Søkemotorer brukes ikke bare av personer som vil finne den aktuelle informasjonen på en nettside, men kan også være et veldig nyttig hjelpemiddel for angripere som vil finne svakheter i systemer.
De fleste er kjent med søkemotorer som Google og Bing, der man kan søke etter spesifikt innhold. Noen ganger kan disse søkemotorene avsløre litt for mye om nettsiden. Dette kan være en side som ble publisert ved en feil eller andre ting som budde vært hemmelig. Angripere har i mange år angrepet nettsider på denne måten. Ofte kan man finne sensitiv informasjon, til og med brukernavn og passord, via tradisjonelle søkemotorer.
En begrensing i Google er at man kun kan søke på innhold. Flere og flere enheter er nå koblet til Internett, alt fra kjøleskap til trafikklys og industrielle kontrollsystemer. For å finne disse enhetene trenger man en annen type søkemotor.
Shodan er et eksempel på en slik søkemotor. Istedenfor å søke etter innhold, ser Shodan på dataene som er gjemt for brukere. Vi kaller dette metadata, siden det er data om data, eller informasjon om innholdet. Ved å se på metadata kan du ofte finne ut hva slags programvare som kjøres eller hva slags enhet dette er. Du kan for eksempel finne alle servere som har default passord eller tillater anonym tilgang. Du kan også filtrere dette etter by, dato osv. Dette gjør det veldig enkelt å finne svake mål. I eksempelet over er det snakk om personer som ikke har konfigurert enhetene sine riktig.
En annen mulighet for angripere kan være at det oppdages en svakhet i for eksempel Windows server. En oppdatering vil da kanskje forandre metadataene noe som igjen gjør at en angriper enkelt kan søke etter alle Windows servere som ikke har blitt oppdatert. Hvis du er litt sent ute med å oppdatere, kan det dermed være alt for sent.
NorSIS anbefaler
I noen tilfeller kan du selv undersøke hva slags informasjon som er tilgjengelig på nettsiden din. Hvis du bruker Google kan du bruke søkebegrepet “site:”, etterfulgt av nettadressen (domenenavnet). For å søke etter informasjon på denne siden kan du søke etter “site:norsis.no” Deretter er det bare å legge til ord for å finne det du er ute etter.
Hvis det er du som er ansvarlig for drift av systemet, bør du være klar over disse måtene å forberede et angrep på og teste dine egne installasjoner.
De fleste setter ut denne driften til noen andre. Sørg da for at du holder leverandøren ansvarlig og etterse at de vedlikeholder sikkerheten. Se egen veiledning for outsourcing av IT under.
Husk også at enheter du setter opp hjemme kanskje er synlig. Hvis du setter opp et overvåkningskamera som du kan bruke over Internettet, vil kanskje dette være søkbart for andre over Internettet. Sørg for at du har sikret disse enhetene, mange enheter kommer med default passord, dette må byttes.
Les mer
Nyhetsartikkel om Shodan hos digi.no.
Prøv egne søk hos shodanhq.com
Les vår veiledning om IT-outsourcing
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.