En esta época, los dispositivos de IoT están en todas partes. No es raro encontrar un televisor inteligente, un router WiFi o incluso una cámara web en el garaje, sin mencionar todos los demás dispositivos conectados a Internet que usamos todos los días.
Dada la creciente necesidad de acceso a redes públicas / remotas con dispositivos IoT, vemos una lista cada vez mayor de problemas de seguridad. Estos incluyen dispositivos que no están configurados correctamente o que simplemente son demasiado antiguos, con fallos de seguridad en su firmware. ¿Ves esa cámara de seguridad que lleva en la esquina desde 2013? Probablemente también esté en Internet, con un fallo de seguridad importante que permite que cualquiera se conecte y vigile tu calle.
Se estima que hay unos 31 millones de dispositivos de IoT actualmente en uso, por lo que, aunque solo el 1% de esos dispositivos tuviera fallos de seguridad, tendríamos la asombrosa cantidad de 260 millones de dispositivos que pueden estar comprometidos.
Los investigadores de seguridad siempre están atentos a estos dispositivos, para encontrar agujeros de seguridad antes de que lo hagan los malos. Pero buscar 260 millones de dispositivos en Internet es como buscar una aguja en un pajar.
Escanear a través de 4,294,967,296 direcciones IPv4 podría ser posible, pero buscar dispositivos que estén operativos solo en el espacio IPv6 es casi imposible de escanear en un período de tiempo razonable, especialmente para una sola persona que se enfrenta a 340,282,366,920,938,463,463,374,607,431,768,211,456 direcciones IPv6. Pero espera … ¡tenemos a Shodan!
Indice
¿Qué es Shodan?
En pocas palabras, Shodan es un motor de búsqueda para dispositivos IoT. Shodan rastrea Internet todo el día y la noche en busca de dispositivos de IoT y los indexa para facilitar su consulta mediante una simple consulta de búsqueda. Con la información de este dispositivo de IoT, podemos descubrir muchas cosas sobre los dispositivos públicos conectados a Internet en nuestros hogares, oficinas y más allá.
La información del dispositivo IoT disponible en Shodan abre varias posibilidades, que incluyen:
Investigación de seguridad
Varios dispositivos de IoT tienen sus versiones de firmware enumeradas directamente en la página de inicio de sesión.
Esto significa que los investigadores pueden encontrar dispositivos que ejecutan versiones específicas de firmware con vulnerabilidades conocidas y posiblemente contactar a los ISP para informarles de dichas vulnerabilidades existentes en sus redes.
Ventas / Investigación de mercados
Los dispositivos IoT también muestran sus marcas y números de modelo directamente en las páginas de inicio de sesión y en los encabezados HTTP, lo que abre temas de investigación de marketing y ventas, como
- ¿Cuántas personas usan un enrutador WiFi de la marca X?
- ¿Cuántas personas usan una televisión inteligente de X año?
Dicha información brinda al personal de ventas / marketing ideas para dirigirse a determinadas regiones con ofertas, para que compren dispositivos más nuevos.
Investigación del consumidor
Gerentes de TI, equipos rojos y azules, y SOC general equipos de las empresas pueden buscar los dispositivos que están a punto de comprar para determinar si dichos dispositivos tienen problemas de seguridad conocidos (por ejemplo, nuevas implementaciones de cámaras de seguridad a gran escala en el campus).
Los usuarios pueden buscar sus propias direcciones IP para ver si algún dispositivo de su hogar también figura en Shodan. Esto actúa como una herramienta de seguridad para encontrar dispositivos domésticos que no necesitan estar en el espacio público de Internet.
Cómo obtener datos de inteligencia con Shodan
Usar Shodan para recopilar datos de inteligencia es muy fácil y sencillo. Para comenzar, dirígete al sitio web de Shodan, ubicado en https://www.shodan.io/
Una vez que estamos en Shodan, vemos dos opciones principales, primero un cuadro de búsqueda y en segundo lugar una opción de exploración. Estos permiten una multitud de posibilidades para encontrar datos de inteligencia para dispositivos IoT.
Uso de la función «Buscar»
Ya sea que estemos buscando una marca o modelo de dispositivo IoT específico, o dispositivos en una dirección IP específica, podemos utilizar la opción Buscar ingresando un nombre de dispositivo, tipo de dispositivo (cámaras web, enrutadores, etc.), dirección IP o simplemente sobre cualquier cosa que ayude a identificar el tipo de dispositivo que estamos buscando. Shodan luego localizará cualquier dispositivo relevante encontrado con la entrada de datos y mostrará el resultado.
