Buscando dispositivos na Internet
Quando as pessoas não encontram algo na busca feita no Google, não significa que esta coisa não pode ser encontrada. De acordo com o criador do buscador Shodan, John Matherly, existe um novo buscador na web com capacidade assustadora.
Diferentemente do Google, que utiliza crawls para localizar os sites da web, Shodan navega a Internet através de seus canais de retorno. É uma espécie de dark Google, procurando por servidores, webcams, impressoras, roteadores e todos os demais equipamentos conectados que formam a Internet.
Shodan funciona 24 horas por dia, 7 dias na semana e coleta informação de aproximadamente 500 milhões de dispositivos e serviços a cada mês.
É realmente assombroso o que se pode encontrar com uma simples busca no Shodan. Inúmeros sinais de trânsito, câmeras de segurança, dispositivos de automação de casas e sistemas de aquecimento estão conectados à Internet e são fáceis de serem detectados.
O Shodan conseguiu localizar sistemas de controle de um parque aquático, um posto de gasolina, um sistema de climatização de vinhos de um hotel e um crematório. Pesquisadores de segurança cibernética localizaram sistemas de controle e comando de plantas de usinas nucleares e um acelerador de partículas cyclotron, simplesmente utilizando o Shodan.
Mas o que faz com que o Shodan seja capaz de encontrar tantas coisas é o fato de que poucos dispositivos possuem uma segurança interna. Existe uma massiva falha de segurança.
Uma busca rápida pela senha padrão revela incontáveis impressoras, servidores e sistemas de controle de dispositivos que usam admin como nome de usuário e 1234 como senha. Muitos sistemas conectados sequer necessitam de credenciais de segurança para serem acessados, apenas um navegador de Internet.
Numa palestra feita o ano passado na Conferência de Segurança Cibernética da Defcon, Dan Tentler demonstrou como usar o Shodan para encontrar sistemas de controle para resfriadores evaporativos, aquecedores de água pressurizados e controles de portas de garagens.
Foi encontrado um lava-jato que podia ser ligado e desligado a distância e uma pista de hockey na Dinamarca que podia ser descongelada com o clique de um botão. Um sistema de tráfego inteiro de uma cidade estava conectado à Internet e podia ser colocado em modo teste com um simples comando. Também foi encontrado um controle de uma planta de uma usina hidroelétrica na França com duas turbinas gerando 3 megawatts cada uma.
Coisas espantosas em mãos erradas poderiam gerar graves problemas. Mas porque tais dispositivos estão conectados de forma tão insegura? Algumas coisas são projetadas para serem conectadas à Internet, como uma trava de uma porta que pode ser controlada com um iPhone, são consideradas como difíceis de serem encontradas na Internet. A segurança, então, é deixada de lado julgando-se que o dispositivo nunca poderá ser rastreado. Muitos desses dispositivos, sequer deveriam ser conectados à Internet.
A boa notícia é que Shodan é quase exclusivamente utilizado para o bem. Matherly, que completou o projeto do Shodan a cerca de uns três anos atrás como seu projeto favorito, limitou a busca a apenas 10 resultados para usuários que não tenham uma conta no aplicativo e 50 para os usuários cadastrados no Shodan.
Para obter os resultados completos de busca através do Shodan, é necessário efetuar um cadastro e fazer pagamentos. Testadores de segurança, profissionais de segurança, pesquisadores acadêmicos e agências de aplicação da lei são os principais usuários do aplicativo.
Os criminosos cibernéticos podem utilizá-lo como ponto de partida, mas geralmetne eles acabam tendo acesso aos chamados botnets - uma vasta quantidade de computadores infectados - de onde retiram sua informação para a invasão, sem serem detectados.
Em suma, a maioria desses criminosos têm o objetivo de roubar dinheiro ou propriedade intelectual. Não existem casos de incidentes com sistemas de tráfego.
Os profissionais de segurança esperam evitar tais cenários vulneráveis utilizando o Shodan para alertar as possíveis vítimas da vulnerabilidade de seus dispositivos.
Experimente: http://www.shodanhq.com/
Experimente: http://www.shodanhq.com/
Vídeo
Fonte: Adaptado de CNN Money
0 comentários:
Postar um comentário