Neither Shodan nor Censys are likely to be used by some serious cybercriminals — the real big bad guys have had botnets for a while, which can serve the very same purpose yet yield more power. It took Shodan’s creator John Matherly only 5 hours to ping and map all the devices on the whole Internet, and a botnet utilising hundreds of computers would probably do that even faster.
But there are a lot of other people who already have tried to misuse Shodan and Censys to play bad tricks and pranks on other people.
Shodan and Censys: the ominous guides through the Internet of Things
by John Snow
https://www.kaspersky.co.za/blog/shodan-censys/11430/
Look around — we are living in the Internet of Things. In our day-to-day life, we encounter things connected to the Internet, starting with our home Wi-Fi routers and leading up to traffic light management systems and street security cameras. Since they are connected, all of them can be found in two worlds — both in the real world and in the Web.
And like there is Google to help you find the data you are looking for on the Internet, there are also special search engines that help you find these connected devices. Say hello to Shodan and Censys!
Shodan is the first (and probably the foremost) search engine for the Internet of Things — it’s been around for more than 7 years. It was named after the main antagonist in the computer game series System Shock — a highly villainous artificial intelligence called Shodan. Real-world Shodan is not as relentless, but it is capable of doing harm. But before we get to the bad news, let’s find out how does the search engine actually work.
In certain sense Shodan is like a guy who walks throughout the city and knocks on every door he sees. But instead of doors Shodan “knocks” on every IPv4 address, and instead of some city there is the whole world.
If you ask that guy about a particular type of doors or about doors in a particular part of the city — he certainly would know something and would provide you the information: how many of those doors are there, who answers them and what do they say. Shodan gives you the same information about those IoT items: how are they called, what type are they, and is there a web interface one can use. It’s not totally free — Shodan requires a subscription, which is relatively cheap.
There is no problem on knocking on doors unless you find out that there are a lot of doors with no locks and no one who can stop the bad guys from breaking in. In the world of IoT these doors are represented by unprotected routers, IP cameras and other things that use default logins and passwords. Once you’ve managed to enter their web-interface and figure out the login/password — you can gain full access to them. And it’s not rocket science since the information about default logins and passwords for different connected devices can usually be found on the websites of their manufacturers.
If it’s an IP camera, you can see everything it sees and even control it if it supports something like that. If it’s a router, you can change its settings. If it’s a baby monitor — you can talk to the poor baby in a scary voice. It’s all up to your moral standards.
But there are other things that can be found with Shodan — like, for example, an unprotected X-ray machine, which allows you to see the pictures it takes.
Exploring Shodan is rather interesting as many people doing it are curious to know what they can discover. Some have found water park facility controls, while others stumbled upon a nuclear plant. Let’s add car washes, heat pumps, ATMs, and pretty much everything else you can imagine that has an internet connection. Our expert Sergey Lozhkin has stumbled upon some medical equipment, but that’s another story.
If an insecure IP camera can only potentially harm someone’s privacy, other insecure connected things like the aforementioned water park facility controls or some onboard train systems are capable of turning a rather big area into a local apocalypse, if they end up operated by the wrong hands. That’s why manufacturers and system administrators of such critical infrastructure have to be extremely careful with the security of these connected things.
For a long time Shodan was the only IoT search engine. In the year 2013 a free rival called Censys emerged (unlike Shodan’s fees). It is also a search engine for the IoT relying on the same basic principles, but, as its creators say, more precise when it comes to searching for vulnerabilities. Oh, yes, Censys can actually give you a list of the devices with a particular vulnerability, for example, those vulnerable to Heartbleed.
Censys was created by a group of scientists from the University of Michigan as an instrument to make Internet more secure. In fact, both Shodan and Censys are meant for security researches, but as the duo gains more and more attention, there certainly can be a lot of people who would try to use it for more nefarious purposes.
Neither Shodan nor Censys are likely to be used by some serious cybercriminals — the real big bad guys have had botnets for a while, which can serve the very same purpose yet yield more power. It took Shodan’s creator John Matherly only 5 hours to ping and map all the devices on the whole Internet, and a botnet utilising hundreds of computers would probably do that even faster.
But there are a lot of other people who already have tried to misuse Shodan and Censys to play bad tricks and pranks on other people. And while the problem with the IoT security is mostly for the manufacturers to solve, there are a few things that you can do about it to secure those connected things that actually belong to you. We’ll have our experts walk you through them in one of our upcoming blogposts in the ‘Internet of Things Search‘ series.
