Yet another Shodan

Докладчики:

Агиевич ИгорьМарков Павел

WHOAMIМарков Павел

Заместитель начальника отдела «Интернет-технологий», ОАО «Технологии радиоконтроля»

Последние 3 года выступал на конференции PHDays, призёр конкурса (второе место) Critical Infrastructure Attack на PHDays IV

Имеет непосредственное отношение к созданию рассматриваемого в докладе поискового механизма

WHOAMIАгиевич Игорь

Начальник отдела «Интернет-технологий», ОАО «Технологии радиоконтроля»

Выступал на конференции PHDaysII-IV, ZeroNights.

Обнаружил и опубликовал уязвимости в антивирусе Agnitum Outpost Security Suite, приложениях VirtualBox и vBulletin.

План доклада

l Предпосылки создания своего велосипеда и чего нам не хватало в Shodan

l Проблемы сбора и анализа данныхl Как это всё работает

С чего всё началось

Пентест периметра собственных сетей и последующий анализ

Сбор и анализ статистики устройств в сети Интернет

Пентест периметра собственных сетей и последующий анализ

Ковыряться в куче файлов с результатами сканирования неудобно

Вносить эти данные в Shodan не хотелось

Как это работает: со стороны пользователя

Как это работает: чуть подробнее

Анализ данныхЧего нам не хватало в Shodan

l Не все TCP\UDP портыl l Трудности гибкого поиска

Чего нам не хватало в ShodanПример уязвимости для поиска

Чего нам не хватало в ShodanПоиск по маске

Чего нам не хватало в Shodan -сделали сами. Уязвимые версии

Чего нам не хватало в Shodan -сделали сами. Неуязвимые

версии

Ищем АСУ ТП

Чего нам не хватало в Shodan

Чего нам не хватало в ShodanИщем открытый порт memcached

Чего нам не хватало в ShodanПример: Банки с открытым портом

memcached (11211\TCP)

Ищем то же самое у себя

Какие уязвимые банки мы нашли?

Какие уязвимые банки мы нашли?

Но есть действительно финансовые банки

...и сайт банка уязвим

Уязвимость есть, а толку нет

l Действительно финансовый банк, действительно открытый memcached-порт.

l Но чувствительной информации нет

Проблема сбора статистики

l Откуда брать? Открытые источники или самостоятельное сканирование?

Открытые источники (scans.io)Есть не все порты

Проблемы самостоятельного сканирования

l VDS-провайдеры любят банить, даже SYN-сканирование. Особенно после CVE-2014-0160

Проблемы самостоятельного сканирования

l Интернет большой, nmap будет долго его сканировать

l Используем связку: nmap+zmap

Проблемы анализаСколько маршрутизаторов Cisco в

Интернете?

Проблемы анализаКакие устройства выпускает

Cisco?

Cisco или не Cisco? Вот в чём вопрос

Вариант ситуации

Сколько в Интернете устройств NAS Synology?

Открытые порты в NAS Synology

nmap: Результаты сканирования NAS Synology

Альтернативный запрос поиска NAS Synology

Альтернативный запрос поиска NAS Synology

Ищем то же самое в Shodan

Хотя в Shodan они есть

Проблемы анализа.Варианты подключение устройств

к Интернету

Проблемы анализа.Варианты подключение устройств

к Интернету

Использование Firewall мешает анализу

Проблемы анализа.Варианты подключение устройств

к Интернету

Проблемы анализа:Сколько устройств уязвимы к

CVE2014-0160

Проблемы анализа:Альтернативный поиск CVE2014-

0160

Необходимость актуализации записей

Как это работает: боты для актуализации записей

БонусКак узнать где Банкомат? Он сам

скажет

Вопросы?

Агиевич Игорь

shanker@nppntt.ruTwitter: @shanker_sechabrahabr.ru/users/shanker