Bei Shodan handelt es sich um eine Suchmaschine, mit deren Hilfe Nutzer alles finden können, was eine Netzwerkadresse besitzt – von bestimmten Computertypen über SCADA-Systeme (Supervisory Control and Data Acquisition) bis hin zu Hardware und Anwendungen.
Shodan können Sie sich als eine Suchmaschine vorstellen, die Netzwerkprofis als modernes Tool für die Schwachstellenbewertung dient. Shodan durchforstet das Internet und verarbeitet die Banner und andere Informationen, die diverse Geräte zurückliefern.
Anhand dieser Daten kann die Shodan-Suchmaschine ermitteln, welche Datenbank und Version am weitesten verbreitet ist, wie viele Webcams sich an einem bestimmten Standort befinden sowie Marke und Modell der Geräte.
Man könnte einwenden, dass Sites wie Shodan es Angreifern ermöglichen, Schwachstellen aufzuspüren und auszunutzen. Wahr ist aber auch, dass Netzwerk- und Sicherheitsspezialisten in der Lage sein müssen, genauso viel zu sehen wie ein Angreifer, um effektive Verteidigungsmaßnahmen ergreifen zu können.
Infolgedessen profitieren auch sie von Shodan, indem sie lernen, wie sich diese Suchmaschine als Tool nutzen lässt, um Schwachstellen zu finden.
So führen Sie eine einfache Suche mit Shodan durch
Bevor Sie erfahren, wie sich Shodan für Schwachstellenbewertungen verwenden lässt, beginnen wir mit einer einfachen Suche. Rufen Sie die Website von Shodan auf und geben Sie einen Begriff in das Suchfeld ein. Nehmen wir einmal an, Sie verwenden die Datenbank MongoDB und wollen anhand einer Suchanfrage sehen, wie weit verbreitet diese ist.
Abbildung 1: Die Benutzeroberfläche der Shodan-Suchmaschine.
Nach Abschluss der Suche finden Sie, wie in Abbildung 1 zu sehen, in der linken Seitenleiste eine Zusammenfassung der wichtigsten Daten:
Total Results: 2,861
Top Countries: United States
Top Services: 2,205
Sie können nach einer bestimmten Version einer Software suchen, zum Beispiel Mongo 3.4, einem Standort oder nach anderen besonderen Merkmalen. Wenn Sie auf der Seite weiter nach unten blättern, werden mehr Ergebnisse angezeigt. Schauen Sie sich Abbildung 2 einmal genauer an.
Abbildung 2: Weitere Informationen zur erkannten Komponente.
Sie werden feststellen, dass jeder der Einträge im Hauptteil mehr Informationen über die erkannte Komponente liefert. In der Ergebnisliste finden Sie unter anderem:
die IP-Adresse;
den Host-Namen;
den Internet-Service-Provider (ISP);
eine Datumsangabe, wann der Eintrag zur Datenbank hinzugefügt wurde;
den Länderstandort; und
das Banner selbst.
Zurück zum oben genannten Beispiel und dem Namen der Datenbank: DB_H4CK3D. Diese hier scheint gehackt worden zu sein. Hacker suchen nach MongoDB-Servern mit Sicherheitslücken, dringen darüber ein, kopieren die Datenbank, löschen sie auf dem Server und hinterlassen eine Nachricht, in der sie ein Lösegeld in Form von Bitcoins fordern, damit sie die Datenbank zurückgeben.
Seit Anfang 2017 haben Angreifer diese Technik hunderte Male angewendet. Mit dem gleichen Verfahren wurden zwei Millionen Datensätze von mehr als 820.000 Accounts gehackt und gestohlen.
Die Liste der zuletzt durchgeführten Suchvorgänge enthält Begriffe wie Webcams, Cam, SCADA, FTP und Server. Suchen nach SCADA sollten Sie hellhörig werden lassen.
Obwohl MongoDB standardmäßig über eine mit dem Internet verbundene Datenbank verfügt, verzichten ältere Versionen auf jede Form der Authentifizierung. Das ist ein beängstigender Gedanke, angesichts der Tatsache, dass die MongoDB-Software mit mehr als 20 Millionen Downloads eine der am schnellsten wachsenden Datenbanken ist.
