Блог

Shodan: как защитить устройства от сканирования

Редакция Cyber Media подготовила статью «Shodan: мир открытых портов и уязвимых устройств» . Андрей Шабалин, аналитик по информационной безопасности NGR Softlab, поделился своим экспертным мнением с журналистами, а также порассуждал на тему этой поисковой системы в нашем блоге.

Что такое Shodan?

Shodan — это поисковая система, которая сканирует Интернет в поисках сетевых устройств. Она обнаруживает серверы, камеры, IoT-устройства и другие устройства, доступные из сети.

Как работает Shodan?

Shodan использует методы активного сканирования, отправляя запросы на публичные IP-адреса и анализируя полученные ответы. Эта информация используется для создания базы данных и построения поисковой системы, с помощью которой можно найти устройства с определенными характеристиками.

Какие риски несет система?

Shodan может применяться злоумышленниками. Информация, собранная с помощью этой поисковой системы, может быть использована для организации различных видов кибератак.


Как защитить свои сетевые устройства от сканирования Shodan и другими популярными сканерами?

Поскольку Shodan фактически является очень продвинутым краулером (своего рода поисковым роботом), защита от его сканирования требует больших мер, нежели простая правка файла robots.txt. Вот несколько рекомендаций:

  • Проверяйте инфраструктуру: убедитесь, что вы не используете стандартные учетные данные.
  • Проводите аудит IoT-устройств: проверяйте доступность IoT-устройств из Интернета, отследите открытые порты и активные службы, а также убедитесь, является ли их открытость необходимой мерой или подобный риск все же можно минимизировать.
  • Используйте правила firewall: ограничьте доступ к вашим устройствам с помощью правил межсетевого экрана.

Какие методы Shodan использует для обнаружения и классификации устройств Интернета вещей (IoT)?

Shodan сканирует публичные IP-адреса и на основании полученных ответов определяет тип устройства, операционную систему и ее версию, версию прошивки контроллера и т.д. Она анализирует уникальные признаки, которые содержатся в баннере ответа: при анализе поисковая система может отдельно классифицировать устройства как камеры, производственные контроллеры и т.д. Кроме того, Shodan может определять работающие на устройстве службы и их характеристики, что может дать исследователю дополнительный контекст о наличии актуальных уязвимостей на устройстве.

Российская версия Shodan: есть ли перспективы у этой инициативы?

Некоторое время назад в сообществе обсуждалась идея создания российской версии Shodan. И для начала необходимо четко определить цель и назначение такого инструмента. Ведь он может быть использован как для защиты от кибератак, так и для их организации.

Если российский Shodan будет использоваться для укрепления безопасности Рунета (например, для мониторинга публичной доступности критических ресурсов), то эта инициатива может быть очень полезной. Правда, возникает вопрос о том, кто будет вести мониторинг и анализировать полученные данные.

Другой вариант — использование российского Shodan для проведения разведывательных и контрразведывательных мероприятий. В этом случае ценность информации, полученной с помощью такого инструмента, очевидна, однако должна быть обеспечена ее конфиденциальность.

Важно отметить, что ряд программных средств со схожим функционалом уже используется различными ведомствами, чья деятельность непосредственно связана с обеспечением безопасности. Доступ к подобным инструментам, как правило, является исключительным. Скорее всего, российский Shodan также будет иметь ограниченный доступ и использоваться только уполномоченными органами.
2024-09-30 10:00