Artikel top billede

Her er søgemaskinen der kan spionere fra dit webcam

En af nettets mest omstridte søgemaskiner fylder fem år og har i sin korte levetid flere gange været i nærkontakt med kritiske danske it-systemer. Læs her om Shodan-søgemaskinen, der kan kigge med i alt fra webcams til atomkraftværker på nettet.

Shodan-søgemaskinen er ikke for sarte sjæle.

Især ikke, hvis du sidder som endestation for søgemotoren, der her til efteråret fylder fem år.

For Shodan kan finde frem til netværksforbundne computere og systemer, hvilket gælder lige fra netværkskontrolleret energiforsyning til standard-passwords på routere og webcams på svagt oplyste kollegieværelser.

Computerworld skrev om Shodan, da søgemaskinen så dagens lys tilbage i 2009.

Dengang fik søgemaskinen prædikatet 'et effektivt hackerværktøj', og det har fem års aktiv søgning på Shodan sådan set ikke ændret det store på, mener sikkerhedsekspert Gunnar Steiner fra selskabet Netop.

Han har for nylig på en Computerworld-konference demonstreret, at man ved en hurtig søgning kunne finde frem til 6.000 navngivne pc'er på et hospital.

"Shodan er i hvert fald et temmelig effektivt søgeværktøj, som tiltaler mennesker, der gerne vil se, hvor nemt det er at finde maskiner tilknyttet nettet. Hvis man kender den rigtige søgesyntaks og betaler for servicen, kan man komme rigtig langt og nemt finde servere, routere og kameraer," forklarer han.

Gunnar Steiner indskyder, at han ikke selv betaler for brugen af Shodan.

"Jeg er jo ikke rigtig hacker," som han siger, men oplyser, at Shodan i mange tilfælde vil være de it-kriminelles første kig på de milliardvis af maskiner, der i dag er tilknyttet det store internet, inden de kaster sig over deres mere målrettede værktøjer.

Kiggede på nordjysk anlæg 
Søgemaskinen Shodan, der er opkaldt efter ondsindet kunstig intelligens i computerspillene System Shock 1 og 2, blev blandt flere værktøjer brugt, da en mainframe-entusiast for nylig fandt frem til en usikker mainframe hos Moderniseringsstyrelsen.

Tidligere har Shodan været i mediernes søgelys i forbindelse med styring af store industrielle systemer som trafiklys, kraftværker og sågar parkerede Caterpillar-trucks, som snildt kunne tilgås med et nemt gættet brugernavn og password.

Også den aalborgensiske sportshal Gigantium har været udsat for Shodan, da sikkerhedseksperten Dan Tentler for få år siden angiveligt fandt frem til det anlæg i hallen, der kunne tænde og slukke for isen i arenaen. 

Medarbejdere fra Gigantium fortæller til Computerworld, at Dan Tentler i sin præsentation imidlertid ikke fremviste de rigtige billeder af hallens is-anlæg. En ansat fortæller også, at sikkerhedseksperten i sin iver efter at fremvise noget kontroversielt ikke tog højde for, at pilleri ved isens temperatur ville have udløst en alarm.

En anden person fra Gigantium afviser adgangen til is-kontrollen og siger, at det kun var hallens lysanlæg, som Dan Tentler teoretisk havde adgang til igennem hallens leverandør. Det havde så krævet, at sikkerhedseksperten kunne gætte det sæt brugernavn og password, som leverandørens folk brugte til at operere lyset i hallen med.


Sikkerhedsekspert Dan Tentler fortæller i ovenstående videoklip fra hackerkonferencen Defcon 20 om mulighederne for at se med på danske systemer i blandt andet sportshallen Gigantium (omkring 13:15 inde i klippet). Folk fra Gigantium afviser, at sikkerhedseksperten kan komme så langt ind i systemerne, som han selv hævder. 

Alle fra Gigantium afviser, at Dan Tentler rent faktisk havde pillet ved noget, og det lyder også samstemmende, at de efter den noget kontroversielle video fjernede mulighederne for at tilgå Gigantiums systemer via nettet.

