Open Source Intelligence (OSINT): The power of the Search Engine Attacks – Parte II

Buenas a todos! Una vez hemos visto las principales formas de realizar labores de búsqueda y OSINT en los diferentes buscadores más comunes vamos a ver Shodan, que es, su funcionamiento y de que podría servirnos, así como que podríamos encontrar.

Shodan

¿Qué es Shodan?

Se podría decir que es un buscador como Google, pero tiene una muy importante diferencia y es que Google va recorriendo Internet y cacheando o almacenando la información web, es decir la que podemos ver en el navegador, ya sea http, https, http-alternativo, ftp, etc…

Shodan en cambio va recorriendo internet escaneado cada IP, sacando los servicios que tiene abiertos, capturando y cacheando el banner que le devuelve el servicio. Esto nos permite hacer búsquedas en la información que nos devuelven los servicios, de tal forma que podríamos encontrar todos los servidores apache de la versión 2.20, todas las IPs de Madrid que tengan telnet abierto, etc…

A continuación vamos a ver más en profundidad que es, que operadores tiene y como un usuario tanto en un test de intrusión como realizando labores de OSINT, así como la visión que podría tener un atacante.

Antes de empezar para los que no estén registrados os recomiendo que lo hagáis ya que no cuesta dinero y te deja usar todos los comandos además de poder ver todos los resultados. Si no os logeais tiene muchas limitaciones ya que no te deja poner comandos avanzados y solo te muestra la primera pagina de resultados.

Los operadores o comandos que tenemos en Shodan para buscar son los siguientes:

– city:

      • Si queremos hacer una búsqueda dirigida en una ciudad. Por ejemplo:

apache city:”Madrid”

Esto nos permitiría buscar servidores apache en Madrid.

– country:

      • Búsquedas por país. Por ejemplo:

ssh country:es

Esto nos mostraría todo lo que encuentre de SSH en España (No tiene porque ser solo el puerto de SSH, ahora lo veremos)

– geo:

      • Si queremos especificar una posición mediante latitud y longitud. Por ejemplo:

scada geo:40.02,4.03

Nos permitirá buscar coincidencias de SCADA en Madrid.

– hostname:

      • Si queremos buscar por un dominio concreto. Por ejemplo:

hostname:uam.es

o

hostname:.es

Como vemos podemos poner solo una parte del dominio.

– net:

      • Si queremos buscar en un rango de red. Por ejemplo:

net:8.8.8.8/32

o

net:8.8.8.8

Donde estaríamos buscando una IP que pertenece a Google.

– os:

      • Nos permite buscar por sistema operativo. Por ejemplo.

os:linux city:”Madrid”

Esto nos permitiría buscar IPs que estén utilizando Linux en Madrid.

– port:

      • Este comando es bastante importante y nos permite filtrar los resultados por puerto. Por ejemplo:

port:23 city:”Madrid”

En este caso sí que estaríamos buscando únicamente aquellos servicios que corran en el puerto 23 (telnet) en Madrid.

– before/after:

      • Sirve para filtrar los resultados según cuando los haya escaneado Shodan por última vez.

Además de estos comandos tiene al igual que los demás buscadores comandos como:

– ’-’:

      • Para definir que el parámetro que le sigue tiene que excluirlo de los resultados. Por ejemplo.

port:23 -city:”Madrid”

Esto nos permitiría buscar todas las IP que tengan el puerto 23 abierto que NO sean de Madrid.

– ‘|’:

      • Para realizar el OR de Google. Por ejemplo:

port:21 | port:22

Para que nos devuelva los resultados en el puerto 21 o en el puerto 22.

Una vez hemos visto todos los comandos vamos a ver que podríamos hacer con ellos. Lo que se va a mostrar a continuación es una gran lista de dorks para Shodan que he ido realizando para que podáis ver la cantidad de elementos conectados a internet que es posible encontrar gracias a este buscador. Para conseguir estos dorks suelo seguir una metodología, y lo primero es tener claro exactamente que quiero buscar, una vez lo tengo claro voy a la web de los fabricantes, localizo el producto y compruebo ya sea en la demo, especificaciones o mediante fotos que titulo puede tener la web para buscarlo con Shodan, que banner tiene, que puertos le identifican, si es necesario o no autenticación en la página principal, etc… Con todos estos datos es relativamente sencillo ir construyendo dorks que cada vez nos acerquen más a nuestro objetivo. En caso de que el dispositivos que estemos buscando tenga contraseña muchas veces esta por defecto, por lo que únicamente nos tenemos que ir al manual del fabricante y comprobar cuál es, de esta forma cualquier atacante podría entrar en un sistema mal configurado de forma trivial.

