Shodan o el buscador de “la internet de las cosas”

Hoy en una nota de Forbes se habla de Shodan un buscador que uso cada tanto para ver como lo van actualizando y que tiene una particularidad, no busca documentos sino dispositivos conectados a Internet con dos detalles, una serie de filtros te permiten encontrar cosas muy específicas como cámaras Cisco vulnerables a ciertos ataques que estén localizadas en una ciudad y se hayan instalado entre X fechas… y así, lo que el fundador pensó que podía ser usado para mapear el mundo de The Internet of Things, resultó una excelente herramienta para darse cuenta que nadie le presta atención a la seguridad de estos dispositivos.

SHODAN - Computer Search Engine

Por poner un ejemplo, si uno busca en la zona de exploits va a ver que hay noticias donde se dice cuales son los equipos susceptibles de fallas de seguridad pero si uno encuentra muchos equipos conectados y hace una búsqueda en Google tonta como linksys cameras default password y sabe sumar 2+2… ya saben sobre que cosas pueden tomar control :)

De hecho el año pasado, el famoso Internet Census 2012, mostró que hay cientos de miles de equipos que no usan claves o que usan las de fábrica

“Todo el mundo está hablando de exploits de alto-nivel y ciberguerra” … “[Pero] cuatro simples, estúpidas, contraseñas por defecto de Telnet pueden darte acceso a cientos de miles de consumidores, así como decenas de miles de dispositivos industriales de todo el mundo.” [les recomiendo leer con tranquilidad este paper que parece gracioso pero muestra la falta de conciencia que hay]

Ahora, es realmente interesante que información pública, accesible a un script-kiddie y un simple buscador sean capaces de destruir equipos o entrar en lugares que uno no esperaría… aunque tambien sea una buena herramienta para white-hats

Billy Rios de Cylance busca vulnerabilidades en soft, luego usa Shodan para encontrar los equipos que están con IP públicas y busca acceder a ellos y luego se los avisa; entre los detalles que encontró… Bancos, Centros de Convenciones, hasta Google Australia tenía online los controles de seguridad, luces e infraestructura sin clave y si eso te parece mucho; Homeland Security admitió que alguién entró en dos edificios y les subió la temperatura.

¿Que es una pavada subir la temperatura? Claro, pero apagar la electricidad de un edificio en una situación de emergencia o poder manejar la cámara del monitor de tu bebe (especialmente si es de marca China como Foscam) no creo que sean situaciones agradables.

Y todo lo que lo evitaría es leer un manual, ocultar la IP y poner una clave propia :)