Miten Shodania käytetään?

shodan1

Shodanin hakukoneen peruskäyttö on ilmaista. Tunnusten luominen palveluun kannattaa, sillä kirjautumatta on mahdollista tehdä vain yksinkertaisia perushakuja. Kirjautunut käyttäjä voi tehdä monipuolisempia hakuja käyttäen eri hakusuodattimia. Liittymällä Shodanin rekisteröityneeksi jäseneksi saa pienellä kertamaksulla lisää ominaisuuksia käyttöönsä, kuten mm. karttahaun, laajemmat hakutulokset sekä komentorivikäytön. Shodan myy myös eri tasoisia kuukausihinnoiteltuja palveluja, joita tarvitaan mm. erittäin laajojen ja toistuvien hakujen yhteydessä. Useat yritykset ovat myös rakentaneet omia palveluita Shodanin tarjoaman tietokannan päälle.

Shodania käytetään samalla tavalla web-käyttöliittymän kautta kuin muitakin yleisimpiä hakukoneita. Poikkeuksena yleiskäyttöisiin hakukoneisiin on hakua laativan käyttäjän tiedettävä tarkemmin mitä hän on etsimässä. Esimerkiksi etsittäessä tietyn tyyppistä laitetta on kyselyä laadittaessa tiedettävä, mitä etsitty laite vastaa eli millaisen bannerin se palauttaa yhteyttä otettaessa. Pelkät yksittäiset hakusanat ilman asiayhteyttä eivät ole yleensä kovin hyviä hakuja, vaan Shodanin tehokkaassa käytössä kannattaa käyttää hakusuodattimia, joilla hakualuetta rajataan.

Seuraavissa esimerkeissä käydään läpi muutamien hakusuodattimien käyttöä. Esimerkeissä käytetty yrityksen IP-osoiteavaruus ei ole käytössä julkisessa verkossa. Oikeita hakuja tehtäessä pitää käyttää vain sellaisia osoiteavaruuksia, joita käyttäjällä on lupa tutkia.

Hakusuodattimen rakenne on sama kuin mitä käytetään yleiskäyttöisissä hakukoneissa eli

hakusuodatin:arvo

Rakenteesta kannattaa erityisesti huomata, ettei kaksoispisteen ympärillä ole välilyöntejä.

Yritys voi hakea omassa käytössä olevasta IP-osoiteavaruudesta Shodanin hakutietokannassa olevia palveluita hakusuodattimella

net:

käyttäen joko yksittäistä osoitetta

net:192.168.1.1

tai CIDR-muodossa ilmoitettua osoitealuettaan

net:192.168.0.0/24

Osoiteavaruuden kuvaamiseen käytetystä CIDR-muodosta löytyy lisää tietoa esimerkiksi täältä.

Mikäli etsitään vain jotain tiettyä avointa porttia ja sen tarjoamaa verkkopalvelua käytetään hakusuodatinta

port:

Jos haetaan esimerkiksi SSH:ta eli salatun terminaaliyhteyden tarjoavaa palvelua haku olisi

port:22

Kun haut yhdistetään yhdeksi lausekkeeksi, saadaan hakutulokseksi vain yrityksen omalla osoitealueella olevat SSH-palvelut

net:192.168.0.0/24 port:22

Hakusuodattimet voidaan kohdistaa myös laitteen vastaukseen eli banneriin. Hakusuodattimella

product:

voidaan hakea tuotteita ja ohjelmistoja. Jos esimerkiksi haetaan avoimen lähdekoodin OpenSSH ohjelmistoa on haku muotoa

product:openssh

Myös negaatiota voidaan käyttää hauissa, miinusmerkkiä käyttämällä voi rajata tuloksista pois haluamiaan osioita. Esimerkiksi hakulauseke

net:192.168.0.0/24 -port:22 product:openssh

palauttaa kaikki kyseisessä osoiteavaruudessa olevat ei-vakioportissa (muu kuin portti 22) olevat avoimet OpenSSH palvelut. Kyseisellä haulla voidaan myös osoittaa tehottomaksi yritykset piilottaa tarjotut verkkopalvelut sijoittamalla ne johonkin muuhun kuin vakioporttiinsa.

Shodan analysoi ja luokittelee hakemaansa tietoa. Kirjautuneen käyttäjän on mahdollistaa kysyä haulla, mitkä laitteet Shodan on tulkinnut Industrial Control System (ICS) eli teollisuusautomaation laitteiksi kyseisessä osoiteavaruudessa:

net:192.168.0.0/24 category:ics

Rekisteröityneelle eli jäsenmaksun maksaneelle käyttäjälle Shodan palauttaa laajasti tietoja löytyneistä palveluista sekä niiden versioista. Muita hyviä vinkkejä hakusuodattimiin löytyy hakukonesivuston suosituimpien hakujen osiosta sekä Shodanin kehittäjän John Matherlyn kirjoittamasta kirjasta ”Complete Guide to Shodan”.

Shodania ja muita hakukoneita käytettäessä pitää aina muistaa, että palvelun tekemien indeksoitujen skannausten selaaminen on sallittua toimintaa, mutta jo yksi hakutuloksen klikkaus voi muuttaa toiminnan laittomaksi. Jos esimerkiksi hakutuloksista paljastuneeseen web-kameraan kirjaudutaan oletussalasanalla ja käyttäjätunnuksella luvatta on kyse laittomasta toiminnasta. Myös hakutulosten muunlainen luvaton hyödyntäminen on useimmiten laitonta.