Uso de la función «Explorar»
Si eres nuevo en Shodan y solo estás buscando algo interesante, usar la opción Explorar es tu mejor opción.
Esta opción permite buscar dispositivos, categorías de dispositivos y listas de dispositivos compartidos recientemente que han sido recopilados por otros usuarios de Shodan. Esto incluye casi todos los dispositivos populares basados en IoT en los que uno puede pensar: cámaras web, routers, televisores inteligentes y mucho más, categorizados y listados previamente, listos para que los explores.
Como somos nuevos en Shodan, procederemos a buscar datos de inteligencia de IoT, que pueden generar una buena cantidad de información.
Al hacer clic en la opción Explorar, encontramos tres secciones:
Categorías Destacadas
Las listas de categorías destacadas contienen los dispositivos más comúnmente buscados, en categorías que incluyen sistemas de control industrial, cámaras web, enrutadores, televisores inteligentes y similares. La agrupación de elementos en tipos de dispositivos específicos permite agilizar el proceso de recopilación de información.
Más votados
Las listas de los más votados incluyen algunos de los dispositivos más populares categorizados en una lista.
Esto nos brinda una excelente cantidad de dispositivos para recopilar datos de inteligencia de inmediato, sin tener que buscar modelos de dispositivos de IoT, fabricantes o información de red / dirección IP para decirnos cuáles podrían ser estos dispositivos de IoT.
Compartido recientemente
La lista de dispositivos compartidos recientemente contiene una lista actualizada con frecuencia de dispositivos de IoT «de moda». Esta lista presenta dispositivos de IoT que se han descubierto recientemente o dispositivos que son populares y se comparten en Shodan. Mantener un ojo en esta lista puede ayudar a encontrar dispositivos que acaban de ser descubiertos por otros investigadores de seguridad en tiempo real.
Esta lista es vital para muchos investigadores, ya que es dinámica y se actualiza constantemente. Cada vez que se comparte un dispositivo, aparece en esta lista, y cuanto más a menudo se comparte un dispositivo, más a menudo aparece en la lista, lo que brinda a los investigadores de seguridad una indicación clara sobre los dispositivos que se están examinando para detectar vulnerabilidades de seguridad o dispositivos que pueden han sido comprometidos recientemente.
Dado que esta es la primera vez que exploramos Shodan, echemos un vistazo a la sección «Más votados».
En el momento de escribir este artículo, la lista de dispositivos más votada es «Webcam», por lo que comenzaremos allí.
En esta lista, vemos un montón de cámaras web conectadas a la Internet pública, así como sus ubicaciones físicas, direcciones IP, los ISP a los que están conectados y algunas de las tecnologías web que utilizan.
Dentro de la información que nos proporciona sobre el dispositivo está:
Ubicación
La ubicación donde se coloca físicamente el dispositivo está disponible de inmediato, rastreando la ubicación de la dirección IP pública del dispositivo. Esto también nos da la siguiente información:
- Ciudad: la ciudad donde se encuentra este dispositivo
- País: el país donde se encuentra este dispositivo
- Organización: indica si el dispositivo pertenece a una empresa o se utiliza en casa, por ejemplo, si vemos el nombre de un ISP residencial en la lista de la organización ISP, podemos asumir que el dispositivo está en un complejo residencial o residencial. Si vemos el nombre de una empresa en la lista de la organización ISP, podemos asumir que el dispositivo se encuentra en una oficina / complejo industrial
- ISP: el proveedor de servicios de Internet al que pertenece esta dirección IP y que conecta el dispositivo a la Internet pública.
- Última actualización: indica cuándo se vio por última vez este dispositivo en la Internet pública y cuándo Shodan escaneó e indexó por última vez el dispositivo en su base de datos.
- Nombre de host: si algún nombre personalizado o nombre de dominio está asociado con este dispositivo, el nombre del modelo o fabricante del dispositivo se puede encontrar con frecuencia aquí
- ASN: el número de sistema autónomo asociado con este ISP
Puertos expuestos
Los puertos de red abiertos en este dispositivo también se enumeran aquí. Los puertos abiertos se pueden asignar a servicios comunes, lo que permite encontrar más vulnerabilidades. Por ejemplo:
- Los puertos 80 y 443 son comúnmente utilizados por servidores web como Apache y Nginx, que se pueden rastrear para encontrar la versión del servidor web que se ejecuta en el dispositivo, para encontrar problemas de seguridad allí.
