Yet another Shodan
Докладчики:
Агиевич ИгорьМарков Павел
WHOAMIМарков Павел
Заместитель начальника отдела «Интернет-технологий», ОАО «Технологии радиоконтроля»
Последние 3 года выступал на конференции PHDays, призёр конкурса (второе место) Critical Infrastructure Attack на PHDays IV
Имеет непосредственное отношение к созданию рассматриваемого в докладе поискового механизма
WHOAMIАгиевич Игорь
Начальник отдела «Интернет-технологий», ОАО «Технологии радиоконтроля»
Выступал на конференции PHDaysII-IV, ZeroNights.
Обнаружил и опубликовал уязвимости в антивирусе Agnitum Outpost Security Suite, приложениях VirtualBox и vBulletin.
План доклада
l Предпосылки создания своего велосипеда и чего нам не хватало в Shodan
l Проблемы сбора и анализа данныхl Как это всё работает
С чего всё началось
Пентест периметра собственных сетей и последующий анализ
Сбор и анализ статистики устройств в сети Интернет
Пентест периметра собственных сетей и последующий анализ
Ковыряться в куче файлов с результатами сканирования неудобно
Вносить эти данные в Shodan не хотелось
Как это работает: со стороны пользователя
Как это работает: чуть подробнее
Анализ данныхЧего нам не хватало в Shodan
l Не все TCP\UDP портыl l Трудности гибкого поиска
Чего нам не хватало в ShodanПример уязвимости для поиска
Чего нам не хватало в ShodanПоиск по маске
Чего нам не хватало в Shodan -сделали сами. Уязвимые версии
Чего нам не хватало в Shodan -сделали сами. Неуязвимые
версии
Чего нам не хватало в Shodan
Чего нам не хватало в ShodanИщем открытый порт memcached
Чего нам не хватало в ShodanПример: Банки с открытым портом
memcached (11211\TCP)
Ищем то же самое у себя
Какие уязвимые банки мы нашли?
Какие уязвимые банки мы нашли?
Но есть действительно финансовые банки
...и сайт банка уязвим
Уязвимость есть, а толку нет
l Действительно финансовый банк, действительно открытый memcached-порт.
l Но чувствительной информации нет
Проблема сбора статистики
l Откуда брать? Открытые источники или самостоятельное сканирование?
Открытые источники (scans.io)Есть не все порты
Проблемы самостоятельного сканирования
l VDS-провайдеры любят банить, даже SYN-сканирование. Особенно после CVE-2014-0160
Проблемы самостоятельного сканирования
l Интернет большой, nmap будет долго его сканировать
l Используем связку: nmap+zmap
Проблемы анализаСколько маршрутизаторов Cisco в
Интернете?
Проблемы анализаКакие устройства выпускает
Cisco?
Cisco или не Cisco? Вот в чём вопрос
Сколько в Интернете устройств NAS Synology?
Открытые порты в NAS Synology
nmap: Результаты сканирования NAS Synology
Альтернативный запрос поиска NAS Synology
Альтернативный запрос поиска NAS Synology
Ищем то же самое в Shodan
Хотя в Shodan они есть
Проблемы анализа.Варианты подключение устройств
к Интернету
Проблемы анализа.Варианты подключение устройств
к Интернету
Использование Firewall мешает анализу
Проблемы анализа.Варианты подключение устройств
к Интернету
Проблемы анализа:Сколько устройств уязвимы к
CVE2014-0160
Проблемы анализа:Альтернативный поиск CVE2014-
0160
Необходимость актуализации записей
Как это работает: боты для актуализации записей
БонусКак узнать где Банкомат? Он сам
скажет
Вопросы?
Агиевич Игорь
[email protected]: @shanker_sechabrahabr.ru/users/shanker