「Googleで何かを見つけることができない場合、誰もそれを見つけることができないと考えます。 そんなものではない」と、最悪のWeb検索エンジンであるShodanの作成者であるJohn Matherly氏は言います。
Webで単純なサイトを検索するGoogleとは異なり、 Shodanはインターネット上のシャドウチャネルを使用します。 これは一種の「ブラック」グーグルであり、インターネットに接続され、その一部を形成するサーバー、ウェブカメラ、プリンター、ルーター、およびさまざまな異なる機器を検索できます。
Shodanは1日24時間、週7日営業しており、接続されている5億のデバイスとサービスに関する情報を毎月収集しています。
Shodanで簡単なクエリを使用して見つけることができるものは素晴らしいです。 無数の信号機、 防犯カメラ 、ホームオートメーションシステム、暖房システム-すべてがインターネットに接続され、簡単に検出されます。
Shodanユーザーは、 ウォーターパーク 、ガソリンスタンド、ホテルのワインクーラー、火葬場の制御システムを見つけました。 Shodanのサイバーセキュリティの専門家は、原子力発電所のコマンドおよび制御システムと原子粒子加速器を発見しました。
そして、恐ろしい能力を持つShodanで特に注目に値するのは、言及されたシステムのごくわずかが少なくとも何らかのセキュリティシステムを備えているという事実です。
Rapid 7のセキュリティディレクターであるHR Di Moore氏は、次のように述べています。この会社は、独自の研究タスク用のプライベートShodanデータベースを持っています。
「デフォルトのパスワード」を簡単に検索すると、ユーザー名「admin」とパスワード「1234」を持つプリンター、サーバー、制御システムを無制限に見つけることができます。 さらに多くの接続システムには、アクセスの詳細がまったくありません-任意のブラウザーを使用して接続できます。
昨年のDefcon Cybersecurity Conferenceで、独立系システム侵入スペシャリストのDan Tentlerは、Shodanを使用して、蒸発冷却器、圧力給湯器、ガレージドアの制御システムを見つけた方法を示しました。
彼は、オンとオフを切り替えることができる洗車機と、ボタンを押すだけで解凍できるデンマークのアイスアリーナを見つけました。 ある都市では、道路網管理システム全体がインターネットに接続されており、たった1つのチームで「テストモード」に移行することができました。 フランスでは、2基のタービンを備えた水力発電制御システムを見つけました。各タービンは3メガワットを生成します。
彼らが間違った手に落ちるならば、ひどいもの。
「これは深刻な害を引き起こす可能性があります」とTentlerは述べ、彼はそれを穏やかに述べました。
では、なぜこれらのデバイスはすべてネットワークに接続され、ほとんど保護されていないのでしょうか? iPhoneが制御するドアロックなど、場合によっては、見つけるのが非常に難しいと一般に考えられています。 そして、安全性は残留物と考えられています。
さらに深刻な問題は、これらのデバイスの多くがまったくオンラインであってはならないことです。 企業は、コンピューターを使用して暖房システムなどを制御するデバイスを購入することがよくあります。 コンピューターを暖房システムに接続する方法は? 多くのIT部門に直接接続するのではなく、単に両方をWebサーバーに接続するだけで、知らないうちに全世界に公開します。
「もちろん、そのようなことには単に安全性はありません」とマザリーは言います。 「しかし、まず第一に、彼らはインターネット上に場所がありません。」
しかし、良いことは、Shodanがほぼ完全に良い目的に使用されていることです。
3年前に楽しみのためだけにShodanを作成したMatherly自身が、アカウントのないリクエストを10件、アカウントのあるリクエストを50件に制限しました。 Shodanの力を活用したい場合、Matherlyはあなたの目標と支払いについての詳細を尋ねます。
侵入テスト、セキュリティの専門家、研究者、法執行機関がShodanの主なユーザーです。 Shodanが悪者を利用することもできることに、Matherlyは同意します。 しかし、サイバー犯罪者は通常、ボットネットにアクセスできます-感染したコンピューターの大規模なコレクションで、同じことを密かに行うことができます。
今日、ほとんどのサイバー攻撃は、お金と知的財産を盗むことに集中しています。 悪者たちはまだ、建物を爆破したり、信号機を消したりして誰かを傷つけようとはしていません。
セキュリティの専門家は、これらの安全でない接続デバイスとサービスをShodanで識別し、所有者に脆弱性を警告することにより、このシナリオを防止したいと考えています。 一方、セキュリティのないインターネット上の多くのものは、ただ座って攻撃を待ちます。