image

Als hobby gestarte IoT-zoekmachine Shodan bestaat 10 jaar

zondag 24 november 2019, 11:26 door Redactie, 6 reacties

De afgelopen jaren zijn tal van grote datalekken gevonden via Shodan, een zoekmachine voor Internet of Things en andere op het internet aangesloten apparaten die gisteren zijn tiende verjaardag vierde. Net als Google websites indexeert, indexeert Shodan allerlei soorten systemen die via internet zijn te vinden.

De zoekmachine werd op 23 november 2009 gelanceerd door ontwikkelaar John Matherly, die het project als een hobby begon, maar inmiddels een compleet bedrijf rond Shodan heeft opgebouwd. Shodan kijkt naar meer dan 1500 poorten om openstaande en publiek toegankelijke systemen op het internet te vinden. De zoekmachine heeft meer dan 3 miljoen gebruikers, die Shodan gebruiken om 27 miljoen ip-adressen te monitoren. Organisaties kunnen de zoekmachine namelijk ook gebruiken om hun eigen ip-adressen te controleren.

"De use cases voor Shodan zijn toegenomen nu steeds meer apparaten op internet worden aangesloten", stelt Matherly. De afgelopen jaren wisten onderzoekers via de zoekmachine tal van onbeveiligde servers en databases te vinden. Zo werd afgelopen vrijdag bekend dat onderzoekers op een server de gegevens van 1,2 miljard mensen hadden aangetroffen. De server werd mede via Shodan ontdekt en ook een database van marketingbedrijf Exactis met 340 miljoen records werd met behulp van de zoekmachine gevonden. Ook bij het zoeken naar SCADA-systemen die binnen de vitale infrastructuur worden gebruikt, en soms onbedoeld via internet toegankelijk zijn, speelt Shodan een belangrijke rol.

Reacties (6)
24-11-2019, 12:28 door Briolet
De afgelopen jaren wisten onderzoekers via de zoekmachine tal van onbeveiligde servers en databases te vinden.
Het zijn niet alleen de onderzoekers die deze adressen via Shodan vinden.
24-11-2019, 12:39 door Anoniem
Shodan op shodan.io is een soort van tweesnijdend zwaard. Aan de ene kant is het handig om te zien waar bijvoorbeeld hosters van websites kwetsbaarheden vertonen, dus een shodan IP query ingeven, in combinatie met een Virus Total IP relations detectie. Dit is eventueel nog na te checken via Maltiverse, mage-report of anderszins naar gelang het gebruikte CMS.

Wil je niet dat je kwetsbaarheden publiekelijk toegankelijk zijn, zul je je moeten verbergen voor de vele shodan bot-adressen.
Je kunt ook Hide My Name gebruiken bij het scannen, een SSH server met tor opzetten, e.d.

Of lees even hier http://romcheckfail.com/blocking-shodan-keeping-shodan-io-in-the-dark-from-scanning/

Natuurlijk blijft de boodschap, upgraden, updaten en patchen. Voorkom excessieve server info proliferatie, laat je servers niet luid babbelen. Gebruik er toe doende header security en best policies. Raak de weg niet kwijt met JavaScript en PHP.

Maar zijn er nieuwe kwetsbaarheden gevonden voor bepaalde gebruikte server software, dan is er altijd nog een nmap scannetje via Dazzlepod IP, en andere manieren om er achter te komen wat er ergens draait en hoe veilig of onveilig dat is.
Kijk ook eens hier: https://toolbar.netcraft.com/site_report bijvoorbeeld. Scan bij Qualys. Er is zoveel.

Webhint scan, immuniweb, sucuri, quttera, Retire.js, developer console (Ctrl+Shift+I) en een heel scala aan tools.
Github is een schatkist voor inspiratie in dit geval. Ook Stack-overflow vormt een bron van inspiratie en achtergrond-kennis.

Directe scans en info tegen een bepaalde site gebruiken is altijd strafbaar. Je moet altijd gerechtigd zijn een scan te doen, expliciete schriftelijke toestemming hebben. Gebruik anders publiek toegankelijke 3rd party cold reconnaissance scan-resultaten, dat is vrijelijk toegankelijke info van derden. Doe altijd aan responsible disclosure.

Shodan goed om weet van te hebben, slecht in handen van narigheid veroorzakende script kiddies en ander low life.
Have a nice day, and keep your white hats on.

luntrus
24-11-2019, 17:27 door Anoniem
@Luntrus
Geld is ook een tweesnijdend zwaard. Je kunt het gebruiken om belastingen mee te betalen. Of juist niet.

Zolang softwarebakkers ongeteste shit uit blijven brengen, is dat Shodan best handig. Dat je er dan ook weer misbruik van kunt maken is evident. Maar het blijft als overal aanbellen en kijken of er iemand thuis is. Zolang je niet inbreekt, dan mag dat ook.

