László
18 °C
28 °C

A Google gonosz ikertestvére

2013.04.12. 13:15
Ez a legijesztőbb hely az egész interneten – ezzel a szalagcímmel robbantotta a bombát a Shodan nevű keresőmotorról a CNN riportja a héten, és azóta a fél internet a hekker-Google-nek becézett keresőről beszél és rémüldözik felváltva. A legfélelmetesebb az egészben nem is az, hogy a segítségével webkamerákon át kukkolhat az ember, megtalálhat ezernyi, internetre védelem nélkül rákötött ipari rendszert, akár erőművek irányítóközpontjait, hanem az, hogy a kereső már három és fél éve működik. Igaz, a fejlesztője azt állítja, kizárólag etikus hekkerek és biztonságtechnikai szakértők használják, bűnözők nem. Pedig tudnák mire.

A Google, a Bing és a világ összes többi hagyományos keresőmotorja webszerverek tartalmát fésüli át és rendezi találati listákba, ha kérdezünk tőle valamit, feltételezve, hogy az ember olyasmikre kíváncsi, amik a weben vannak. Shodan (a nevét a System Shock című kultikus számítógépes játék főellenségéről, egy gonosz mesterséges intelligenciáról kapta) nem áll meg itt, ő minden kütyüt lát, ami csak az internetre van kötve. A weboldalak tartalmát tároló és kiszolgáló szerverek mellett például webkamerákat, biztonsági kamerákat, ipari rendszereket, nyomtatókat, közlekedési rendszereket, videós telekonferenciákat, riasztókat, mindent, aminek ip-címe van, és a publikus interneten kommunikál.

A félelmetes az a dologban, hogy az ilyen berendezések nagy részét semmilyen védelem, titkosítás, még egy jelszó se védi attól, hogy illetéktelenek hozzáférjenek a neten keresztül. Ez persze nem úgy megy, hogy két kattintással bárki be tud nézni a szomszéd lánykollégium összes webkamerájába, vagy atomerőművek irányítórendszereiben nyomogathatja a gombokat, Shodan csak megmutatja a hekkernek a lehetséges célpontokat. Hogy egy igazi, képzett hekker mire képes ezzel a szerszámmal, azt Dan Tentler biztonságtechnikai szakértő előadása illusztrálja legjobban a tavalyi Defcon 20 hekkerkonferenciáról:

Tentler véletlenszerű Shodan-keresésekkel talált többek között hozzáférést távirányítós garázsajtóhoz, otthoni riasztórendszerek kameráihoz, de eljutott addig is, hogy leolvaszthatta volna a jeget egy dán hokipályán, vagy egy egész, meg nem nevezett országban lévő város közlekedési lámpáit tesztüzemmódba kapcsolhatta volna, ha akarja. Sőt, belemászott egy francia vízerőmű irányítórendszerébe, ahol a két, egyenként 3 megawattot termelő turbinával csinálhatott volna azt, amit csak akar. Persze nem akart semmit, de bármikor utána csinálhatja a trükköt olyasvalaki, aki igen. Egy másik biztonságtechnikai specialista, Ruban Santamarta egy részecskegyorsító irányítópultjához fért hozzá a Shodan segítségével.

A Shodan nem csak jól képzett hekkerek kezében lehet veszélyes fegyver. Ha nem értünk hozzá, mindig találhatunk a YouTube-on olyan jótét lelket, aki elmagyarázza, hogyan lehet felhasználni Shodan találati listáit:

De a kereső hekker-analfabétáknak és laikusoknak is hihetetlen aranybánya lehet, elég csak a „default password” keresést beütnünk, és máris végtelen listát kapunk szerverekről, nyomtatókról, és egyéb, netre kötött rendszerekből, amelyekhez jó eséllyel simán, böngészőn keresztül hozzáférhetünk az admin felhasználónévvel és az 12345 jelszóval.

Webcam, Budapest

De vajon miért kötnek rá emberek a netre védelem nélkül olyan rendszereket, amihez ilyen lazán hozzáférhet bárki? Először is azért, mert a Shodan nélkül ezeket reménytelen megtalálni, és még a Shodannal is csak nagyon korlátozottan lehet célzottan a szomszéd garázsajtajára rámenni, csak úgy általában garázsajtókra a neten (országra, operációs rendszerre, ip-tartományra azért lehet szűkíteni). Ezzel együtt is, bármi, amit célzottan akarunk kiszúrni, tű egy 500 millió online kütyüből álló szénakazalban, így az ilyen rendszerek telepítőiben sokszor fel sem merül, hogy védelemmel vértezzék fel őket. Miért szereljünk rácsot egy ajtóra, ha senki nem tudja, hol van az az ajtó? A kérdés mindjárt nem olyan költői, ha megtudjuk, hogy a Shodan harmadik leggyakoribb keresőkifejezése jelenleg az, hogy „webcam budapest”.

A másik ok, hogy ezek a netre kötött rendszerek sokszor egyáltalán nem arra vannak kitalálva, hogy a netre kössék őket, csak úgy olcsóbb és egyszerűbb. Ha például egy cég számítógéppel, távolról vezérelhetővé akarja tenni a fűtési rendszerét, a kivitelező nem feltétlenül azt az utat választja, hogy direktben köti össze a szabályzó központot a távoli irányítást megkapó géppel vagy gépekkel, hanem egyszerűen belekötik egy webszerverbe, és azzal akaratlanul is megosztják az egész világgal.

Már rég elszabadult

A Shodant 2009-ben kezdte el építeni egy John Matherly nevű programozó, regisztráció nélkül napi 10, regisztrációval napi 50 keresést engedélyez, aki ennél is többet akar, esetleg adatbázisokat exportálni vagy mélyebb hozzáférést a rendszerhez, annak fizetnie kell. Matherly a CNN-nek azt mondta, kizárólag biztonsági szakértők, etikus hekkerek és kormányügynökségek használják a szolgáltatását, és az igazi nagypályás hekkerek számára az annyira nem is érdekes, mivel nekik több százezer számítógépből álló botnetjeik vannak, amelyekkel kifinomult keresés nélkül is megtalálják a célpontjaikat, egyszerűen a nyers erőt bevetve.

A Shodan készítője azt mondja, a kereső éppen arra jó, hogy a jó fiúknak segítsen megtalálni a biztonsági réseket a netre kötött kütyükben, mielőtt a rossz szándékkal közeledő hekkerek odaérnek. Ennek némileg ellentmond, hogy a net sötét oldalán az utóbbi időben több botrány is kitört már a Shodan rosszindulatú használata miatt. Idén januárban a 4chan és a Reddit bugyraiban tűnt fel az a Shodanra épülő script, ami a Trendnet cég otthoni riasztórendszerekhez szánt kameráihoz adott hozzáférést, egy Google Maps-alapú térképre rendezve a nem biztonságos kamerák elhelyezkedését, amelyekre kattintva úgy nézhettük a képüket online stream formájában, mint a 24 terroristaelhárító ügynökei a tévében. Valahogy így:

A Shodan teljesen felforgathatja a penteszterek (penetration test, online rendszereket az illetéktelen behatolás lehetőségeire tesztelő etikus hekkerek) világát, és új utakat mutathat a biztonsági rések minél gyorsabb és hatékonyabb befoltozása felé – mutatta be Matherly a 2010-es Defconon a keresőjét. Most jutottunk el addig, hogy többé már nem áltathatjuk magunkat azzal, hogy az illetéktelen szemek és kezek távol maradnak tőle.