Buscador Shodan

Repasando mis fuentes, veo que se está difundiendo en numerosos medios este proyecto del que no tenía conocimiento: Shodan, un buscador que, en lugar de rastrear páginas web, se dedica a explorar dispositivos: servidores, webcams, impresoras, routers, iPhones, domótica… Cualquier equipo conectado a Internet y, evidentemente, no suficientemente protegido.

Los motores de búsqueda de la Web, como Google y Bing, son ideales para encontrar sitios web. ¿Pero y si en lo que usted está interesado es en la búsqueda de equipos que ejecutan una determinada pieza de software (como Apache)? ¿O si quiere saber qué versión de Microsoft IIS es la más popular? ¿O si quiere ver cuántos servidores FTP anónimos hay? ¿Tal vez haya aparecido una nueva vulnerabilidad y quiere ver cuántos hosts será capaz de infectar? Los tradicionales motores de búsqueda no le permiten responder a estas preguntas.

Entonces, ¿qué indexa Shodan? Buena pregunta. La mayor parte de los datos se toman de ‘banners’, que son meta-datos que el servidor envía de vuelta al cliente. Puede ser información sobre el software del servidor, qué opciones soporta el servicio, un mensaje de bienvenida o cualquier otra cosa que el cliente quiere saber antes de interactuar con el servidor”.

Su creador, John Matherly, asegura que el motor es capaz de buscar en alrededor de 500 millones de gadgets cada mes, y que en la mayoría de los casos es posible intervenir en ellos dadas las escasas barreras de seguridad que sus dueños han establecido:

Puedes acceder a prácticamente la mitad de Internet con una contraseña predeterminada”, indicó HD Moore, jefe de seguridad de Rapid 7, que opera un servicio similar a Shodan para clientes. “Es una falla masiva de seguridad”, agregó. De esta forma, son incontables las impresoras, servidores y dispositivos que tienen “admin” o “1234” como contraseña. Y, de hecho, la mayoría de los sistemas conectados no solicitan ninguna credencial para controlarlos.

(…)

Encontró una pista de hockey que podía descongelarse con apenas un botón. El sistema de tránsito de una ciudad estaba conectado a Internet y podía manipularse ingresando un simple código. Y también halló un sistema de control para una planta hidroeléctrica en Francia con dos turbinas que generan tres megavatios cada una”.

Desarrollo de Shodan

Como ya hemos dicho, Shodan no busca términos, sino dispositivos, y se presenta como un campo de pruebas para “expertos en seguridad, investigadores académicos y agencias gubernamentales”. Es capaz de detectar aparatos por ciudad, país, coordenadas, nombres de equipo, sistemas operativos e IP.

Pero, ¿quién puede garantizar que no es usado para fines no deseados? Según Matherly, por un lado resulta imposible, ya que el número de búsquedas por usuario no registrado está limitado a 10; y a los usuarios registrados se les permite 50, pero además se les exige que declaren cuál es el objetivo de su investigación. Por otro, recuerda que los hackers ya disponen de herramientas propias igual de eficaces pero que, además, no dejan rastro. Shodan, sí.

El programa ofrece API abierta y app para iOS, entre otros recursos

Share