Shodan – Security Suchmaschine oder Traum der Hacker

 24.07.2014,  02.01.2020 -  Sebastian Pech -  ~4 Minuten

Shodan - das Google für Hacker? Ein Eishockeystadien, ISPs, IP Kameras und tausende offene Router im Internet, auffindbar mit einer Suchmaschine? Hier geht es um die Möglichkeiten für Unternehmen, die eigene Sicherheit zu erhöhen und eine Kurzanleitung zur Benutzung.

Die Suchmaschine Shodan ermöglicht die Suche nach Servern/Routern/PCs/Smartphones (also allem, was im Internet erreichbar ist – inklusive SCADA Systeme), Ländern, IP-Adressen, Ports, Bannern und vielem mehr.

Bereits auf der Defcon 18 (2010 SHODAN for Penetration Testers Michael Schearer Part – YouTube) und Defcon 20 (Dan Tentler – Drinking from the caffeine firehose we know as shodan – YouTube) gab es Fachvorträge zu der Suchmaschine. Dort wurde gezeigt, dass auch Krematorien, Eishockeystadien, ISPs, Überwachungskamera, Ampelanlagen, Waschstraßen und viele andere Geräte öffentlich erreichbar waren. Viele der Geräte wurden nie korrekt konfiguriert, so dass die Default Passwörter noch immer funktionieren.

Allein die Tatsache, dass die Suchmaschine solche Geräte einfach auffinden lässt hat in der Presse ein schlechtes Licht auf die Webseite geworden. Allerdings bietet Shodan für Sicherheitsforscher und Administratoren eine einfache Möglichkeit die eigene Serverfarm zu prüfen (sofern die Server bereits indiziert wurden). Alle Systeme die aus Gründen der Bequemlichkeit, ungesichert erreichbar sind, würden auch durch andere Wege auffindbar sein.

Häufige Suchen

Shodan bietet eine Seite für die häufigsten Suchanfragen . Die Liste gibt einen guten Einblick in das Potential der Suchmaschine.

Auf Platz eins steht die Suche nach Webcams, Netcam, Cameras und ähnlichen Schreibweisen. Oft sind Überwachungskameras ungesichert im Netz erreichbar. Bei einigen Kameras funktioniert sogar die Steuerung über ein Webinterface. So kann die Kamera bewegt und gezommt werden. Damit lassen sich viele Informationen, wie Firmennamen und Anwesenheitszeiten, ermitteln.

Ebenfalls in der Top10 ist die Suche nach „default password“, also Zugängen mit voreingestellten Benutzernamen und Passwortkombinationen. Die Ergebnisse sind potentiell erreichbare Seiten. In vielen Fällen steht das ursprüngliche Passwort nur in einem Infotext. Andere Systeme sind aber direkt erreichbar.

Die Suche zu „Anonymous access granted“ zeigt frei nutzbare FTP Server.

Sehr beliebt ist die Suche nach „scada“. Hinter den Ergebnissen finden sich viele Steuerungsgeräte für Infrastrukturkomponenten. Aus Gründen der Bequemlichkeit oder zum Einsparen von Mitarbeitern sind viele Systeme online erreichbar, um eine Fernwartung zu ermöglichen. Allerdings wird die Absicherung der Systeme oft nur unzureichend oder schlimmstenfalls überhaupt nicht durchgeführt. Das ermöglicht interessante Szenearien, wie das ausschalten der Kühlung eines Eishockeystadions (warum zur Hölle ist das im Internet erreichbar?!).

Eigene Suche

Ähnliche wie Google können bei Shodan die Suchergebnisse mit Filtern verfeinert werden. Als Operatoren sind +-| zugelassen. Also das ein- und ausschließen von Worten und das Oder. Filter werden mit einem Doppelpunkt (: ohne Leerzeichen) angegeben. Die folgenden Beispiele sind teilweise der Hilfe von Shodan entnommen.

city/country erlauben die Suche nach Städten und Ländern.

Bsp.: nginx city:"San Diego"; country:US (Ngix Server in San Diego, USA)

geo nimmt GPS Koordinaten und Entfernungen an.

Bsp.: apache geo:32.8,-117,50 (Apaches im Umkreis von 50km um 32.8,-117)

hostname filtert nach Domains oder Hostnamen.

Bsp.: iis hostname:.de (Microsoft IIS Server in Deutschland)

net schränkt die Ergebnisse auf IPs und Subnetze ein.

Bsp.: net:216.219.0.0/16 (Daten im Subnetz 216.219.*)

os ist der Filter für Betriebssysteme (windows, linux, cisco, …).

Bsp.: microsoft-iis os:"windows 2003" (Microsoft IIS auf Windows 2003)

port bietet eine Filterung auf Ports.

Bsp.: proftpd port:21 (ProFTPd auf Port 21)

before/ after sucht Daten die in dem Zeitraum gesammelt wurden.

Bsp.: apache after:22/03/2010 before:4/6/2010 (Apaches aus der Zeit von 22.03.2010 bis 4.6.2010)

Nutzen für Unternehmen

Wie kann nun das eigene Unternehmen von diesen Daten profitieren? Zum einen ist eine allgemeine Suche nach dem Firmennamen möglich. In den Ergebnissen werden alle Geräte auftauchen die in irgendeiner Art mit den Namen im Zusammenhang stehen. Bei Webservern beispielsweise die gesicherten Webserver über die Angaben in den SSL Zertifikaten oder die Banner von FTP Server mit einem Begrüßungstext.

Zusätzlich kann mittels net: oder hostname: Filter eine Suche auf die eigenen Domains erfolgen oder mittels ip eine Suche auf die Subnetze der Firma. Sofern Shodan bereits die Server im Index hat, gibt es möglicherweise interessante Ergebnisse.

Maltego und Shodan

Wie in dem Artikel Securitysoftware und Scanner erwähnt ist Maltego eine Software zum Erstellen von Topologien. Shodan bietet ein Add-On für Maltego an, um die Suchergebnisse einbinden zu können. Damit lassen sich Abhängigkeiten zwischen bekannten Systemen grafisch aufbereiten.