 

Juha Pärssinen, erikoistutkija

Sami Noponen, tutkija

Tämä kirjoitus on tehty osana EU FP7 rahoitteista ECOSSIAN-hanketta.

Hakukoneet ja tietoturva

Binary handprint

Miten yritys voi itse selvittää mitä sen järjestelmistä on näkyvillä julkisessa tietoverkossa? Entä miten yleiskäyttöiset ja erikoistuneet hakukoneet toimivat ja miten ne eroavat toisistaan?

Perusohjeet yrityksen suojautumiselle tietoverkossa voidaan tiivistää muutamaan lauseeseen:

  • vaihda kaikkien järjestelmien oletussalasanat
  • varmuuskopioi ja päivitä kaikki järjestelmäsi säännöllisesti
  • käytä salattuja yhteyksiä sekä monitoroi ja suodata liikennettä mahdollisuuksien mukaan
  • salli pääsy sisäverkon ulkopuolelta vain niihin järjestelmiisi joihin se on ehdottoman välttämätöntä.

Viimeisen ohjeen merkitystä suojautumisessa ei voi ylikorostaa. Erilaiset hakukoneet keräävät jatkuvasti tietoa verkossa olevista sivustoista ja palveluista. Niiden tarjoamilla palveluilla kuka tahansa, mukaan lukien verkkorikolliset, voivat helposti löytää kaiken verkossa vapaasti olevan tiedon ja käyttää sitä omaksi hyödykseen. On huolestuttavaa että useissa sekä maailmalla että Suomessa tehdyissä selvityksissä löydetään jatkuvasti mm. runsaasti suojaamattomia verkossa olevia automaatiolaitteita (ks. esim. Viestintävirasto).

Omien tietoverkossa näkyvien järjestelmien tutkiminen on sallittua, samoin kuin hakukoneiden tekemien tulosten selaaminen. Pitää kuitenkin aina muistaa, että muiden omistuksessa olevien järjestelmien tarkempi analysointi on yleensä laitonta. Jos esimerkiksi hakutuloksista paljastuneeseen web-kameraan kirjaudutaan oletussalasanalla ja käyttäjätunnuksella luvatta, on kyse laittomasta toiminnasta.

Kun haetaan tietoa verkossa olevista järjestelmistä, on tärkeää ymmärtää, miten erityyppiset hakukoneet keräävät tietonsa ja mitä ne tallettavat tietokantaansa. Yleiskäyttöisen hakukoneen, kuten esimerkiksi Googlen, indeksointirobotit etsivät ja analysoivat taukoamatta julkisesti saatavilla olevia verkkosivuja. Indeksointirobotit aloittavat etsinnän edellisessä indeksoinnissa kerätystä luotettavaksi arvioidusta verkko-osoiteluettelosta. Robotit etsivät verkkosivuilta linkkejä uusille sivuille sekä tutkivat sivustoille tehtyjä muutoksia. Robotit seuraavat löytämiään linkkejä ja vierailevat uusilla sivustoilla.

Sivustojen luotettavuus analysoidaan sekä niiden tarjoaman sisällön, että niille tulevien linkkien määrän perusteella. Kerätyt tiedot talletetaan Googlen valtavaan hakemistoon, jonka koko on Googlen oman ilmoituksen mukaan yli 100 miljoonaa gigatavua. Googlen hakualgoritmi analysoi käyttäjän tekemän kyselyn käyttäen yli 200 eri signaalia löytääkseen parhaiten hakuun sopivat vastaukset hakemistosta. Lisätietoa Googlen toiminnasta löytyy esimerkiksi Googlen sivulta.

Toisin kuin yleiskäyttöiset hakukoneet, erikoistuneet hakukoneet keskittyvät johonkin tiettyyn aihepiiriin. Yksi tunnetuimmista erikoistuneista hakukoneista on Shodan. Shodan kerää tietoa julkiseen internetiin kytkeytyneistä laitteista, olivat ne sitten verkkosivustoja tarjoavia uutispalvelimia, teollisuusautomaatiojärjestelmiä tai leivänpaahtimia.

Shodanin omat indeksointirobotit hakevat ja päivittävät jatkuvasti Shodanin tietokantaa internettiin kytketyistä laitteista. Shodanin indeksointirobottien algoritmi poikkeaa kuitenkin huomattavasti yleiskäyttöisten hakukoneiden robottien käyttämästä: se perustuu satunnaisuuteen. Ensin arvotaan satunnainen verkko-osoite (IPv4 tai IPv6) ja sen jälkeen valitaan satunnainen porttinumero siitä joukosta, jotka Shodan osaa käsitellä. Tämän jälkeen indeksointirobotti ottaa yhteyttä valitulla verkko-osoitteen ja portinnumeron yhdistelmällä. Jos laite löytyy eli vastaa kyselyyn, sen tuottama vastaus (banneri) ja muut yhteyteen liittyvät tiedot analysoidaan ja tulokset talletetaan Shodanin tietokantaan. Tietokantaan tallennutettuihin tietoihin, kuuluu mm. maantieteellinen sijainti, laitteen verkkonimi ja käyttöjärjestelmä sekä versio.

Blogikirjoituksen seuraavassa osassa käydään tarkemmin läpi Shodan-hakukoneen käyttöä.

Lisätietoa Shodanin toiminnasta löytyy Shodanin kehittäjän John Matherlyn kirjoittamasta kirjasta ”Complete Guide to Shodan”.

 

Juha Pärssinen, erikoistutkija

Sami Noponen, tutkija

Tämä kirjoitus on tehty osana EU FP7 -rahoitteista ECOSSIAN-hanketta.