Uanset, hvad Dan Tetler rent faktisk kunne og ikke kunne i Aalborg, er sagen blot et af mange (mulige) eksempler på, hvad Shodan kan bruges og såmænd også misbruges til.

Bør have styr på sikkerheden

Misbruget kunne eksempelvis ses, da der for to år siden lød et kollektivt ramaskrig fra webcam-kunder hos Trendnet.

Skrigeriet skyldtes, at videofeeds fra op mod 50.000 overvågningskameraer lå frit tilgængeligt på nettet, så snushaner kunne følge med i folks gøren og laden på hjemmefronten og ikke mindst detaljer omkring deres overvågning derhjemme.

Det danske Center for Cybersikkerhed har også gjort brug af Shodan i forbindelse med sidste efterårs nationale krisestyringsøvelse KRISØV13, hvor hovedvægten var lagt på cyberangreb. Inden øvelsen rullede, blev myndighederne gjort opmærksomme på, hvad man egentlig kan finde med søgemaskinen. 

"Vi har brugt Shodan-søgemaskinen og lavet en stikprøve på myndighedernes tilslutning til nettet. Uden at gå i dybden fandt vi flere steder, hvor vi kunne se default-brugernavne som for eksempel 'admin' og passwordet 'admin' på enheder, der var knyttet til nettet," fortalte centerchef Thomas Lund-Sørensen ved den lejlighed.

Centrets chef for Netsikkerhedsafdelingen, Thomas Krismar, forklarer, at den slags scanninger er et vilkår, når man tilknytter sine maskiner til det store, verdensomspændende netværk.

"Hver enkelt myndighed bestemmer selv sit eget sikkerhedsniveau. Netsikkerhedstjenesten har observeret, at stort set alle tilsluttede kunder rutinemæssigt er scannet af Shodan, og Netsikkerhedstjenesten har derfor orienteret dem om dette," forklarer Thomas Krismar til Computerworld.

Han tilføjer, at den slags forventelige scanninger med al tydelighed viser, at man som organisation bør have styr på sin sikkerhed.

"Jeg tror ikke, der er nogen tvivl om, at første skridt i et hackerangreb er at gå til open source-værktøjer som Shodan, inden hackerne for alvor går i gang," lyder det fra Thomas Krismar.

Slet ikke som Google

Men selv om Shodan er blevet kaldt "Google for hackere," kan du som bruger ikke bare åbne søgemaskinen og skrive 'open factory system' for at få udleveret millionvis af åbne adgange til computersystemer.

For udover at finde et enkelt italiensk system med netop den søgeterm kræver det gode søgekundskaber at benytte Shodan.

Det skyldes, at Shodan i modsætning til en søgemaskine som Google, der er på udkig efter indhold på hjemmesider, er bygget med det formål at finde maskiner og systemer på port-niveau.

Syntaksen til søgninger er derfor også ret anderledes end Google, hvor man typisk søger mere med ord og sætninger, der nærmer sig dagligdags tale.

I Shodan-søgefeltet er det derimod vigtigt at bruge ret præcise søgetermer, hvis man vil have returneret et brugbart resultat.

Til gengæld kan man i søgningen filtrere næsten ud i det uendelige i form af konkrete maskiner eller systemer, der er knyttet til nettet før og efter specifikke datoer, de fysiske placeringer af maskiner og typen af operativsystemer.

Eksempelvis finder Shodan-søgemaskinen 3.364 maskiner i Danmark, der er tilknyttet med HTTPS efter 9. september 2012, mens der i skrivende stund er 10 gange så mange maskiner herhjemme tilknyttet nettet med HTTP efter selvsamme dato.

Computerworld har spurgt stifteren John Matherly, hvorfor det umiddelbart er så vanskeligt at søge i Shodan i forhold til en søgemaskine som Google.

"Shodan er et højt specialiseret teknisk værktøj, der kræver en fundamental forståelse af den type enheder, som man er interesseret i," lyder det fra John Matherly.

