Shodan er et godt eksempel på at hvis man ikke gør noget ved det, beder man selv om det. Det er ligesom hvis løver har en illustreret liste over hvor struben sidder på deres byttedyr. Sørger byttetfor at lave en løsning til at beskytte struben, vil byttet goså have bedre chance for at overleve.

Da jeg selv opdagede Shodan for nogle år tilbage, brugte jeg den selv fra dag 1 i mit systemadministrator-arbejde til at lukke huller i firewalls og infrastruktur.

Den gør det ikke kun legende let for hackere at hacke, men også for IT til at lappe hullerne inden hackerne går i dem.

At det er legende let for hackere at bruge Shodan til at hacke, er ikke Shodan's skyld.... det er dem der sidder med de netværk der er listet på Shodan der har ansvaret.

Shodan er et glimrende værktøj, men det kræver at ens admins også kan bruge det.... desuden er Shodan "bare" en fancy portscanner med lidt ekstra funktioner, fx. den afprøver standard passwords som admin/admin.

og sidder du som IT-admin ved målet med kombinationen admin/admin på et stykke udstyr er det IMO fyringsgrund :)

  • 5
  • 0
Simon Lodal

Hvis nogen stadig har åbne SCADA systemer koblet direkte på nettet burde de fyres og straffes ved ret.

Det er i hvert fald ikke shodan's skyld at de findes.

De kriminelle/stater som virkelig vil, skal nok finde de SCADA systemer alligevel.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize