לדלג לתוכן

מה זה Shodan - מנוע החיפוש של מכשירים מחוברים לאינטרנט

כשאתם מחפשים משהו בגוגל, אתם מחפשים תוכן - דפי אינטרנט, תמונות, מאמרים. Shodan עושה משהו אחר לגמרי. הוא לא מחפש דפים, הוא מחפש מכשירים. כל דבר שמחובר לאינטרנט ומגיב לחיבור - שרת, מצלמת אבטחה, מדפסת, מערכת בקרה תעשייתית - יכול להופיע בתוצאות שלו.

מה ההבדל בין Shodan לגוגל

גוגל בונה את מאגר המידע שלו על ידי סריקת דפי אינטרנט וקריאת התוכן שלהם - טקסט, קישורים, מטא-דאטה. Shodan עובד אחרת לגמרי - הוא סורק כל הזמן טווחי כתובות IP ברחבי האינטרנט, מתחבר לפורטים פתוחים בכל כתובת, ורושם את מה שהמכשיר מחזיר בתגובה, מה שנקרא banner. ה-banner הזה יכול לכלול את סוג השירות שרץ, את הגרסה שלו, ולפעמים אפילו את שם היצרן והדגם של המכשיר. בגוגל מחפשים "מה כתוב בדף הזה", ב-Shodan מחפשים "אילו מכשירים בעולם עונים ככה".

התוצאה היא מאגר עצום של מידע על תשתית שאף פעם לא נועדה להיות "דף אינטרנט" - שרתים פנימיים שנחשפו בטעות, מכשירי IoT, ומערכות תעשייתיות שמתקשרות דרך פרוטוקולים שלא נועדו מלכתחילה לחשיפה ציבורית.

מה אפשר למצוא ב-Shodan

מגוון התוצאות רחב ומפתיע, ולפעמים מדאיג:

  • מצלמות אבטחה חשופות שנשארו עם הגדרות ברירת מחדל, לפעמים כולל שידור וידאו נגיש ללא סיסמה כלל.
  • מערכות בקרה תעשייתיות, ICS ו-SCADA, שמנהלות תהליכים פיזיים, ממערכות מיזוג ועד ציוד תעשייתי, ומעולם לא היו אמורות להיות נגישות מהאינטרנט הפתוח.
  • מסדי נתונים שהוגדרו בטעות לקבל חיבורים מכל כתובת IP, לפעמים בלי אימות בכלל.
  • שרתים עם גרסאות תוכנה ישנות וידועות כפגיעות, שאפשר לזהות בקלות מתוך ה-banner שהם מחזירים.
  • ראוטרים ומכשירי IoT ביתיים ותעשייתיים עם ממשקי ניהול נגישים מהרשת הפתוחה.

חשוב להדגיש - Shodan עצמו לא פורץ לכלום. הוא רק אוסף ומציג מידע שהמכשירים עצמם משדרים באופן פומבי לכל מי ששואל. השאלה מה עושים עם המידע הזה היא שאלה אחרת לגמרי, ושם עובר הגבול בין חקירה חוקית לפעילות אסורה.

למה זה כלי מרכזי לתוקפים ולחוקרי אבטחה כאחד

בשלב האיסוף של בדיקת חדירה מורשית, Shodan הוא לרוב אחד הכלים הראשונים שפותחים. במקום לסרוק בעצמכם טווח IP שלם, שזה תהליך איטי, פשוט שואלים את Shodan מה הוא כבר יודע על הטווח הזה - הוא כבר סרק את רוב האינטרנט מזמן. זה חוסך שעות של עבודה, וחושף בבת אחת תמונה של כל הנכסים שהארגון חושף כלפי חוץ, כולל כאלה שאף אחד בארגון לא זוכר שהם עדיין רצים.

איך ארגונים משתמשים בזה להגנה על עצמם

הצד המעניין באמת הוא שאותו כלי בדיוק שתוקף משתמש בו לאיתור מטרות, הוא גם כלי ניהול נכסים בעל ערך עצום לצוותי הגנה, asset management. ארגון יכול, ומומלץ שיעשה זאת באופן שוטף, לחפש את עצמו ב-Shodan ולראות בדיוק מה חשוף כלפי חוץ - שרת ישן שאף אחד לא זוכר, פורט ניהול שנשכח פתוח, או מכשיר IoT שהותקן ומעולם לא הוגדר כראוי. זה בדיוק אותו עיקרון שעומד מאחורי כל תהליך גילוי משטח תקיפה - אי אפשר להגן על מה שלא יודעים שקיים, ו-Shodan נותן לכם בדיוק את נקודת המבט של תוקף חיצוני על הנכסים שלכם.

בבדיקות חדירה חיצוניות שאנחנו בונים בקורס בדיקות חדירה, שלב מיפוי הנכסים הראשוני כמעט תמיד כולל בדיקה כזו - להבין מה בכלל חשוף לפני שמנסים לתקוף אותו.

לסיכום

Shodan הופך את השאלה "מה חשוף באינטרנט" משאלה שדורשת סריקה עצמאית ואיטית, לשאלה שיש לה תשובה מיידית. בין אם אתם לומדים לחשוב כמו תוקף או בונים תהליך הגנה רציני, שווה לדעת מה הכלי הזה מראה - ובעיקר, שווה לבדוק מה הוא מראה עליכם.

הצטרפו לקהילה בדיסקורד