Quickstart Shodan: O que é e como funciona

Classificado como o melhor mecanismo de busca para hackers, o Shodan foi chamado de o mecanismo de busca mais assustador da internet, em 2013. Embora o Shodan seja semelhante ao Google, pois ambos são mecanismos de pesquisa que usam rastreadores, ele rastreia toda a Internet para mapear e indexar dispositivos de IoT conectados à Internet. Para colocar isso em perspectiva, os rastreadores do Google indexam apenas uma parte da internet que é acessível ao público, a World Wide Web. E embora o Shodan seja famoso por ser fundamental na invasão de blackhat, nas mãos certas, esse mecanismo de busca é eficaz no processo de avaliação de vulnerabilidades e no teste aberto de dispositivos de IoT.

Neste artigo, nos aprofundamos no Shodan e em seu funcionamento e discutimos os recursos que tornam esse mecanismo de pesquisa útil para testadores de caneta e caçadores de recompensas por bugs.

O que é Shodan?

Conforme mencionado anteriormente, o Shodan (Sentient Hyper-Optimized Data Access Network) é um mecanismo de busca para dispositivos conectados à Internet. Projetado e desenvolvido pelo desenvolvedor web John Matherly, esse mecanismo de pesquisa rastreia toda a Internet, analisa os banners de serviço dos dispositivos de IoT e os indexa para pesquisas futuras. Ele mapeia e relata qualquer dispositivo, como webcams, dispositivos inteligentes, dispositivos médicos, semáforos, sistemas de dispositivos C2, etc., que esteja conectado à Internet e não seja seguro.

Os banners de serviço dos dispositivos de IoT contêm metadados relevantes para os dispositivos, como:

• Geolocalização
• Marca e modelo
• Endereço IP
• Nome de usuário e senha padrão
• Versão do software

Como funciona o Shodan?

Ao escanear toda a Internet, o mecanismo de busca envia consultas aos dispositivos IoT conectados para obter informações publicamente disponíveis relacionadas a eles. Os servidores desses dispositivos retornam seus banners de serviço ao usuário. O Shodan também suporta consultas personalizadas usando filtros como cidade, país, nome do host, sistema operacional etc. para descobrir os detalhes correspondentes.

O básico

Semelhante a outros mecanismos de pesquisa, o Shodan também utiliza uma caixa de pesquisa, na qual os usuários podem inserir termos de pesquisa que aderem à sintaxe de consulta de pesquisa. Além disso, os resultados da pesquisa podem ser reduzidos para serem o mais precisos possível, usando aspas e outros operadores semelhantes.

Por exemplo, operadores booleanos + ou — podem ser usados para incluir ou excluir termos na consulta.

Filtros Shodan

Esse mecanismo de pesquisa pesquisa apenas a propriedade de dados nos banners dos dispositivos de IoT. Portanto, ele emprega filtros de pesquisa para obter resultados refinados. Aqui estão alguns filtros de pesquisa básicos você pode usar:

• cidade: encontre dispositivos em uma cidade específica
• país: encontre dispositivos em um determinado país
• geo: você pode passar coordenadas
• nome do host: encontre valores que correspondam ao nome do host
• net: pesquisa com base em um IP ou CIDR /x
• os: pesquisa baseada no sistema operacional
• porta: encontre portas específicas que estão abertas
• antes/depois: encontre resultados dentro de um prazo

Exemplos de pesquisa:

org:” Amazon” ssl:” alvo”

ssl:” alvo”

html:” Painel Jenkins”

http.component:” jenkins”

http.title:” 302 Encontrado”

http.component:” java”

ssl.cert.subject.cn:” destino”

nome do host:” alvo”

http://favicon.hash: -335242539

html:” © 2020 target”

produto: porta elástica: 9200

Monitoramento contínuo

Esse mecanismo de busca de IoT pode ser usado para monitorar suas redes ou produtos continuamente, para ajudá-lo a se manter informado sobre quaisquer ameaças a eles. Para isso, você pode usar a Interface de Linha de Comando (CLI) Shodan.

• Use o comando a seguir para configurar um alerta para notificações relacionadas ao seu intervalo de IP:

alerta shodan cria “Bug-Bounty-Target” 198.172.0.0/24

• O comando a seguir permite criar um gatilho para enviar o alerta:

gatilhos de alerta de shodan

• Quando o Shodan detectar um malware ou um novo CVE contra seu produto, receba uma notificação usando o seguinte:

O alerta shodan ativa o malware {ALERTID}

Automação

Cada novo truque se resume à automação nos dias de hoje. Felizmente, com esse mecanismo de pesquisa, você pode automatizar várias tarefas que estão dentro de sua gama de atividades. Existem três formas principais de automatizar esse mecanismo de pesquisa:

• API Shodan
• Módulo Shodan Python
• CLI Shodan

Confira esta ferramenta útil que torna todo o processo mais fácil e sem complicações: m4ll0k/Shodanfy.py

Conclusão

Embora pareça bastante perverso, profissionais de segurança, pesquisadores e até agências governamentais confiam na Shodan para alertá-los sobre dispositivos de IoT não gerenciados que possam apresentar vulnerabilidades. Esses dispositivos podem potencialmente expor dados críticos pertencentes a uma empresa, organização ou indivíduo a ataques. Esse mecanismo de pesquisa ajuda a evitar isso. Seguindo os métodos prescritos acima, você também pode explorar o Shodan e monitorar e proteger sua rede ou produto contra exploração.