AuditoríaCiberinteligenciaIoTOSINTSearch Engine

Shodan: un buscador para detectar fugas de información

ciberseguridad en cadiz

Bienvenidos a una nueva entrada del blog de FCD-intelligence. En esta ocasión queremos hablaros de Shodan, un buscador tecnológico muy interesante y ampliamente utilizado, a partir del cual podremos detectar y prevenir fugas de información.

¿Qué es un buscador tecnológico?

Como hemos comentado, Shodan es un buscador tecnológico. Existen más, los cuales trataremos más adelante, pero Shodan es el más utilizado, y uno de los que más prestaciones presenta.

Un buscador tecnológico no es más que un buscador que pone el foco en los banners de las tecnologías. Son usados para identificar tecnologías vulnerables, como servidores sin parche de seguridad, recursos no protegidos… Así pues, nos valdría para realizar auditorías, pentesting, fingerprinting, etc.

¿Cómo funcionan? Lo que hacen es, básicamente, capturar los banners, que son los metadatos que el servidor devuelve al cliente. Estos banners son los que nos mostraran estos buscadores, y como veremos, la información devuelta puede ser muy interesante.

ciberseguridad en cadiz

Shodan

Es el principal buscador tecnológico. Es gratuito, pero si quieres ver los resultados más allá de la primera páginas de resultados necesitareis registraros.

ciberseguridad en cadiz

Solo solicita un nombre de usuario, contraseña asociada y dirección de correo.

ciberseguridad en cadiz

Posteriormente, activáis la cuenta haciendo clic en la url que os llegará al email de registro.

Una vez confirmada, además, dispondréis de una API key.

 

Productos

Shodan dispone de varios productos.

ciberseguridad en cadiz

Es posible su adición a Maltego (software de minería de datos) y como extensión para el navegador, tanto Firefox como Chrome (proporcionará información de los banner en el sitio web visitado). Dispone, además, de la opción de búsqueda de exploit y de búsqueda de términos en mapa. La búsqueda por imágenes requiere de una cuenta de pago (49$, aunque en muchas ocasiones suelen salir descuentos). También, es posible, emplear Shodan por línea de comandos, y acceder a las opciones de desarrollador, introduciendo en ambos la API key.

 

Shodan: Search Engine

Pasemos a la parte principal de Shodan, su search engine.

ciberseguridad en cadiz

¿Qué nos permite Shodan?

Con Shodan podemos explorar y descubrir todos los dispositivos conectados a internet, su ubicación, su uso… Plantas de energía, Smart TVs, refrigeradores, ATGs, IoT, webcams… pueden ser detectados a través de Shodan. Todo esto lo podemos emplear para monitorizar nuestra red o la de terceros, y entender, por ejemplo, quienes están usando unos dispositivos concretos y dónde, obteniendo así ventajas competitivas.

 

Operadores de búsqueda en Shodan

Shodan solo dispone de una barra de búsqueda, y no nos permite en una primera instancia realizar filtros. Comentamos cuáles son los operadores más interesantes que podemos emplear en esta barra de búsqueda:

  • Ciudad –> city –> apache city:Madrid
  • País –> country –> apache country:es
  • Dominio –> hostname –> es
  • Red o rango –> net –> net: 184.25.148.34
  • Sistema Operativo –> os –> os:windows
  • Puerto –> port –> port:445
  • Título –> title –> title:”SCADA”
  • OR –> |
  • Exclusión –> –

Con ellos, podemos realizar una búsqueda más avanzada. Podemos comprobar, por ejemplo, qué máquinas en España continúan con el puerto 445 (SMB) abierto, que fue el utilizado por WannaCry.

port:445 country:es

ciberseguridad en cadiz

Obtenemos, que existen en España 15.302 máquinas con el puerto 445 abierto (normalmente con el servicio Samba).

En la parte izquierda, podemos filtrar aún más, por ciudad, organización, sistema operativo, producto… El potencial de esta herramienta es increíble.

ciberseguridad en cadiz

Si vemos en detalle alguno de los resultados…

ciberseguridad en cadiz

Podemos observar cierta información como: dirección IP, sistema operativo, organización, fecha de indexación de Shodan, país… y detalles, en esta caso, el estatus del servicio SMB: el estado de la autentiación, versión, capacidades, shares…

Y si hacemos clic en la dirección IP, nos mostrará más información relacionada, si existiese. En este caso, si la hay. Podemos ver las tecnologías, los numerosos puertos abiertos, e información asociada a cada uno de los servicios que corren en esos puertos.

ciberseguridad en cadizciberseguridad en cadiz

ciberseguridad en cadiz

 

Otros buscadores tecnológicos

  • ZOOMEYE: Desarrollado por la empresa china, Knownsec Inc., es muy similar a Shodan, y requiere de registro previo.
  • MRLOOQUER: Desarrollado por expertos en ciberseguridad españoles. Destaca por poner el foco en las tecnologías IPv6. Permite el empleo de wildcards, y es posible usar expresiones regulares, aunque para ello es necesaria una cuenta premium.

 

 

Y hasta aquí el post de esta semana. Como veis el potencial de Shodan es enorme, y es muy útil en la realización de auditorías y para monitorizar y tener controlada nuestra red o la de nuestros clientes.

Ya sabéis, si necesitáis realizar un informe de ciberinteligencia podéis contactar con nosotros. Somos tu empresa de ciberseguridad en Jerez.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *