Vom Wasserwerk über Healthcare-Gerätschaften, Webcams, Haushaltsgeräte und Smart TVs bis hin zur Megayacht - die Suchmaschine Shodan findet sämtliche, mit dem Internet verbundenen und angreifbaren Devices. Google, Bing und Co. indexieren hingegen ausschließlich Web-Inhalte. Allerdings ist Shodan kein Tool für kriminelle Hacker (die haben andere Möglichkeiten - dazu später mehr), sondern kann vielmehr Security-Teams dabei unterstützen, mit Schwachstellen behaftete Geräte in ihren eigenen Netzwerken zu identifizieren.
Shodan: Funktionsweise
Um wirklich zu durchdringen, wie Shodan genau funktioniert, empfiehlt sich die Lektüre des von Gründer John Matherly verfassten Buches "Complete Guide to Shodan". Der grundlegende Algorithmus lässt sich kurz und bündig zusammenfassen:
eine zufällige IPv4-Adresse wird generiert
ein zufälliger Port (aus der Liste der von Shodan verstandenen Ports) wird zum Testen generiert
die zufällige IP4-Adresse wird auf dem gewählten Port überprüft und der Banner eingesammelt
Zurück zu Punkt 1
Trivial ausgedrückt: Shodan findet und indiziert alle Dinge und macht sie durchsuchbar. Services, die auf offenen Ports laufen, kündigen sich mit Bannern an. Diese Banner erklären öffentlich, welcher Dienst angeboten wird und wie man mit diesem interagieren kann.
Einige Unternehmen blockieren Shodan, um ein Crawling ihres Netzwerks zu verhindern. Allerdings brauchen kriminelle Hacker Shodan nicht, um verwundbare Geräte in Ihrem Netzwerk zu finden. Sie setzen dafür stattdessen auf eine Kombination aus Botnetzen und dem Port Scanner nmap. Shodan zu blockieren, bewahrt Unternehmen möglicherweise vor peinlichen Enthüllungen - verbessert aber nicht ihr Sicherheitsniveau. Im Gegenteil.
Shodan-Suche: Verwundbare Geräte finden
Moderne Unternehmen sind dem Internet in der Regel mehr ausgesetzt, als ihnen lieb ist: Mitarbeiter verbinden regelmäßig Geräte mit dem Unternehmensnetzwerk - dazu kommt das Problem der Schatten-IT. Im Ergebnis steht eine wachsende Angriffsfläche, die es zu managen gilt. Shodan macht es an dieser Stelle einfach, ein Subnetz oder eine Domäne nach
angeschlossenen Geräten,
offenen Ports,
Standardanmeldeinformationen und sogar
bekannten Schwachstellen zu durchsuchen.
Diese Informationen können auch Angreifer einsehen, Sie sollten also alles daransetzen, die Schotten dichtzumachen, bevor es zur Attacke kommt. Wie sinnvoll der Einsatz von Shodan im Unternehmen sein kann, manifestiert sich beispielsweise darin, dass viele Devices ihre Standardpasswörter innerhalb ihres Banners veröffentlichen. Cisco-Geräte nutzen beispielsweise standardmäßig die Benutzername-Kennwort-Kombi "cisco/cisco". Solche Geräte gilt es innerhalb des Netzwerks zu identifizieren, bevor es kriminelle Akteure tun.
Darüber hinaus können Sie mit Shodan auch nach Geräten suchen, die anfällig für spezifische Schwachstellen wie etwa Heartbleed sind. Das hilft nicht nur den Security-Teams, die abzusichernden Devices zu identifizieren, sondern auch Penetration Testern in der Phase der Informationsbeschaffung: Shodan zu verwenden ist schneller und unauffälliger, als mit nmap das gesamte Subnetz zu erfassen. Ein kostenpflichtiges Abonnement (dazu später mehr) ermöglicht zudem Zugriff auf die Shodan-API und Warnmeldungen, die über neue Geräte in den überwachten Subnetzen informieren.
Shodan: Per Suchmaschine zur Awareness
Der bemerkenswerteste Aspekt von Shodan ist allerdings die Aufmerksamkeit, die die Suchmaschine auf die vielfach unzureichend abgesicherten, kritischen Infrastrukturen lenkt. Die Internet-Kartografie von Shodan hilft dabei, die systemischen Sicherheitsprobleme im Internet zu quantifizieren. Nehmen wir zum Beispiel industrielle Kontrollsysteme wie ICS und SCADA. Diese sind älter als das Internet selbst und wurden deshalb auch nicht mit Blick auf die IT Security entwickelt. Schließlich waren diese Systeme nie dazu gedacht, ins World Wide Web eingebunden zu werden. Physische Sicherheitskontrollen galten zu dieser Zeit als absolut ausreichend, um böswillige Akteure abzuhalten.