- El puerto 22 o 23 que aparece abierto indica que el acceso SSH y / o Telnet está disponible para el dispositivo, lo que permite la posibilidad de más problemas de seguridad (como contraseñas débiles, etc.).
Servicios que se ejecutan en el dispositivo
Shodan traza los números de puerto y los servicios de uso común. Por ejemplo:
- El puerto 23 está asignado a Telnet
- El puerto 80 está asignado a HTTP
Esta información ayuda a ahorrar tiempo cuando se trata de encontrar puertos abiertos y servicios que se ejecutan en un dispositivo, ya que el escaneo de puertos y el mapeo de servicios para un dispositivo puede llevar un tiempo con varios dispositivos para escanear. Shodan tiene esta información disponible de inmediato y para todos los dispositivos.
Tecnologías web en uso
Shodan enumera todos los frameworks web, bibliotecas y aplicaciones instaladas / utilizadas por este dispositivo. Esto permite investigar problemas de seguridad a nivel de aplicación.
Por ejemplo, un posible problema de seguridad en la interfaz de administración del dispositivo debido a un agujero de seguridad que se encuentra en el marco web utilizado para construir la interfaz de administración.
Vulnerabilidades encontradas
Esta es la información más vital que estamos buscando, que se encuentra al observar la versión de software que se ejecuta en el dispositivo (en la sección «Servicios»). Esto nos dice casi cualquier cosa y todo a lo que el dispositivo es vulnerable.
Shodan también asigna las vulnerabilidades encontradas a un CVE que ayuda a encontrar más información mediante la búsqueda de soluciones, posibles parches disponibles o notas en los registros de cambios de actualización del firmware del dispositivo.
Filtros Shodan
Google, Bing y muchos otros motores de búsqueda ofrecen filtros y comandos. Shodan funciona de la misma manera, utilizando búsquedas de un solo término como:
- geo: se utiliza para especificar las coordenadas de geolocalización
- país: para encontrar dispositivos en cualquier país
- ciudad: para encontrar dispositivos IoT en cualquier ciudad
- nombre de host: para encontrar nombres de host que coincidan con este valor
- os: para búsquedas basadas en el sistema operativo
- puerto: utilizado para revelar puertos abiertos expuestos
- net: realiza búsquedas basadas en IP o CIDR
- antes / después: explora los resultados dentro de un período de tiempo específico.
Uso de Shodan para mejorar la seguridad empresarial
Detección de vulnerabilidades
Shodan es un recurso principal para la evaluación de vulnerabilidades y las pruebas de penetración debido a sus capacidades de captura de pancartas. Para profundizar en las posibles vulnerabilidades en su red de puntos finales, puedes aprovechar los diversos filtros que ofrece Shodan.
Con estos, puedes buscar fácilmente en tu red puertos abiertos, credenciales predeterminadas y conexiones en línea innecesarias que hacen que tu red sea vulnerable a los ataques.
Concienciación sobre ciberseguridad
Pero Shodan no se trata solo de buscar puntos débiles digitales en tu red. Cuando los investigadores de seguridad descubren exploits nuevos y sofisticados, Shodan permite buscar esas vulnerabilidades conocidas en tus dispositivos conectados para asegurarte de que cualquier paso que hayas tomado para la corrección sea 100% efectivo.
API de Shodan
Si deseas aprovechar Shodan al máximo, debes ir más allá de la interfaz web. La API de Shodan te permite solicitar y recibir datos del motor de búsqueda directamente, automatizando algunas de tus operaciones de seguridad. A medida que IoT continúa escalando exponencialmente, deberás automatizar tantas operaciones de VA / PT como sea posible para mantenerte al día con las crecientes demandas de seguridad.
¿Qué otras características ofrece Shodan?
Dentro de las características adicionales ofrecidas por Shodan, destacamos las siguientes:
Mapeo de resultados
En algunos casos, una imagen es más fácil de leer y brinda más información que el texto sin formato. Puedes ver cientos de resultados en una pantalla y diferenciar cada uno por ubicación de un vistazo con la función Mapas de Shodan.
Seguimiento de exploits
Shodan recopila varias vulnerabilidades y exploits digitales de fuentes como Exploit DB, CVE y Metasploit y las proporciona a través de una interfaz de búsqueda web.
Informes de estado
Para cualquier consulta de búsqueda, puedes tomar una instantánea de cómo se distribuyen los resultados de la búsqueda en línea en ese momento. Los informes gratuitos que genera Shodan proporcionan una descripción general de los resultados mostrados a través de gráficos y tablas detallados.
Búsquedas generadas por la comunidad
¿No estás seguro de lo que estás buscando o por dónde empezar? Tu primera parada al usar Shodan por primera vez probablemente debería ser el directorio de búsquedas compartido. Aquí, los usuarios pueden marcar y compartir determinadas consultas de búsqueda que les resulten interesantes o útiles. Ten en cuenta que cualquier búsqueda que compartas estará disponible públicamente.
Integraciones
También puedes usar Shodan junto con otras herramientas externas, que incluyen:
- Complementos de navegador web compatibles con Chrome y Firefox.
- Maltego, una aplicación de código abierto para explorar grandes cantidades de datos.
- Interfaz de línea de comandos, empaquetada con el propio conjunto de comandos de Shodan.
Legalidad de Shodan
Ahora uno puede preguntarse: con toda esta información disponible con solo unos pocos clics, ¿es Shodan legal? La respuesta es simplemente: ¡sí!
Shodan es un agregador de datos. En un lenguaje sencillo, Shodan reúne información que se puede encontrar ejecutando algunas herramientas diferentes. Por ejemplo, ejecutar cualquier comando de Nmap en una dirección IP pública te mostrará los puertos abiertos / filtrados en ese dispositivo.
El uso de otras herramientas de escáner de puertos de código abierto y disponibles gratuitamente te dará los mismos resultados, pero con la complejidad adicional que Shodan elimina.
¿Tengo que pagar por Shodan?
Si y no. Si simplemente estás mirando alrededor e investigando un puñado de dispositivos con las funciones de exploración o búsqueda, Shodan se puede utilizar de forma gratuita.
Pero si estás buscando escanear dispositivos o vulnerabilidades en una dirección IP / host que aún no se ha escaneado, deberás pagar por Shodan.
¿Es Shodan peligroso?
Eso depende.
Por un lado, no tienes que pensar demasiado para averiguar si un motor de búsqueda determinado como Shodan puede convertirse en una herramienta muy útil para los piratas informáticos y todos los demás tipos de malos actores en Internet.
La gran cantidad de información «útil» que Shodan devuelve como resultado de una simple búsqueda puede ser suficiente para que alguien con las habilidades suficientes para tomar el control total de un dispositivo habilitado para Internet.
Shodan es una herramienta fantástica para que las personas que son completamente desconocidas tengan el control total del dispositivo del usuario.
Además, el principal problema con los resultados de búsqueda en Shodan es que muestra la combinación predeterminada de nombre de usuario y contraseña para el dispositivo habilitado para Internet en cuestión.
Combina eso con el hecho de que muy pocos usuarios se toman el tiempo para cambiar sus credenciales de inicio de sesión predeterminadas y es fácil ver cómo algún mal actor intentaría usar la debilidad para tomar el control del dispositivo habilitado para Internet del usuario.
¿Es posible integrar Shodan en mis proyectos personales?
¡Si! Shodan tiene una API que se puede utilizar para integrarse en tus proyectos personales. El uso de la API puede facilitar la automatización de tus tareas y el escaneo; por ejemplo, podrías simplemente tener un archivo de texto de IP para escanear y, a través de un script de Python, enviarlo a la API de Shodan, luego Shodan escaneará esas IP y te devolverá el resultado. Las posibilidades son infinitas con la API extensible y fácil de usar disponible en Shodan.
En múltiples campos de investigación, Shodan demuestra ser una excelente herramienta para recopilar inteligencia para la seguridad cibernética y la seguridad de la información, al ser informativo con una interfaz de usuario limpia y simple.
Shodan es un paquete formidable para las necesidades completas de ciberseguridad de tu empresa.
Desde la investigación hasta la monitorización en tiempo real de la superficie de ataque de tu empresa, el paquete te brinda una perspectiva profunda de 360 grados de la descripción general de seguridad de tu empresa.