5 مورد از بزرگترین نمایش داده های کشف شده از طریق Shodan

در عصر دیجیتال امروز ، سازمان ها به طور فزاینده دستگاه ها را به اینترنت وصل می کنند. با انجام این کار ممکن است با ساده تر کردن فرآیندهای مهم و ارائه خدمات مهم از راه دور ، یک مزیت تجاری برای یک شرکت رقم بخورد.

ولی همچنین می تواند گنجینه ای از اطلاعات مربوط به دستگاه متصل و داده های حساس را که ممکن است از آنها استفاده کند را کشف کند.

Shodan از برجسته کردن این قرار گرفتن در معرض ناخواسته از اطلاعات توسط صاحبان دستگاه متمایز است. توسط برنامه نویس جان ماترلی در سال 2009 راه اندازی شد, Shodan یک موتور جستجو است که به کاربران امکان می دهد وب را برای وب کم ، روتر و سایر محصولات هوشمند قابل اتصال پاک کنند.

این سرویس 24/7 با کمک سرورهای وب مستقر در سراسر جهان فعالیت می کند ، 56 درصد از شرکت های Fortune 100 و بیش از هزار دانشگاه را با هوش برای کشف و ردیابی دستگاههای متصل به اینترنت آنها. سپس این سازمان ها می توانند از این اطلاعات برای انجام تحقیقات تجاری تجربی در تلاش برای پیشرفت برند و تجارت خود استفاده کنند.

البته ، Shodan علاوه بر کمک به شرکت ها برای دستیابی به یک مزیت رقابتی ، موارد دیگری نیز دارد. محققان اغلب از “موتور جستجوگر ترسناک در اینترنت” استفاده می کنند خطرات امنیتی بالقوه را پیدا کنید. به عنوان مثال ، متریلی و سایر کاربران Shodan “تعداد بی شماری” از سیستم های کنترل صنعتی باز و بالقوه قابل بهره برداری (ICS) را در سال 2012 پیدا کردند.

در همین زمان ، باب Radvanovsky و Jacob Brodsky از مشاوره امنیتی InfraCritical از طریق بررسی سرویس ، 500000 رایانه تحت نظارت بر نیروگاههای هسته ای و سایر تجهیزات را کشف کردند. وزارت امنیت داخلی ایالات متحده آن فهرست را گرفت ، آن را محدود کرد و به 7،200 هدف مهم رسید و با صاحبان ارتباط برقرار کرد تا از اهمیت امنیت دستگاه متصل به وبشان به آنها تأکید کنندs.

کاربران با جستجو در سرورهای Shodan ، از جمله حوادث مربوط به قرار گرفتن در معرض اطلاعات حساس ، کشفهای قابل توجهی را انجام داده اند. در اینجا برخی از بزرگترین افشاگری ها برای ایجاد عناوین در سال های اخیر آورده شده است.

بانک اطلاعاتی 560 میلیون اعتبار قبلاً سازش شده

در طی یک مأموریت امنیتی منظم از Shodan ، محققان مرکز امنیت Kromtech به 313 پایگاه داده بزرگ با بیش از 1 گیگ و در برخی موارد چندین ترابایت داده رسیدند. یکی از این پایگاه داده ها نمونه MongoDB بود که پیکربندی پیش فرض را فعال می کرد ، از این طریق به محققان اجازه می دهد مطالب آن را مشاهده کنند. هنگامی که به داخل آنها نگاه کردند ، بیش از 560 میلیون آدرس ایمیل و گذرواژهای جمع آوری شده از منابع دیگر کشف کردند.

مرکز امنیت Kromtech باعث شد Troy Hunt از Have I Be Pnned از پایگاه داده آگاه شود, که در زمان کشف میزبان بر روی IP مبتنی بر ابر بود. هانت با اجرای نمونه ای از خدمات خود ، 243،692،899 ایمیل منحصر به فرد را شناسایی کرد. تقریباً همه آنها در نتیجه “نقض مگا” مانند LinkedIn و Dropbox در قسمت “I I Be Pwned” حضور داشتند..