Er is zo een "mag en kan dit nog wel" geest die rondwaart. Het wordt ons aangeleerd en wordt weer ingegeven door makers van fundamenteel ongeteste systemen, die momenteel een enorme macht hebben. En hun geld gebruiken om vooral geen belasting te betalen. Dat ook nog. Daar zit de misbruik. Niet bij een paar scriptkoters die enkel op zoek zijn naar corrigerende tikken. We moeten zelf leren om geen rommel meer te kopen, en als het toch rommel blijkt, terug brengen en geld terug halen. Dat recht hebben we al. Maar niemand durft het. Raar toch?
24-11-2019, 23:13 door Anoniem
@ anoniem van 17:27,

Ik kan met je meegaan bij de overweging, dat als degenen, die de beslissingen nemen op het Internet en dat zijn meestal niet de mensen met de relatieve technische kennis aangaande security, veelal liever zullen gaan voor een gelikte website dan een veilige. Ook omdat velen websites security beschouwen als sluitpost op de begroting, shodan-achtige scansites (denk ook aan Dazzlepod en censys.io .d.) zeker in een behoefte voldoen. De zwitserse gatenkaas dient duidelijk een doel.

Het is al erg genoeg dat iedere cut & paste hobby developer een a priori onveilige op PHP gebaseerde Word Press site in elkaar kan knutselen met onveilige plug-ins, niet voldoende geupdate bibliotheken, verkeerde settings, kwetsbaar voor van alles en nog wat. De gevolgen ervaren we elke dag en iedere dag weer.

Denk je eens in dat Nederland onder dat soort omstandigheden de weg op moest of treinen zo liet rijden?
Een botsautootjespark zou er niets bij zijn.

Het is toch van de zotte, dat voor een aantal gigantisch verdienende globale monopolisten en een groot-surveillerend imperium (we weten allemaal wie dat imperium is) een echte beveiligingsslag op Internet uitblijft.

Het wordt je gratis opgedrongen om aan jou als product exorbitant veel te verdienen en niet zo'n klein giga-beetje ook. Dat is de elitaire bierkaai waar niet tegen te vechten valt.

Ook moet je nog weren tegen alles en iedereen die met dat verdienmodel in bed willen liggen van stakeholder tot politicus tot betaalde Big Tech troll en natuurlijk dat deel van de massa, dat zelfs hiervoor nooit meer wakker zal worden (steeds verder "dumbed down until under zero").

Misbruik van die situatie maken dus Big Surveillance, Big Ad/Data Grabber Tech en ja ook cybercriminelen en staatsacteurs.
Wie bungelt kwetsbaar onderaan? Juist ja, jij en ik, de eindgebruikers.

Jij en ik zullen nog wel een tijdje roependen in de woestijn blijven. Ik doe website security voor het signaleren van zwakheden alom om het nog enigszins met mijn Interwebz-geweten te kunnen rijmen, alleen zet dat tot nu toe bijzonder weinig zoden aan de dijk. Al meer dan twaalf jaar overigens is het te beschouwen een druppel op de gloeiende plaat.

Het mensdom is verrekte hardleers en valt steeds weer terug in eerder gemaakte fouten.
Rare primatensoort zijn we met z'n allen. Toch heeft die wel potentie. Kom op lui, waar blijven jullie?

#sockpuppet
27-11-2019, 07:19 door [Account Verwijderd] - Bijgewerkt: 27-11-2019, 07:25
Door Anoniem: Denk je eens in dat Nederland onder dat soort omstandigheden de weg op moest of treinen zo liet rijden?
Een botsautootjespark zou er niets bij zijn.

Wat er de weg op mag is gereguleerd en dat geldt ook voor de bouw. Maar dergelijke regulering gaat niet op voor software want die is daar gewoon veel te abstract voor.
30-11-2019, 01:10 door Anoniem
@Ex Machina,

Veel te abstract zeg je, maar wel duidelijk te definieren als veilig, potentieel onveilig en gewoon onveilig.
Een DOM-XSS sink & source, zijn dat exact,en niets iets anders, abstract of niet.

Een kwetsbare jQuery bibliotheek is dat en niet iets dat niet afgevoerd zou moeten worden.

Een user-enumeration op enabled is niet disabled, terwijl veilige CMS setting disabled moet zijn.

En zo verder en zo voort.

Mijn vraag derhalve; Waarom wordt er op Interwebz dan niet gereguleerd via een complete overhaul,
te beginnen bij scripttalen?

Mijn antwoord, maar ik heb er geen enkel schriftelijk bewijs of zelfs toedichting over gelezen is,
dat bepaalde grote tracking monopolisten, zoals Google en facebook en meer geen ander dan een onveilig Internet wensen.
Met hun macht en invloed komt dat er dan ook niet of anders in een tergend langzaam tempo beetje bij beetje en met grote tegenzin. Daar zorgen de CEO's en stakeholders wel voor en desnoods de politiek.

Er is dus veilige software, potentieel onveilige software (PUP) en onveilige en zelfs kwaadaardige software.
Beweer dus niet dat het niet anders kan vanwege abstractie, complexiteit, propriety rights etc.

Waar een wil is, zou een weg moeten bestaan. We hebben er helaas geen enkele invloed op.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.