Shodan najde i to, co považujete za skryté

Málokdo se ubránil tomu, aby si vyhledal svoje jméno na Googlu a zjistil, na kolikátém místě je jeho osoba nebo zda není ve výsledku vyhledávání obrázků nelichotivá fotografie. Co Google nenajde, jakoby nebylo. Co když se ale zaměříte na trochu jiný artikl výsledků. Co třeba nezabezpečená tiskárna, bezpečnostní kamera nebo ovládání garážových dveří sousedova domu.

Podobně fantastické úvahy jsou reálnější, než by se mohlo zdát. Vyhledávací engine Shodan je schopný najít prakticky všechno, co je připojené k internetu. Pokud je to navíc špatně zabezpečené a opatřené výchozím heslem, může si z těchto zařízení leckdo udělat svůj cíl a v nejlepším případě vás jen pozlobit.

Na loňské Defcon cybersecurity conference představil Dan Tentler, nezávislý bezpečnostní tester, jak pomocí Shodanu najít ovládací systém chlazení, tlakové ohřívače vody nebo garážová vrata. Našel například myčku aut, kterou lze zapnout a vypnout a kluziště v Dánsku, které lze stisknutím tlačítka rozmrazit. Městský dopravní systém bylo možno uvést do testovacího módu jediným příkazem. Dokonce našel i ovládání vodní elektrárny ve Francii s dvěma třímegawattovými turbínami. „Můžete tím napáchat spoustu vážných škod,“ tvrdí Dan Tentler.

Shodan sbírá nepřetržitě informace od více než 500 milionů zařízení a služeb měsíčně. Impozantní číslo navíc podtrhává předpoklad o počtu špatně zabezpečených přístupů a hesel, která byla zvolena špatně nebo vůbec a dodnes jsou nastavena z výroby jako „1234″ nebo „password“.
Program lze však využít hlavně v tom dobrém slova smyslu s to k varování těch, kteří vlastní dohledatelná zařízení a upozornit je na bezpečnostní riziko.

John Matherly
A kdo stojí za tímto pozoruhodným enginem? Jeden člověk. John Matherly z kalifornského San Diega. V roce 2007 dokončil University of California v oboru bioinženrství. Během studia pracoval jako programátor a analytik v San Diego Supercomputer Center a v roce 2009 založil Shodan.

Vyhledávání lze v Shodanu filtrovat podle státu nebo protokolu

Zdroj: Svět hostingu