هنوز مشخص نیست که چه کسی دارای پایگاه داده آسیب پذیر است. Kromtech با استفاده از نام یافت شده در اطلاعات پایگاه داده ، می گوید كه متعلق به شخصی به نام “ادی” است.

اعتبارنامه 13 میلیون کاربر که به طور بالقوه در معرض دید کاربران قرار دارند

صحبت از Kromtech, محقق امنیتی کریس ویکری از Shodan بخاطر موارد آسیب پذیر MongoDB در گوش دادن به درگاه 27101 برای اتصالات ورودی سؤال کرد. وی سپس این اطلاعات را در دست گرفت و آن را در MongoVue ، ابزاری برای مرور پایگاه داده ها قرار داد.

در انجام این کار, او با یک مشکل امنیتی در سرورهای وب برای MacKeeper روبرو شد, نرم افزار توسعه یافته توسط Kromtech. ضعفی که توسط ویکری کشف شد به هر کسی اجازه داد تا اطلاعات موجود در بانکهای اطلاعاتی را بدون هیچگونه تأیید اعتبار مشاهده کند.

همانطور که توسط Krebs on Security گزارش شده است ، با نگاهی به بانکهای اطلاعاتی ، 21 گیگ داده از جمله نام ، رمزهای عبور و سایر اطلاعات حساب برای 13 میلیون کاربر MacKeeper آشکار شد..

پس از آنكه ویكری موضوع را به شركت فناوری اعلام كرد ، كرومتك بیانیه ای را منتشر كرد كه از ویكری بخاطر كشف وی و تبیین سیاستهای ذخیره داده خود تشكر كرد:

تنها اطلاعات مشتری ما را نگه می دارد نام ، محصولات سفارش داده شده ، اطلاعات مجوز ، آدرس IP عمومی و اعتبار کاربر آنها مانند نام کاربری خاص محصول ، هش رمز عبور برای حساب مدیر وب مشتری که در آن آنها می توانند اشتراک ، پشتیبانی و مجوز محصول را مدیریت کنند..

Kromtech همچنین تأیید کرد که این پایگاه داده ها را تضمین کرده است.

750 مگابایت از هزاران سرور etc.d افشا شد

محقق Giovanni Collazo با جستجوی “و غیره” ، جستجوی ساده ای از Shodan انجام داد یک نوع بانک اطلاعاتی که کلمه عبور ، تنظیمات پیکربندی و سایر اطلاعات حساس را در یک دسته از ماشین ها ذخیره می کند. در این جستجو 2،284 سرور و غیره و غیره به این دلیل که مکانیسم تأیید اعتبار آنها به طور پیش فرض غیرفعال شده است ، به وب باز شدند. این بدان معناست که اعتبارهای ذخیره شده هر سرور قابل مشاهده در سطح عمومی است.

برای به دست آوردن یک حس واقعی از مواجهه ، Collazo فقط چند دقیقه برای نوشتن یک اسکریپت طراحی کرد تا تمام اعتبارهای ذخیره شده را با فرمی برگرداند که توسط هکرها قابل استفاده باشد. در نهایت این اسکریپت 750 مگابایت داده از نزدیک به 1500 سرور از جمله نزدیک به 9000 رمز عبور ، 650 کلید دسترسی به دارایی های خدمات وب آمازون (AWS) ، 23 کلید مخفی و هشت کلید خصوصی را جمع آوری کرد..

محقق هیچ یک از مدارکی را که یافته است آزمایش نکرد. اما با توجه به تعداد کوشش های فاش نشده, کولازو گمان می کند حداقل برخی از آنها کار می کردند.