Das hat sich grundlegend geändert: Viele kritische Infrastrukturen sind heute mit dem Netz verbunden und damit nur ein paar Klicks von den Angreifern entfernt. Mit Hilfe von Shodan können solche Systeme identifiziert und eine entsprechende Alarmmeldung ausgegeben werden, was in einigen Fällen auch für eine Bewusstseinsschärfung sorgen dürfte. Dabei beschränkt sich das nicht auf den KRITIS-Bereich: Eine Flut unsicherer IoT-Devices - vom vernetzten Kühlschrank bis hin zum Remote Sex Toy - überschwemmt immer noch den Markt. Die Hersteller versäumen weiterhin, ihre Devices in Sachen Security zu optimieren.
Allerdings sind an dieser Stelle auch die Regulatoren anzuführen: Auch sie haben versäumt, entsprechende Kontrollmaßnahmen zu forcieren. So ist es nicht ungewöhnlich, dass ein IoT-Hersteller plötzlich verschwindet oder den Support für Geräte kurzerhand einstellt, während die Benutzer auf ihren unsicheren Geräten sitzenbleiben, die sich dann vor allem eignen, um in Botnetzen "versklavt" zu werden. Das daraus erwachsende, systemische Risiko für das gesamte Internet kann gar nicht hoch genug eingeschätzt werden.
Shodan nutzen: Ist das legal - und kostenlos?
Kurz gesagt: Ja. Sowohl Shodan selbst als auch seine Nutzung, um verwundbare Systeme zu finden, sind legal. Die Grenze zur Illegalität wird dann überschritten, wenn Sie gefundene Systeme, die nicht ihre eigenen (oder die ihres Auftraggebers) sind, kompromittieren. Nichtsdestotrotz versetzt Shodan viele Menschen in Angst und Schrecken - was auch an der medialen Berichterstattung liegt. CNN etwa kürte Shodan im Jahr 2013 zur "gruseligsten Suchmaschine im Netz".
Wie könne man nur kriminelle Hacker mit Zielvorgaben versorgen? Einfach furchtbar. Wie bereits erwähnt, brauchen Angreifer, die Schaden anrichten wollen, Shodan nicht, um ihre Ziele zu identifizieren. Der wahre Wert der Suchmaschine liegt darin, den Verteidigern zu helfen, einen besseren Einblick in ihre eigenen Netzwerke zu erhalten. Schließlich kann man sich nicht verteidigen, wenn man nicht weiß, wogegen.
Die Nutzung von Shodan ist ebenfalls kostenlos, die Anzahl der Ergebnisse bei einer Gratisnutzung sind allerdings begrenzt. Erweiterte Filter erfordern eine kostenpflichtige Mitgliedschaft (ab 69 Dollar pro Monat). Mit der Enterprise Edition von Shodan erhalten Sie alle Daten von Shodan, einen On-Demand-Zugang zur globalen Infrastruktur der Suchmaschine, und eine unbegrenzte Lizenz für alle Mitarbeiter Ihres Unternehmens, um jederzeit auf alles zugreifen zu können.
Wenn Bedrohungsdaten Ihr Ding sind, dann ist Shodan Enterprise vielleicht genau das Richtige für Sie. Die Macher selbst bewerben ihr Angebot folgendermaßen: "Die Shodan-Plattform hilft Ihnen nicht nur Ihr eigenes Netzwerk, sondern auch das gesamte Internet zu überwachen. Identifizieren Sie Datenlecks in der Cloud, Phishing-Websites, gefährdete Datenbanken und vieles mehr. Die Enterprise Data License gibt Ihnen die Werkzeuge an die Hand, um alle mit dem Internet verbundenen Geräte zu überwachen."
Für große Unternehmen oder solche, die das Rad mit nmap nicht neu erfinden wollen, bietet Shodan Enterprise auch eine Datenlizenz an. Damit können diese die Daten auch für kommerzielle Zwecke und ohne Namensnennung nutzen. Mögliche Use Cases wären etwa:
Betrugsprävention
Market Intelligence oder
Threat Intelligence.
Was die Enterprise Edition von Shodan kostet? Diese Frage beantwortet Ihnen das Shodan-Vertriebsteam. Wir vermuten allerdings, dass das All-Inclusive-Paket kein Schnäppchen ist.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.