Os recomiendo que si visitáis las web no toquéis nada, principalmente porque esta investigación ha sido realizada con fines educativos y únicamente para mostrar la inmensa cantidad de sistemas que tenemos conectados a Internet, además de que en muchos casos pueden ser sistemas industriales que sin duda mejor no tocar.

Routers por defecto:

Routers de ONO [Password por defecto ‘vacio’/admin]:

WWW-Authenticate: Basic realm=”Thomson” country:ES org:”ONO”

 

Routers Huawei [Open]:

title:”huawei home”

 

Routers D-Link [Open o admin/’vacio’]:

title:”home router” server:”siyou server” org:”Mega Cable, S.A. de C.V.”

 

Routers Israel [admin/admin]

title:”residential gateway” “Content-Length: 2771″

 

Routers GPON [root/admin]

title:”GPON Home Gateway”

 

Routers y PBX Orange [admin/admin]

title:livebox

 

Routers Telefónica [“Sistema contra ‘hackers’”, por defecto 1234/1234]

title:”Home Station”

 

Routers Telefónica [Pass por defecto 1234/1234, telnet abierto]

title:”Web-base configurator” country:es

Casas Inteligentes:

Casas inteligentes [admin/admin]

title:”My Home” Content-Length: 198  

title:”myhome”

Cámaras (Solo algunos ejemplos):

Marca iQeye:

title:iqeye

 

Android:

title:”Android Webcam Server”

Android Webcam

Referente al tema de las cámaras dentro de poco lanzare una herramienta pensada para realizar pentest y autopwn de estos dispositivos.

 

Sistemas de Ventilación, Alarmas, Luces, etc..:

title:”real time monitoring avtech”

Server:IQ3 Content-Length: 184               (Regular temperatura, ventilación, alarmas..)

 

Sistemas SCADA:

Planta petrolífera:

title:”Web Scada” o “INDIAS WEB SCADA”

 

UPS Liebert:

title:liebert port:80

 

i.Lon Enterprise energy management and streetlight management [(ilon/ilon)]:

title:”i.LON SmartServer 2.0″

Server: WindRiver-WebServer/4.4

Sistemas Satélites ComTech [comtech/comtech]:

title:comtech

 

Servidores de almacenamiento:

title:”synology nas”

title:”diskstation nas”

 

Sistemas de audio:

title:”qsa 500″

Server: eCos/1.0 200

 

Sistemas solares:

title:”atlas solar”

title:”control solar”

 

Termostatos / aire:

title:”Thermostat control”

 title:”Control | Air Post”

 

Sistemas Catherpila:

title:”Communicator” Server: Z-World Rabbit

Controlador Switch:

title:”Calypso”

 

Cajas fuertes:

title:”CacheTalk III”

 

Controladores SCADA Schneider y otros:

title:” PowerLogic” (‘vacio’/admin)

title:”FactoryCast” (USER/USER y ftp:ntpupdate/ntpupdate)

 

Control de los pacientes en hospitales:

title:”tracevue”

 

Semáforos:

executive 3.3

title:”Pips Technology P357 Error”

ruggedcom port:23 (admin/admin o guest/guest !!!!)

ruggedcom port:80 (admin/admin o guest/guest !!!!)

 

Paneles de carreteras:

Daktronics

 

Sensores:

akcp

 

Varios:

title:”smartcontrol” (Backdoor superman/superman)

title:Bacnet

 

Como veis la lista que os he mostrado es de lo más variada, pero aun quedarían muchísimos más tipos de dispositivos por mostrar y por supuesto muchísimos mas dorks con los que encontrar estos dispositivos, pero el fin de este artículo es que vierais que dispositivos es posible encontrar, y que se vea lo sencillo que puede ser localizarlos siguiendo un poco la metodología explicada antes. Únicamente es necesario tener claro el objetivo y algo de imaginación a la hora de hacer los dorks.

Habréis visto que en esta segunda parte tampoco he puesto imágenes, lo he hecho para evitar que fuera demasiado largo, pero a continuación os voy a poner algunas que me han parecido realmente llamativas cuando estaba buscando ciertos dispositivos como pueden ser cajas fuertes conectadas a internet o por ejemplo los controladores de semáforos (Ultima pagina)…

Espero que os haya gustado este pequeño artículo que pretende concienciar sobre técnicas de OSINT y como los atacantes podrían encontrar de forma muy sencilla todo tipo de sistemas conectados a internet, donde muchos de ellos se encuentran por defecto y donde es posible tomar el control de ellos sin esfuerzo.

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

Fuente utilizada: http://highsec.es/2013/11/open-source-intelligence-osint-the-power-of-the-search-engine-attacks-parte-ii/

Anuncios
de eciosint Publicado en Otros

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s