stringtranslate.com

Shodan (sitio web)

Shodan es un motor de búsqueda que permite a los usuarios buscar varios tipos de servidores ( cámaras web , enrutadores , servidores , etc.) conectados a Internet utilizando una variedad de filtros. [1] Algunos también lo han descrito como un motor de búsqueda de banners de servicio , que son metadatos que el servidor envía de vuelta al cliente. [2] Esto puede ser información sobre el software del servidor, qué opciones admite el servicio, un mensaje de bienvenida o cualquier otra cosa que el cliente pueda averiguar antes de interactuar con el servidor.

Shodan recopila datos principalmente en servidores web ( HTTP / HTTPS  – puertos 80, 8080, 443, 8443), así como FTP (puerto 21), SSH (puerto 22), Telnet (puerto 23), SNMP (puerto 161), IMAP (puertos 143, o (encriptado) 993), SMTP (puerto 25), SIP (puerto 5060), [3] y Protocolo de transmisión en tiempo real (RTSP, puerto 554). Este último se puede utilizar para acceder a cámaras web y sus transmisiones de video. [4]

Fue lanzado en 2009 por el programador informático John Matherly, quien, en 2003, [5] concibió la idea de buscar dispositivos vinculados a Internet. [6] El nombre Shodan es una referencia a SHODAN , un personaje de la serie de videojuegos System Shock . [5] El uso de Shodan con respecto a un dispositivo que el usuario no posee es un delito grave según las leyes de algunos estados de los Estados Unidos, incluso si no se producen daños al dispositivo o al sistema. [7] [8] [9]

Fondo

El sitio web comenzó como el proyecto favorito de Matherly, basado en el hecho de que una gran cantidad de dispositivos y sistemas informáticos están conectados a Internet. Desde entonces, Shodan se ha utilizado para encontrar sistemas, incluidos sistemas de control para plantas de agua, redes eléctricas y un ciclotrón . [6] [10]

Cobertura mediática

En mayo de 2013, CNN Money publicó un artículo que detalla cómo se puede utilizar Shodan para encontrar sistemas vulnerables en Internet, incluidos los controles de semáforos . Muestran capturas de pantalla de esos sistemas, que mostraban el mensaje de advertencia " ¡PUEDE OCURRIR LA MUERTE! " al conectarse. [11]

En septiembre de 2013, un artículo de Forbes hizo referencia a Shodan y afirmó que se había utilizado para encontrar los fallos de seguridad en las cámaras de seguridad de TRENDnet . [12] Al día siguiente, Forbes publicó un segundo artículo en el que hablaba de los tipos de cosas que se pueden encontrar utilizando Shodan. Entre ellas se incluyen camiones Caterpillar cuyos sistemas de vigilancia a bordo eran accesibles, sistemas de control de calefacción y seguridad para bancos, universidades y gigantes corporativos, cámaras de vigilancia y monitores cardíacos fetales. [13]

En diciembre de 2015, varios medios de comunicación, incluido Ars Technica , informaron que un investigador de seguridad utilizó Shodan para identificar bases de datos MongoDB accesibles en miles de sistemas, incluido uno alojado por Kromtech, el desarrollador de la herramienta de seguridad macOS MacKeeper . [14]

En noviembre de 2021, PCMagazine describió cómo AT&T utilizó Shodan para detectar dispositivos de Internet de las cosas infectados con malware. [15]

Uso

El sitio web escanea Internet en busca de dispositivos de acceso público. [16] Actualmente, Shodan devuelve 10 resultados a los usuarios sin cuenta y 50 a los que tienen una. Si los usuarios quieren eliminar la restricción, deben proporcionar un motivo y pagar una tarifa. [10] Los principales usuarios de Shodan son profesionales de la ciberseguridad , investigadores y organismos de seguridad. Si bien los cibercriminales también pueden utilizar el sitio web, algunos tienen acceso a botnets que podrían realizar la misma tarea sin ser detectados. [10]

Véase también

Referencias

  1. ^ "¿Qué es Shodan? Cómo usarlo y cómo mantenerse protegido [2023]". SafetyDetectives . 2021-12-07 . Consultado el 2023-04-25 .
  2. ^ "¿Qué es Shodan? - Centro de ayuda de Shodan". Shodan . Consultado el 11 de noviembre de 2021 .
  3. ^ "¿Qué es Shodan? - Centro de ayuda de Shodan". Shodan . Consultado el 11 de noviembre de 2021 .
  4. ^ Shodan: El motor de búsqueda de IoT para vigilar a los niños durmiendo y sus travesuras en el dormitorio
  5. ^ ab O'Harrow Jr, Robert (3 de junio de 2012). "Un motor de búsqueda expone peligros de tamaño industrial". Sydney Morning Herald . Consultado el 10 de abril de 2013 .
  6. ^ ab O'Harrow Jr, Robert (3 de junio de 2012). "El motor de búsqueda cibernético Shodan expone los sistemas de control industrial a nuevos riesgos". Washington Post . Consultado el 9 de enero de 2020 .
  7. ^ https://usalertsecurity.com/are-security-cameras-legal-oklahoma/#:~:text=Oklahoma%20statute%20%C2%A721%2D1171,a%20reasonable%20expectation%20of%20privacy.
  8. ^ 13 Estatuto de Oklahoma, artículo 13-176.3 (2022). https://law.justia.com/codes/oklahoma/2022/title-13/section-13-176-3/
  9. ^ 21 Oklahoma. Estadísticas. Segundo. 21-1993 (2022). https://law.justia.com/codes/oklahoma/2022/title-21/section-21-1993/
  10. ^ abc Goldman, David (8 de abril de 2013). «Shodan: el motor de búsqueda más aterrador de Internet». CNN Money . Consultado el 8 de abril de 2013 .
  11. ^ Goldman, David (2 de mayo de 2013). "Shodan descubre los puntos más peligrosos de Internet". CNN Money . Consultado el 21 de junio de 2013 .
  12. ^ Hill, Kashmir. "La FTC ordenó a la compañía de cámaras que permitía a los piratas informáticos espiar a sus clientes desnudos que mejorara su seguridad". Forbes . Consultado el 17 de octubre de 2013 .
  13. ^ Hill, Kashmir. "Las cosas locas que un investigador experto en Shodan puede encontrar expuestas en Internet". Forbes . Consultado el 17 de octubre de 2013 .
  14. ^ Degeler, Andrii (15 de diciembre de 2015). "13 millones de usuarios de MacKeeper quedaron expuestos luego de que la puerta de MongoDB quedó abierta".
  15. ^ Mott, Nathaniel. "AT&T revela malware dirigido a millones de enrutadores y dispositivos IoT".
  16. ^ Brinkmann, Martin (9 de abril de 2013). «Shodan, un motor de búsqueda para dispositivos vulnerables de Internet». ghacks.net . Consultado el 9 de abril de 2013 .

Enlaces externos