#MundoHacker: Exponiendo la privacidad en el IoT con Shodan

Shodan

Ayer se celebraba el Día de la Privacidad, una fecha marcada en el calendario que habitualmente viene cargada más de tragedia que otra cosa.

Tenía pensado escribir este artículo para ayer, pero al final, entre jaleos varios, se me ha ido al día de hoy.

Y qué mejor manera de “celebrar” el ya pasado Día de la Privacidad que hablando de Shodan, una herramienta que varios patronos ya me habían pedido que trajera, de la que he escrito de pasada en no pocas ocasiones, y que merecía, muy acertadamente, un artículo propio.

Por ello, en este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, repasaremos qué es Shodan, qué permite hacer, cómo y con qué filtros podremos explotar su funcionalidad, y por qué es uno de los proyectos más importantes para el mundo de la ciberseguridad.

Empecemos.

Shodan, el buscador de las máquinas

Imagínese por un momento que usted es un auditor de seguridad, y quiere probar una supuesta vulnerabilidad (o un parche para ella) que ha descubierto recientemente.

En el laboratorio, al menos, funciona, pero ¿qué pasa en un entorno real? ¿Cómo encuentro escenarios reales donde poder aplicar el exploit (o el parche oportuno) y ver si en verdad funciona?

La respuesta es Shodan.io (EN), un proyecto lanzado en 2009 por el informático John Matherly, como si de un metabuscador se tratase.

La herramienta es en esencia un buscador, como ya explicamos hace tiempo, con la única diferencia de que en vez de mostrar páginas o servicios, muestra los datos técnicos de sus servidores, de la máquina que hay tras los servicios conectados a la red.

Esto, para el grueso de la sociedad, no ofrece valor alguno. Pero en las manos de un experto en seguridad es una verdadera mina, y motivo por el que es tan conocido en nuestro sector.

Con el auge del IoT, y en especial, con la falta de una estandarización de la seguridad en estos dispositivos, Shodan se ha vuelto conocido mundialmente, al salir en varios medios de gran calado como la herramienta de denuncia de sistemas vulnerables expuestos en internet.

Dan Tetler en 2012 daba una charla en DefCon exponiendo parte de sus investigaciones:

Ver en Youtube (EN)

En ella, demostraba que la herramienta podía localizar a golpe de click y filtros desde webcams, pasando por sistemas de videovigilancia, servicios de control de semáforos urbanos o hasta incluso programas SCADA (control de servicios industriales) de centrales hidráulicas.

En este PDF (EN) se puede ver en imágenes otra investigación presentada al año siguiente que pone la carne de gallina.

Simplemente teniendo iniciativa, una cuenta (gratuita, por cierto), y ganas para navegar por internet y buscar información, con Shodan se podía llegar incluso a localizar e interactuar con todos estos sistemas, aprendiendo cómo estaban diseñados, aprovechándose de logs demasiado explicativos, y aplicando la más básica ingeniería social.

Shodan intercept

La última, el reality de las cámaras de videovigilancia casera

Esta semana, Shodan volvía a salir a la luz con un artículo de Ars Tecnica (EN) en el que explicaban cómo filtrar adecuadamente la herramienta para mostrar centenares de cámaras de vigilancia que estaban inadecuadamente configuradas, y por tanto, eran visibles de forma pública.

Hablamos de cámaras que muestran almacenes y también casas privadas, a lo largo y ancho del mundo, muchas de ellas en salones y habitaciones, para deleite de terceros.

Navegar por el filtro (EN) es una buena estrategia para matar el aburrimiento, y de paso, sirve para concienciar a la sociedad de que la tecnología requiere un mínimo de conocimiento para ser utilizada.

Por defecto estas cámaras están publicando en tiempo real todo lo que ven, a falta que su dueño configure adecuadamente un servicio que entiendo querría ser privado.

Por aquí podemos ver la misma búsqueda anterior, solo que centrada en cámaras de España (EN).

Por aquí hay un listado de servicios FTP (EN) (un protocolo de comunicación muy utilizando para subir y bajar archivos a una página web) que permiten autenticación en modo Anonymous (sin usuario y contraseña, vamos).

¿Cómo se utiliza Shodan?

Lo primero que se necesita es crearse una cuenta, que se puede hacer de la manera tradicional, o mediante las APIs de autenticación de Twitter, Facebook, Microsoft o Google.

Una vez dentro, tenemos un buscador al uso, en el que podremos buscar parámetros que nos interesan. Por ejemplo, una búsqueda del tipo “VOIP” nos devolvería todas las máquinas accesibles desde internet que tengan escrito VoIP en alguno de sus ficheros, y que presuntamente, ofrecerán servicios mediante este protocolo de comunicación.

Además, podemos consultar las búsquedas más habituales (EN), genial para empezar y conocer un poco cómo funciona la herramienta (además de pasar un buen rato, todo sea dicho :)).

Así mismo, hay filtros que podemos aplicar para acotar las búsquedas a unas necesidades específicas:

  • Country: Con él, definimos que solo nos muestre los elementos que estén en un país o países listados. Por ejemplo:

country:es FTP (EN) // nos mostrará máquinas con FTP de España 

  • City: Filtramos por ciudad.

city:Barcelona VoIP (EN) // nos mostrará máquinas en Barcelona de VoIP

  • OS: Permite buscar por Sistema operativo.

os:Windows XP (EN) // listado con servidores que todavía siguen usando Windows XP…

  • Port: Permite hacer una búsqueda dependiendo del puerto que tenga abierto o el servicio que se esté ejecutando. Muy útil, ya que muchos de estos puertos tienen generalmente un cometido que de antemano ya conocemos.

port:21 (EN) // máquinas con FTP abierto (normalmente el FTP opera en el puerto 21)

  • Net: Para buscar una ip especifica o rangos de ip.

net:94.70.244.0/24 (EN) // sobran explicaciones…

  • Hostname: Busca el texto que le indiquemos en la parte de hostname.

hostname:Telefonica (EN)

shodan admin

De cada resultado, Shodan ofrece un Details donde expone más información. Dicha información puede ser terriblemente interesante para un auditor de seguridad, sea con fines ofensivos y defensivos.

Porque precisamente la gracia de Shodan radica en que el administrador de sistemas de la compañía se encargue de buscarse en la herramienta, e intente encontrar posibles tecnologías, protocolos y puertos que estén desprotegidos.

Puertas de entrada, vectores de ataque que un tercero podría aprovechar para exponer los datos de nuestro servidor, o incluso, para tomar el control del sistema.

Sea una simple web, sea un directorio de archivos de la compañía, sea una webcam, o sean cosas que ya dan más miedito, como sistemas de control industrial e infraestructuras críticas de un país.

Conviene echarle un ojo, a ver qué tan seguro, y qué tan privado, es el entorno donde nos movemos…

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias