Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul famoso motore di ricerca Shodan, uno strumento per la ricerca di dispositivi connessi a Internet. 

A differenza degli altri motori di ricerca che ci aiutano a trovare siti Web, Shodan ci aiuta a trovare informazioni su desktop, server, dispositivi IoT e altro. 

Shodan si usa per fare Network Security , Ricerche di mercato, Cyber ​​Risk, scansione di dispositivi IoT e Tracking Ransomware . 

È possibile integrare le ricerche di Shodan con il nostro caro amico Kali Linux, senza utilizzare direttamente l’interfaccia del sito internet.

In questo periodo sono aumentati i computer in rete a causa del problema COVID, le aziende hanno attivato per i loro dipendenti lo smart working, questo comporta l’esposizione dei computer aziendali e dei server nella rete se non protetti nel modo corretto.

Sistemi obsoleti e vulnerabilità elevate

Ci sono molte aziende che hanno ancora PC e server non più manutenuti da Microsoft, come ad esempio Windows XP, Windows Vista, Windows 2000, server 2008 e Server 2008 R2 etc…

Non essendo più supportati da Microsoft le falle scoperte non vengono più aggiornate e un malintenzionato potrebbe creare danni gravi.

Molte aziende per fare collegare i propri dipendenti hanno attivato la porta RDP sui server aziendali senza utilizzare nessuna VPN. Utilizzando Shodan e alcune query potremo vedere gli indirizzi ip di questi computer e di questi server.

Questo articolo vuole mettere in evidenza a che livello di pericolo può essere esposta un’azienda se la parte ICT non è stata configurata con professionalità. Quello che andremo a vedere sono test effettuati da me, ovviamente per motivi di privacy non vedrete gli indirizzi IP.

Con l’attivazione dello smart working ovviamente sono aumentati anche il numero di attacchi, questi i dati raccolti:

Tipologie di attacchi nell’anno 2019:

Le tecniche di attacco non cambiano:

Chi viene attaccato?

Tutti vengono attaccati indistintamente!

Esempi di utilizzo di Shodan

Facciamo per prima cosa la registrazione sul sito https://www.shodan.io/

Entriamo nel dettaglio del nostro test, eseguendo questa prima query:

has_screenshot:true os:"Windows XP"

Praticamente possiamo fare login a queste macchine.

Cambiamo query e vediamo dove potrebbe spingersi un malintenzionato… è pazzesco se ci pensate.

Scriviamo la query:

Z-World Rabbit title:iBoot

Ecco il risultato. Abbiamo una mappa e una lista dei device trovati da Shodan, provo a connettermi inserendo le password di default (sulla rete si possono trovare le password di default di tutti i dispositivi), inserisco admin come user e come password admin.

Siamo collegati alla dashboard … capite la pericolosità…a tenere le password di default?

La stessa cosa potremmo farla con stampanti, router, webcam etc…

Altra query, altro test:

Pannel control di una centrale per la gestione dei pannelli solari con password di default:

Cambiamo query e indirizzo IP:

Altra query, stesso risultato:

Cambio query e testo delle webcam esposte:

Query Shodan generiche

Andiamo vedere nel dettaglio alcune query da utilizzare, se volessimo individuare le webcam che trasmettono in chiaro in Italia, scriviamo la seguente query:

device:webcam country:IT

Riceveremo l’ elenco di tutti i dispositivi che sono stati indicizzati da Shodan e che rispettano i criteri richiesti.

Sulla sinistra possiamo trovare un raggruppamento dei risultati con i relativi totali.

Se notiamo i primi risultati ottenuti, nei banner possiamo leggere la dicitura:

HTTP/1.0 401 Authorization Required

Questo significa che se dovessimo provare a collegarci agli indirizzi IP trovati, dovremmo inserire  le credenziali per effettuare l’autenticazione.

Niente paura, affiniamo la nostra ricerca aggiungendo alla nostra query la seguente stringa:

“200 OK“

In questo modo visualizzeremo soltanto i dispositivi che abbiano fornito una risposta con tale codice, la  nostra nuova query  sarà:

“200 OK” device:webcam country:IT

Cliccando sul tasto “Maps” in alto a sinistra, potremo visualizzare tutti i risultati della nostra ricerca come mappa, in base alla geo-localizzazione dei dispositivi.

Un’altra query da utilizzare per vedere i dispositivi router in Italia senza password è:

device:router Country:IT no pass

Da brividi se ci pensate…

Query Shodan specifiche

Altre query utilizzate all’interno di Shodan:

  • city: Cerca dispositivi divisi per Città.
  • country: Cerca dispositivi per nazione es. FR
  • geo: Cerca dispositivi tramite coordinate geografiche.
  • hostname: Cerca risultati per un certo hostname.
  • net: Cerca dispositivi per indirizzo IP o NetRange.
  • os: Cerca per Sistema Operativo (Linux o Windows).
  • port: Cerca dispositivi per numero di porta aperta es. 80, 21, etc…
  • before/after: Cerca risultati entro un lasso di tempo.

Vediamo un altro aspetto di Shodan:

Possiamo visualizzare la mappa 3D dei dispositivi dei sistemi di controllo industriale (ICS) rilevati dai crawler Shodan, a dir poco affascinante 😊

Vedi link:

https://ics-radar.shodan.io/

Shodan 2000 è un’interfaccia simile a Tron che visualizza casualmente un host.

Praticamente con questa funzione possiamo visualizzare in sequenza i dettagli dei vari device scansionati.

Vedi link:

https://2000.shodan.io/#/

Possiamo anche installare il plugin Firefox

Shodan.io

Questo componente recupera i dati raccolti da Shodan.io del sito Web corrente che stai navigando. 

La versione beta di Shodan offre due pagine utili:

Filtri : Link https://beta.shodan.io/search/examples

Esempi : Link https://beta.shodan.io/search/examples

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.