ShodanとCensys:IoT検索エンジンの危険性
by John Snow
https://blog.kaspersky.co.jp/shodan-censys/10506/
周りを見回してみてください。私たちは今、モノのインターネット(IoT)に囲まれて暮らしています。日常生活の中で、自宅のWi-Fiルーターから交通信号管理システム、街頭防犯カメラに至るまで、インターネットに接続されたモノをいろいろと目にします。接続されているモノは、すべて現実世界とWeb世界という2つの世界で見つけることができます。
インターネット上で情報を検索するためにGoogleが存在するように、IoTデバイスを探すために特殊な検索エンジンが存在します。ShodanとCensysです。
Shodanは、最初の(そしておそらく最先端の)IoT検索エンジンで、登場したのは7年以上前です。この名称は、『システム・ショック』というコンピューターゲームシリーズに登場するメインキャラクターである、邪悪な人工知能SHODANにちなんでいます。検索エンジンの方のShodanはそれほど悪辣ではないものの、害を及ぼす可能性がないとはいえません。ですが、そうした害についての話はさておき、まず検索エンジンShodanの具体的な仕組みを見てみましょう。
ある意味Shodanは、街中を歩きながら目に入った家のドアを一軒一軒ノックして回るセールスマンに例えることができます。違いは、Shodanがドアの代わりにIPv4アドレスを1つ1つ「ノック」することと、その辺の街どころか世界中を回っていることです。
そのセールスマンに、たとえば特定の種類のドアや、特定の区域にある家のドアについて尋ねたとしましょう。セールスマンは何かしら知っていて、そうしたドアがいくつあるか、誰が応対したか、何を言ったか、といった情報を提供してくれるはずです。ShodanもIoTデバイスについて同じような情報、具体的には呼び出し方法、種類、人が使用できるWebインターフェイスの有無などの情報を提供します。完全に無料というわけではありません。Shodanの全機能を利用するには、比較的低額ではありますが利用料を支払う必要があります。
家のドアをノックすること自体に問題はありません。ただし、鍵もなければ悪人が押し入るのを阻止する人もいないドアだらけとなると、話は違ってきます。IoTの世界で、こうした不用心なドアに相当するのは、既定のログイン名やパスワードを使っている、保護されていないルーターやIPカメラなどのデバイスです。この手のデバイスのWebインターフェイスに侵入し、ログイン名とパスワードを割り出せば、何にでもアクセス可能です。各種IoTデバイスの既定のログイン名やパスワードについての情報は、デバイスメーカーのWebサイトでたいてい見つかるので、特に難しい技術が必要になることもありません。
IPカメラに侵入すれば、カメラに映る映像を見ることができますし、遠隔操作に対応した機種であれば操作も可能です。ルーターであれば、設定を変更することができます。ベビーモニターであれば、幼い子どもに恐ろしげな声で話しかけることもできます。どこまでやるかは侵入者の倫理観次第です。
Shodanで見つかるデバイスは、それだけではありません。たとえば、保護されていないX線撮影装置に侵入すれば、撮影されたX線写真を見ることができます。
Shodanでいろいろなモノを探してみるのは面白いものです。何が見つかるかを確かめたくて検索を試す人は大勢います。アミューズメントプールの設備の管理装置を見つけた人もいれば、原子力発電所に出くわした人もいます。洗車場、ビルの空調設備、ATMなど、インターネットに接続されていて、頭に思い浮かぶモノならほぼ何でも見つかるでしょう。当社のエキスパート、セルゲイ・ロズキン(Sergey Lozhkin)はたまたま医療機器を見つけましたが、その話は別の記事で紹介しました。
保護されていないIPカメラならば、被害はプライバシーの侵害程度です。しかし、先に出てきたようなアミューズメントプールの設備管理装置や列車の車載システムといったIoTデバイスの安全性に不備があり、それが良からぬ者の手で操作されることになったならば、局地的にかなりの範囲が大災難に見舞われるおそれがあります。ですから、こうした重要インフラのメーカーやシステム管理者は、IoTデバイスのセキュリティに厳重な注意を払う必要があります。
しばらくの間、IoT検索エンジンはShodanだけでした。2013年、Censysというライバルが登場しました(有料制のShodanと違ってこちらは無料)。IoT用検索エンジンとしての基本原理は同じですが、開発者によると、脆弱性の検索という点ではCensysの方が高精度です。というのも、Censysでは特定の脆弱性に関連するデバイス(たとえばHeartbleedの影響を受けるデバイス)の一覧が検索結果に表示されるのです。
Censysは、インターネットの安全性を強化するためのツールとして、ミシガン大学の研究者グループが開発したツールです。そもそもShodanもCensysもセキュリティ調査用として開発されたのですが、以前よりも注目を集めつつあるため、良からぬ目的に利用しようとする輩が大勢出てくることは確実です。
ShodanもCensysも、「本気の」サイバー犯罪者に利用される可能性は高くなさそうです。真の大物サイバー犯罪者たちは、まさに同じ目的で使えるうえにさらにパワフルな「ボットネット」を活用してきました。Shodanを開発したジョン・マザリー(John Matherly)氏がインターネット上のすべてのデバイスをpingしてマッピングするのには5時間しかかかりませんでしたが(英語記事)、数百台のコンピューターを駆使するボットネットなら、それよりも速く処理できることでしょう。
しかし、本気のサイバー犯罪者でなくても、ShodanやCensysを悪用して他の人にちょっかいを出そうとした者は大勢います。IoTのセキュリティに関する問題は、主としてメーカー側が解決すべきですが、IoTデバイスを所有するユーザーの側でも、デバイスの安全性を強化するためにできることがあります。今後、当ブログの「IoT検索」シリーズとして掲載する記事の中で、当社のエキスパートがそうした対策を紹介する予定です。