Shodan (сайт) (Shodan (vgwm))

Перейти к навигации Перейти к поиску
Shodan
Изображение логотипа
URL shodan.io
Тип сайта поисковая система
Регистрация необязательная
Язык (-и) английский
Владелец Джон Мэтерли
Создатель Джон Мэтерли
Начало работы 2009
Текущий статус активен
Страна

Shodan — поисковая система, позволяющая пользователям искать различные типы серверов (веб-камеры, маршрутизаторы, серверы и так далее), подключённых к сети Интернет, с использованием различных фильтров. Некоторые также описывают её как поисковую систему сервисных баннеров, представляющие собой метаданные, которые сервер отправляет обратно клиенту[1]. Этими метаданными могут быть информация о серверном программном обеспечении, какие опции поддерживает сервис, приветственное сообщение или что-то ещё, что клиент должен выяснить перед взаимодействием с сервером.

Shodan собирает данные главным образом о веб-серверах HTTP/HTTPS (порты 80, 8080, 443, 8443), а также FTP (порт 21), SSH (порт 22), Telnet (порт 23), SNMP (порт 161), IMAP (порты 143 или зашифрованный 993), SMTP (порт 25), SIP (порт 5060)[2] и RTSP (порт 554). Последний протокол может использоваться для доступа к веб-камерам и их видеопотоку[3].

Сайт был запущен в 2009 году программистом Джоном Мэтерли (англ. John Matherly), который в 2003 году[4] придумал идею поиска устройств, подключённых к Интернету[5]. Название Shodan является отсылкой к SHODAN, персонажу из серии компьютерных игр System Shock[4].

Предпосылки создания

[править | править код]

Сайт был начат как личный проект Мэтерли, который основывался на том факте, что к Интернету подключено большое количество устройств и компьютерных систем. С тех пор Shodan использовался для поиска систем, включая системы управления водными станциями, электрическими сетями и циклотронами[5][6].

Освещение в СМИ

[править | править код]

В мае 2013 года на сайте CNN Money[англ.] была опубликована статья, в которой подробно описывалось, как Shodan можно использовать для поиска в Интернете систем, создающих опасные ситуации, включая средства управления светофорами. Также были показаны скриншоты этих систем, на которых была размещена предупреждающая надпись «DEATH MAY OCCUR !!!» (с англ. — «может привести к смерти») при подключении[7].

В сентябре 2013 года Shodan упоминался в статье Forbes, в которой утверждалось, что он использовался для обнаружения недостатков безопасности в камерах видеонаблюдения TRENDnet[8]. На следующий день в Forbes была опубликована вторая статья о типах вещей, которые можно найти с помощью Shodan. Это включало грузовики Caterpillar, у которых были доступны бортовые системы мониторинга, системы отопления и контроля безопасности банков, университетов и крупных корпораций, камеры наблюдения и мониторы сердцебиения плода[9].

В декабре 2015 года различные новостные агентства, в том числе Ars Technica, сообщили, что исследователь безопасности использовал Shodan для определения доступных баз данных MongoDB в тысячах систем, в том числе в одной, управляемой Kromtech, компании-разработчике антивирусной утилиты MacKeeper для операционной системы macOS[10].

Использование

[править | править код]

Сайт при помощи веб-краулеров сканирует Интернет в поисках общедоступных устройств[11]. В настоящее время Shodan отображает 10 результатов поиска пользователям без учётной записи и 50 результатов тем, у кого она есть. Если пользователи хотят снять ограничение, они должны указать причину и заплатить взнос[6]. Основными пользователями Shodan являются профессионалы в области компьютерной безопасности, исследователи и правоохранительные органы. Хотя киберпреступники также могут использовать сайт, некоторые из них имеют доступ к ботнетам, которые могут выполнять ту же задачу без обнаружения[6].

В культуре

[править | править код]

Shodan был показан в американском драматическом сериале «Мистер Робот» в октябре 2017 года[12]. Также упоминается в первой серии первого сезона телесериала «Новый агент Макгайвер».

Примечания

[править | править код]
  1. Shodan Help (англ.). Shodan. Дата обращения: 29 августа 2021. Архивировано 24 сентября 2015 года.
  2. Frequently Asked Questions (англ.). Shodan. Дата обращения: 29 августа 2021. Архивировано 30 сентября 2015 года.
  3. Osborne, Charlie. Shodan: The IoT search engine for watching sleeping kids and bedroom antics (англ.). ZDNet (26 января 2016). Дата обращения: 29 августа 2021. Архивировано 5 марта 2022 года.
  4. 1 2 O’Harrow Jr., Robert. Search engine exposes industrial-sized dangers (англ.). The Sydney Morning Herald (4 июня 2012). Дата обращения: 29 августа 2021. Архивировано 29 августа 2021 года.
  5. 1 2 O’Harrow Jr., Robert. Cyber search engine Shodan exposes industrial control systems to new risks (англ.). The Washington Post (3 июня 2012). Дата обращения: 29 августа 2021. Архивировано 4 июня 2021 года.
  6. 1 2 3 Goldman, David. Shodan: The scariest search engine on the Internet (англ.). CNN Business (8 апреля 2013). Дата обращения: 29 августа 2021. Архивировано 8 апреля 2013 года.
  7. Goldman, David. Shodan finds the Internet’s most dangerous spots (англ.). CNN Business (1 мая 2013). Дата обращения: 29 августа 2021. Архивировано 30 июня 2013 года.
  8. Hill, Kashmir. Camera Company That Let Hackers Spy On Naked Customers Ordered By FTC To Get Its Security Act Together (англ.). Forbes (4 сентября 2013). Дата обращения: 29 августа 2021. Архивировано 29 августа 2021 года.
  9. Hill, Kashmir. The Crazy Things A Savvy Shodan Searcher Can Find Exposed On The Internet (англ.). Forbes (5 сентября 2013). Дата обращения: 29 августа 2021. Архивировано 29 августа 2021 года.
  10. Degeler, Andrii. 13 million MacKeeper users exposed after MongoDB door was left open (англ.). Ars Technica (15 декабря 2015). Дата обращения: 29 августа 2021. Архивировано 29 августа 2021 года.
  11. Brinkmann, Martin. Shodan, a search engine for vulnerable Internet devices (англ.). Ghacks (9 апреля 2013). Дата обращения: 29 августа 2021. Архивировано 29 августа 2021 года.
  12. Nachreiner, Corey. ‘Mr. Robot’ Rewind: Hacking a DEF CON CTF in the lights out season 3 premiere (англ.). GeekWire (16 октября 2017). Дата обращения: 29 августа 2021. Архивировано 29 августа 2021 года.

Дополнительные материалы

[править | править код]