"Shodan er designet på den måde, fordi søgesyntaksen dermed er brugervenlig for ingeniører, der så til gengæld kan få ret præcise søgeresultater," fortsætter han.

Gør nettet mere sikkert 
Shodan-stifteren forklarer, at hans søgemaskine oprindeligt var designet som et business intelligence-værktøj, der kunne give teknikere og forretningsenheder indblik i, hvor deres enheder blev brugt og samtidig se, hvor konkurrenternes maskiner blev benyttet.

Siden er det forskere, sikkerhedsfolk, virksomheder og hackere, der har kastet sig over søgemaskineriet, der altså kan finde frem til alverdens maskiner og enheder, der er tilknyttet nettet.
"Søgemaskinen vil kun kunne finde dit webcam, hvis du har konfigureret dit netværk til at tillade fjern-forbindelser. Hvis du er bag en router, vil Shodan sandsynligvis ikke se dit webcam. Men hvis du tillader adgang til dit webcam over nettet, kan alle se med - inklusiv Shodan," siger John Matherly.

Han medgiver samtidig, at søgninger efter store industrielle systemer er et gevaldigt problem, især fordi sikkerhedshuller i disse systemer ofte er svære at lappe, da der er så mange interessenter involveret.

John Matherly har derfor dedikeret den seneste tid til at oplyse virksomheder med industrielle systemer om, at de er i søgelyset hos hackere og andre ondsindede personer. Det har ifølge Shodan-stifteren resulteret i, at titusindvis af enheder er blevet revet af nettet, fordi de kunne ses på søgemaskinen.

"Jeg synes ikke, at Shodan i sig selv er skræmmende. Jeg tror bare, at folk bliver chokerede over at se de resultater, som Shodan kan vise. Man skal blot huske, at disse enheder eksisterer på nettet - med eller uden Shodans hjælp til at vise det, og på den måde er det et værktøj til at oplyse folk," siger han.

Shodan-opfinderen er ikke bleg for at understrege, at den omstridte søgemaskine har gjort nettet til et mere sikkert sted.

"Titusindvis af kontrolsystemer til atomkraftværker, vandstyringsanlæg og trafiklys er blevet mere sikre takket være Shodan. Jeg tror, at det kun vil blive endnu vigtigere fremover at besidde internet-intelligens, når vi nu er i gang med at bygge 'Internet of things' og i stigende grad bliver forbundne," forklarer John Matherly.

Producenterne har et ansvar

Sikkerhedsekspert Jens Christian Høy Monrad fra sikkerhedsselskabet FireEye er tilbøjelig til at give John Matherly ret langt hen ad vejen, når det kommer til Shodans betydning for internetsikkerheden.

"Etisk gør han intet forkert ved at have bygget sådan en service, fordi den skaber opmærksomhed omkring usikre maskiner og systemer," lyder vurderingen fra Jens Christian Høy Monrad.

Den danske sikkerhedsekspert fremhæver i den henseende, at med hensyn til at sikre den basale sikkerhed hviler der et ansvar på producenterne af udstyr, som kan komme på internettet.

"Denne problemstilling bliver kun større jo, flere enheder vi kobler på internettet," forklarer Jens Christian Høy Monrad og nævner i den henseende køleskabe, kaffemaskiner og vaskemaskiner.

"Hvis de ikke som minimum har en adgangskontrol, er sandsynligheden for, at de bliver misbrugt eller udnyttet, selvfølgelig større," fortsætter han.

Ud over enheder med præfabrikerede sikkerhedshuller fremhæver Jens Christian Høy Monrad også, at Shodan kan afsløre en masse gamle versioner af software, som er usikre, samt gammelt udstyr, hvor der ikke er indbygget adgangskontrol.

"Det fratager selvfølgelig ikke nogen det ansvar, der er i at forbinde noget til internettet," runder Jens Christian Høy Monrad af.

Læs også:

Put plaster på dit webcam - det gør eksperterne