O que é Shodan?
O Shodan é um mecanismo de busca para tudo na internet, sendo webcams, instalações de tratamento de água, iates, dispositivos médicos, semáforos, turbinas eólicas, leitores de placas, TVs inteligentes, geladeiras, tudo e qualquer coisa que você possa imaginar que esteja conectado à internet (e muitas vezes não deveria ser). O Google e outros mecanismos de pesquisa, por comparação, indexam apenas a web.
É isso, o Shodan encontra todas as coisas, indexa todas as coisas, torna todas as coisas “pesquisáveis”.
Como o Shodan Funciona?
Os serviços executados em portas abertas se anunciam, é claro, com banners. Um banner declara publicamente para toda a internet qual serviço oferece e como interagir com ele. Shodan dá o exemplo de um banner FTP :
220 kcg.cz FTP server (Version 6.00LS) ready.Embora o Shodan não indexe o conteúdo da web, ele consulta as portas 80 e 443. Aqui está o banner https do CSOonline:
1 second of 27 secondsVolume 0%
$ curl -I https://www.csoonline.com
HTTP/2 200
server: Apache-Coyote/1.1
x-mod-pagespeed: 1.12.34.2-0
content-type: text/html;charset=UTF-8
via: 1.1 varnish
accept-ranges: bytes
date: Fri, 25 May 2018 14:16:18 GMT
via: 1.1 varnish
age: 0
x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR
x-cache: HIT, MISS
x-cache-hits: 2, 0
x-timer: S1527257779.808892,VS0,VE70
vary: Accept-Encoding,Cookie
x-via-fastly: Verdad
content-length: 72361
Algumas empresas impedem o Shodan de rastrear sua rede, e o Shodan atende a essas solicitações. No entanto, os invasores não precisam do Shodan para encontrar dispositivos vulneráveis conectados à sua rede. Bloquear o Shodan pode salvá-lo de um constrangimento momentâneo, mas é improvável que melhore sua postura de segurança.
O Shodan é legal?
Resumindo, sim, Shodan é legal, e é legal usar Shodan para encontrar sistemas vulneráveis. Obviamente, não é legal invadir qualquer sistema vulnerável que você possa ter encontrado usando o Shodan. Como citado em nosso termo de uso no artigo 5.
5 – Nunca, jamais faça testes de intrusão sem o consentimento do dono do dispositivo, seja ele notebook, computador, celular ou qualquer outro dispositivo tecnológico.
Ainda assim, Shodan assusta totalmente as pessoas. A CNN o chamou de “o mecanismo de busca mais assustador da internet ” em 2013. Como você pode deixar os hackers saberem onde estão todas as usinas de energia para que possam explodi-las? Isso é horrível!
A empresa moderna normalmente se expõe mais à Internet do que gostaria. Os funcionários conectam coisas à rede para realizar seu trabalho e viola! Multiplique isso por toda a “Shadow IT” e você terá uma superfície de ataque crescente para gerenciar.
O Shodan facilita a pesquisa de uma sub-rede ou domínio para dispositivos conectados, portas abertas, credenciais padrão e até vulnerabilidades conhecidas. Os atacantes podem ver a mesma coisa, então feche as escotilhas antes que eles decidam atacar.
Muitos dispositivos anunciam publicamente suas senhas padrão em seu banner. Muitos dispositivos Cisco, por exemplo, anunciam uma combinação padrão de nome de usuário/senha de “cisco/cisco”. Encontrar dispositivos como esse em sua rede antes que os invasores o façam parece ser uma boa ideia.
O Shodan também permite pesquisar dispositivos vulneráveis a explorações específicas, como Heartbleed . Além de ajudar os defensores a identificar seus próprios dispositivos para proteger, isso ajuda os pentesters durante a fase de coleta de informações.
O Shodan é gratuito?
Shodan é gratuito para explorar, mas o número de resultados é limitado com uma conta gratuita. Os filtros avançados exigem uma assinatura vitalícia por (US$ 49).
Os membros pagos têm acesso à API Shodan e podem até criar alertas quando novos dispositivos aparecem na(s) sub-rede(s) que desejam monitorar, uma maneira barata e eficaz de ficar de olho no que seus funcionários estão conectando à Internet.
CYBER DICA!
Se você ficou interessado nesta área e quer começar do zero ou já trabalha com Tecnologia da Informação e quer migrar para Cibersegurança, recomendo fortemente o Curso Hacker Ético da Danki.Code. Clique aqui e saiba mais sobre o que você irá aprender e com isso se tornar um profissional de uma das áreas que esta com grande demanda no mercado de trabalho nos dias atuais.
Artigos Relacionados