Zusätzliche Details werden sichtbar, wenn man in Shodan auf die IP-Adresse des jeweiligen Eintrags klickt. Wenn ein einzelner Host ausgewählt wurde, erscheinen Informationen wie die Liste der gefundenen Ports, die jeweiligen Port-Details, Banner, der Standort des Servers, der ISP und eine Karte des Standorts. Abbildung 3 zeigt die Ansicht für unser Beispiel.
Abbildung 3: Der Standort des Servers wird auf einer Karte in Shodan angezeigt.
So führen Sie eine erweiterte Suche mit Shodan durch
Sie haben jetzt eine Vorstellung davon, was bereits mit einer einfachen Suche in Shodan möglich ist. Doch die Suchmaschine kann noch deutlich mehr, wie Sie folgend anhand einer erweiterten Suche sehen werden. In diesem Modus ist Shodan wirklich unübertroffen.
Bitte beachten Sie, dass Sie einen Account erstellen müssen, um eine erweiterte Suche durchzuführen. Nachdem Sie sich angemeldet haben, stehen Ihnen unter anderem diese Suchoptionen zur Verfügung:
Title: Durchsuchen des Inhalts des entsprechenden HTML-Tags.
HTML: Durchsuchen des vollständigen HTML-Inhalts der zurückgelieferten Seite.
Product: Suche nach dem im Banner identifizierten Namen der Software oder des Produkts.
Net: Durchsuchen eines bestimmten Adressbereichs, zum Beispiel: 4.2.2.2/8.
Version: Suche nach der Version des Produkts.
Port: Suche nach einem oder mehreren Ports.
OS: Suche nach einem bestimmten Betriebssystem.
Country: Suche nach Ergebnissen in einem bestimmten Land.
City: Suche nach Ergebnissen in einer bestimmten Stadt.
Einmal angenommen, Ihr Unternehmen betreibt mehrere Standorte in Houston, und Sie machen sich Sorgen, dass an einigen dieser Standorte möglicherweise ein Netzwerkdienst in einer Version verwendet wird, die eine bisher nicht gepatchte Schwachstelle aufweist. Für diese erweiterte Suche (siehe Abbildung 4) habe ich folgende Begriffe eingegeben: jboss 5.0 country:"US" city:"houston"
Abbildung 4: Durchführen einer erweiterten Suche in Shodan.
Die Suche ergab, dass 48 Standorte in Houston JBoss 5.0 einsetzen. Ich habe dieses Beispiel gewählt, weil man im letzten Jahr herausfand, dass 3,2 Millionen Server aufgrund einer Sicherheitslücke in älteren Versionen von JBoss angreifbar waren, was von der Ransomware SamSam ausgenutzt wurde. Eine angreifbare Version eines Dienstes zu verwenden, kann verheerende Auswirkungen für ein Unternehmen haben.
Dies sollte verdeutlichen, wie Sie Shodan nutzen können und welche Art von Informationen sich mit der Suchmaschine finden lassen. Falls Sie neugierig sind, nach was andere Nutzer suchen, werfen Sie ruhig einmal einen Blick auf einige populäre Suchanfragen.
Abbildung 5: Shodan führt eine Liste mit populären, von anderen Usern geteilten Suchen.
Wie in Abbildung 5 zu sehen, enthält die Liste der zuletzt durchgeführten Suchvorgänge Begriffe wie Webcams, Cam, SCADA, FTP und Server. Suchen nach SCADA sollten Sie hellhörig werden lassen. Bei SCADA-Geräten handelt es sich um Systeme für das Steuern und Überwachen etwa von Stromnetzen, Wasserwerken, Öl- und Gaspipelines, Abfallverwertungsanlagen und Ölförderstationen.
SCADA-Systeme sind potenziell wichtige Angriffsziele für Cyberterroristen und Hacker aus dem Ausland, die versuchen, das Stromnetz oder andere kritische Infrastruktur lahmzulegen. Ich empfehle Ihnen daher, sich mit Shodan vertraut zu machen. Auf diese Weise können Sie erkennen, welche Teile Ihres Netzwerks öffentlich sichtbar und damit potenzieller Gefahr ausgesetzt sind.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!
Nächste Schritte
10 Tipps: So machen Sie SCADA-Systeme fit für das Internet der Dinge
Kritische Infrastrukturen: Schutz von SCADA-Anlagen mit NAC
Industrie 4.0: Die Top-5-Herausforderungen für Unternehmen im IIoT
