Редакция Cyber Media подготовила статью «Shodan: мир открытых портов и уязвимых устройств» . Андрей Шабалин, аналитик по информационной безопасности NGR Softlab, поделился своим экспертным мнением с журналистами, а также порассуждал на тему этой поисковой системы в нашем блоге.
Что такое Shodan?
Shodan — это поисковая система, которая сканирует Интернет в поисках сетевых устройств. Она обнаруживает серверы, камеры, IoT-устройства и другие устройства, доступные из сети.
Как работает Shodan?
Shodan использует методы активного сканирования, отправляя запросы на публичные IP-адреса и анализируя полученные ответы. Эта информация используется для создания базы данных и построения поисковой системы, с помощью которой можно найти устройства с определенными характеристиками.
Какие риски несет система?
Shodan может применяться злоумышленниками. Информация, собранная с помощью этой поисковой системы, может быть использована для организации различных видов кибератак.
Как защитить свои сетевые устройства от сканирования Shodan и другими популярными сканерами?
Поскольку Shodan фактически является очень продвинутым краулером (своего рода поисковым роботом), защита от его сканирования требует больших мер, нежели простая правка файла robots.txt. Вот несколько рекомендаций:
Какие методы Shodan использует для обнаружения и классификации устройств Интернета вещей (IoT)?
Shodan сканирует публичные IP-адреса и на основании полученных ответов определяет тип устройства, операционную систему и ее версию, версию прошивки контроллера и т.д. Она анализирует уникальные признаки, которые содержатся в баннере ответа: при анализе поисковая система может отдельно классифицировать устройства как камеры, производственные контроллеры и т.д. Кроме того, Shodan может определять работающие на устройстве службы и их характеристики, что может дать исследователю дополнительный контекст о наличии актуальных уязвимостей на устройстве.
Российская версия Shodan: есть ли перспективы у этой инициативы?
Некоторое время назад в сообществе обсуждалась идея создания российской версии Shodan. И для начала необходимо четко определить цель и назначение такого инструмента. Ведь он может быть использован как для защиты от кибератак, так и для их организации.
Если российский Shodan будет использоваться для укрепления безопасности Рунета (например, для мониторинга публичной доступности критических ресурсов), то эта инициатива может быть очень полезной. Правда, возникает вопрос о том, кто будет вести мониторинг и анализировать полученные данные.
Другой вариант — использование российского Shodan для проведения разведывательных и контрразведывательных мероприятий. В этом случае ценность информации, полученной с помощью такого инструмента, очевидна, однако должна быть обеспечена ее конфиденциальность.
Важно отметить, что ряд программных средств со схожим функционалом уже используется различными ведомствами, чья деятельность непосредственно связана с обеспечением безопасности. Доступ к подобным инструментам, как правило, является исключительным. Скорее всего, российский Shodan также будет иметь ограниченный доступ и использоваться только уполномоченными органами.
Что такое Shodan?
Shodan — это поисковая система, которая сканирует Интернет в поисках сетевых устройств. Она обнаруживает серверы, камеры, IoT-устройства и другие устройства, доступные из сети.
Как работает Shodan?
Shodan использует методы активного сканирования, отправляя запросы на публичные IP-адреса и анализируя полученные ответы. Эта информация используется для создания базы данных и построения поисковой системы, с помощью которой можно найти устройства с определенными характеристиками.
Какие риски несет система?
Shodan может применяться злоумышленниками. Информация, собранная с помощью этой поисковой системы, может быть использована для организации различных видов кибератак.
Как защитить свои сетевые устройства от сканирования Shodan и другими популярными сканерами?
Поскольку Shodan фактически является очень продвинутым краулером (своего рода поисковым роботом), защита от его сканирования требует больших мер, нежели простая правка файла robots.txt. Вот несколько рекомендаций:
- Проверяйте инфраструктуру: убедитесь, что вы не используете стандартные учетные данные.
- Проводите аудит IoT-устройств: проверяйте доступность IoT-устройств из Интернета, отследите открытые порты и активные службы, а также убедитесь, является ли их открытость необходимой мерой или подобный риск все же можно минимизировать.
- Используйте правила firewall: ограничьте доступ к вашим устройствам с помощью правил межсетевого экрана.
Какие методы Shodan использует для обнаружения и классификации устройств Интернета вещей (IoT)?
Shodan сканирует публичные IP-адреса и на основании полученных ответов определяет тип устройства, операционную систему и ее версию, версию прошивки контроллера и т.д. Она анализирует уникальные признаки, которые содержатся в баннере ответа: при анализе поисковая система может отдельно классифицировать устройства как камеры, производственные контроллеры и т.д. Кроме того, Shodan может определять работающие на устройстве службы и их характеристики, что может дать исследователю дополнительный контекст о наличии актуальных уязвимостей на устройстве.
Российская версия Shodan: есть ли перспективы у этой инициативы?
Некоторое время назад в сообществе обсуждалась идея создания российской версии Shodan. И для начала необходимо четко определить цель и назначение такого инструмента. Ведь он может быть использован как для защиты от кибератак, так и для их организации.
Если российский Shodan будет использоваться для укрепления безопасности Рунета (например, для мониторинга публичной доступности критических ресурсов), то эта инициатива может быть очень полезной. Правда, возникает вопрос о том, кто будет вести мониторинг и анализировать полученные данные.
Другой вариант — использование российского Shodan для проведения разведывательных и контрразведывательных мероприятий. В этом случае ценность информации, полученной с помощью такого инструмента, очевидна, однако должна быть обеспечена ее конфиденциальность.
Важно отметить, что ряд программных средств со схожим функционалом уже используется различными ведомствами, чья деятельность непосредственно связана с обеспечением безопасности. Доступ к подобным инструментам, как правило, является исключительным. Скорее всего, российский Shodan также будет иметь ограниченный доступ и использоваться только уполномоченными органами.