Shodan: El motor de búsqueda más terrorífico de la Internet

“Cuando la gente no ve cosas en Google, piensan que nadie puede encontrarla. Eso no es cierto.”

Eso es de acuerdo a John Matherly, creador de Shodan, el motor de búsqueda más terrorífico de la Internet.
A diferencia de Google (GOOG, Fortune 500), que rastrea la Web en busca de sitios web, Shodan navega canales traseros de Internet. Es una especie de “oscuro” Google, en busca de los servidores, cámaras web, impresoras, routers y todas las otras cosas que está conectado y compensa la Internet. (Sitio de Shodan era lento para cargar lunes siguiente a la publicación de esta historia.)
Shodan funciona 24/7 y recoge información sobre cerca de 500 millones de dispositivos y servicios conectados cada mes.
Es impresionante lo que se puede encontrar con una simple búsqueda en Shodan. Innumerables luces de tráfico, cámaras de seguridad, dispositivos de domótica y sistemas de calefacción se conectan a Internet y fáciles de detectar.
Buscadores Shodan han encontrado sistemas de control de un parque acuático, una gasolinera, un enfriador de vino hotel y un crematorio. Investigadores ciberseguridad siquiera han localizado los sistemas de mando y control para plantas de energía nuclear y un ciclotrón partícula acelerada mediante el uso de Shodan.
Lo que es realmente digno de mención sobre la capacidad de Shodan encontrar todo esto – y lo que hace tan temible Shodan – es que muy pocos de estos dispositivos tienen ningún tipo de seguridad incorporado en ellas.
“Es un fallo de seguridad masiva”, dijo HD Moore, director de seguridad de Rapid 7, que opera una versión privada de una base de datos Shodan-como para sus propios fines de investigación.
Artículo relacionado: Hackers atacan la infraestructura clave EE.UU.
Una búsqueda rápida de “password por defecto”, revela un sinnúmero de impresoras, servidores y dispositivos de control del sistema que utilizan “admin” como nombre de usuario y “1234” como contraseña. Muchos sistemas más conectadas no requieren credenciales en absoluto – todo lo que necesitas es un navegador Web para conectarse a ellos.
En un discurso pronunciado en la conferencia Defcon ciberseguridad del año pasado, de seguridad independiente penetración probador Dan Tentler demostró cómo usó Shodan para encontrar sistemas de control para enfriadores evaporativos, calentadores de agua a presión, y puertas de garaje.
Encontró a un lavado de autos que podrían ser encendido y apagado y una pista de hockey en Dinamarca que podrían ser descongelado con un clic de un botón. Sistema de control de tráfico de toda una ciudad se conectó a Internet y se puede poner en “modo de prueba” con una sola entrada de comandos. Y él también encontró un sistema de control para una planta hidroeléctrica en Francia con dos turbinas generadoras de 3 megavatios cada una.
Cosas de miedo, si se tiene en las manos equivocadas.
“Usted podría hacer mucho daño con esto”, dijo Tentler, en un eufemismo.
¿Por qué son todos estos dispositivos conectados con pocas garantías? Algunas de las cosas que están diseñados para ser conectados a la Internet, tales como cerraduras de las puertas que se pueden controlar con el iPhone, por lo general cree que son difíciles de encontrar. La seguridad es una idea de último momento.
Artículo relacionado: Si utiliza ‘Contraseña1,’ cambiarlo. Ahora.
Un problema mayor es que muchos de estos dispositivos no deberían siquiera estar en línea en todo. Las empresas a menudo comprar sistemas que les permitan controlar, por ejemplo, un sistema de calefacción con un ordenador. ¿Cómo conectar la computadora al sistema de calefacción? En lugar de conectar directamente, muchos departamentos de TI sólo les tapan tanto en un servidor Web, sin darse cuenta que compartir con el resto del mundo.
“Por supuesto que no hay seguridad en estas cosas”, dijo Matherly, “No pertenecen en Internet en el primer lugar.”
La buena noticia es que Shodan se utiliza casi exclusivamente para el bien.
Matherly, quien completó Shodan hace más de tres años como un proyecto personal, ha limitado la búsqueda a sólo 10 resultados sin una cuenta, y 50 con una cuenta. Si quieres ver todo lo que tiene que ofrecer Shodan, requiere Matherly más información acerca de lo que es la esperanza de alcanzar – y un pago.
Probadores de penetración, profesionales de seguridad, investigadores académicos y los organismos encargados de hacer cumplir la ley son los principales usuarios de Shodan. Malos actores pueden utilizarlo como punto de partida, admite Matherly. Sin embargo, agregó que los cibercriminales suelen tener acceso a los botnets – grandes colecciones de ordenadores infectados – que son capaces de lograr la misma tarea sin ser detectado.
Hasta la fecha, la mayoría de los ataques cibernéticos se han centrado en el robo de dinero y la propiedad intelectual. Los malos no han tratado de hacer daño por la voladura de un edificio o matar a los semáforos de la ciudad.
Profesionales de la seguridad son la esperanza de evitar ese escenario mediante la detección de los dispositivos conectados, sin garantía y servicios utilizando Shodan, y alertar a los cuales operan que son vulnerables. Mientras tanto, hay demasiadas cosas terribles conectados a Internet sin seguridad para hablar de la espera de ser atacado.

Leave a Reply