ده ها هزار کامپیوتر که توسط DOUBLEPULSAR آلوده شده اند

در آوریل سال 2023 ، گروه Shadow Brokers یک نسخه از اسناد داخلی NSA را منتشر کرد که حاوی سوءاستفاده ها ، ابزارهای هک و کد حمله است. DOUBLEPULSAR در میان منابع فاش شده ، یک درب پشتی که از سوء استفاده هایی مانند EternalBlue ، EternalChampion ، EternalSynerg و EternalRomance بر روی دستگاه های آسیب پذیر کاسته شد. درپشتی به مهاجمان اجازه می دهد تا کدهای مخرب اضافی را روی دستگاههای سازگار اجرا کنند.

اسکریپت های کشف مختلف که اندکی پس از زباله های داده Shadow Brokers نوشتند فهمید که DOUBLEPULSAR قبلاً در حدود 50،000 دستگاه فعال بود. ماتری در آن زمان گفت که اعداد می توانند بسیار بیشتر باشند.

وی گفت: “Shodan در حال حاضر بیش از 2 میلیون IP IP در حال اجرای سرویس SMB عمومی در درگاه 445 دارد. 0.04٪ از خدمات SMB که در داده های خود مشاهده می کنیم ، مستعد DOUBLEPULSAR هستند که منجر به پیش بینی 100،000 پوند دستگاه در اینترنت می شود. تحت تأثیر قرار گرفته اند. “متریلی در ایمیل نوشت ، به نقل از CyberScoop. “Shodan تاکنون 45K [عفونت] را تأیید کرده است.”

اسکن انجام شده توسط شرکت امنیتی زیر00 روز در همان زمان 35000 عفونت توسط DOUBLEPULSAR کشف کرد.

5.12 ویژگی های داده کشف نشده

تحلیلی که توسط Shodan انجام شده است نزدیک به 4500 سرور کشف شد با سیستم فایل توزیع شده Hadoop (HDFS). این تعداد بسیار کمتری از 47820 سرور MongoDB آنلاین است. اما در حالی که موارد MongoDB 25 ترابایت داده را در معرض دید قرار داده است ، سرورهای HDFS 5،120 ترابایت را به خطر انداختند. این 5.12 اطلاعات مربوط به petabytes است.

اکثر سرورهای HDFS پیکربندی نشده در ایالات متحده (1900) و چین (1،426) قرار داشتند. برخی از آنها به ترتیب در آلمان و کره جنوبی به ترتیب 129 و 115 مستقر بودند. اکثر سرورها با 1.059 نمونه آمازون و 507 Alibaba در ابر میزبانی شده بودند.

استفاده دوگانه از Shodan

به وضوح, محققان امنیتی بطور معمول از Shodan استفاده می کنند تا منابع احتمالی قرار گرفتن در معرض داده ها را بصورت آنلاین مشاهده کنند. اما آنها تنها کسانی نیستند که وب را برای دستگاههای متصل به اینترنت جستجو می کنند. آنها تنها در استفاده از Shodan به نفع خود نیستند.

برای مثال, بازیگران بد به اسکریپت هایی رسیده اند که سرویس IP های سرورهای آسیب پذیر Memcached را اسکن می کنند. بدبینی ها می توانند از این دارایی های ناامن استفاده کنند برای شروع حملات انکار سرویس (DDoS) توزیع شده علیه یک هدف. ابزارهایی مانند Autosploit ، ازدواج Shodan و Metasploit نیز موجود است به کاربران امکان می دهد دستگاه های اینترنت اشیاء (IoT) ایمن نادرست را مطابق با سؤال های جستجوی اختصاصی برای سیستم عامل هک کنند.

با توجه به این سوءاستفاده ها ، مهم است كه محققان امنیتی كه از Shodan استفاده می كنند ، نسبت به تماس با صاحبان دستگاه اطلاع دهند. آنها نمی توانند سازمان ها را وادار كنند كه محصولات IoT و سایر دارایی های آسیب پذیر خود را تأمین كنند. ولی آنها می توانند آگاهی از این موضوعات را بالا برده و از این طریق به طور عام بهترین روشهای امنیتی دستگاهها را ارتقا دهند.