Shodan e Censys: os guias para a Internet das Coisas

10 maio 2016

Olhe em volta – a Internet das Coisas já é uma realidade em nossa vida. Em nosso cotidiano, encontramos coisas conectadas à Internet por todos os lados, desde simples roteadores Wi-Fi aos sistemas de gerenciamento de tráfego e câmeras de segurança. Esses dispositivos podem ser encontrados nos dois mundos: o real e o virtual.

shodan-iot-search-featured

Assim como o Google, existem mecanismos de buscas que nos ajudam a encontrar esses dispositivos conectados. Já conhece o Shodan e o Censys?

O Shodan foi provavelmente o primeiro (e até mesmo o principal) mecanismo de busca para a Internet das Coisas – ele está no ar há mais de sete anos. Seu nome faz referência ao principal adversário da série de jogos de computador System Shock – uma inteligência artificial malvada chamada Shodan. No mundo real, apesar de não ser tão cruel, um ataque desse tipo ainda é capaz de gerar danos. Antes de chegarmos na notícia ruim, entenda como o mecanismo funciona.

Como um vendedor de porta a porta, o Shodan “bate” em cada endereço IPv4 e, em vez de um bairro ou cidade, pode atingir o mundo inteiro.

Se você perguntasse para esse tipo de vendedor sobre um tipo de porta, ou pelas portas de uma parte específica da cidade, com certeza ele saberia de alguma coisa e até mesmo forneceria detalhes. Como por exemplo, quantas portas desse modelo podem ser encontradas, quem as atende e o que dizem. O Shodan fornece as mesmas informações sobre os dispositivos da IoT. É possível descobrir como são chamados, tipos e se existe uma interface web que pode ser explorada. Não é totalmente de graça. Para acessar essas informações é preciso fazer uma inscrição, que é relativamente barata.

Bater nas portas não é o problema. A questão é que os caras malvados estão descobrindo muitas portas sem fechadura ou segurança. Se pensarmos no universo da IoT, a analogia das portas significa roteadores desprotegidos, câmeras IP e outros dispositivos que usam logins e senhas. Depois que se acessa a interface da rede e logins/senhas são descobertos, torna-se fácil acessá-los completamente. Não é tarefa difícil hackear essas informações de acesso para os diferentes aparelhos, pois muitas estão disponíveis nos sites dos próprios fabricantes.

Se o alvo for uma câmera IP, é possível ver tudo que ela vê e até controlar os movimentos, caso tenha essa funcionalidade. Já um roteador, as configurações podem ser mudadas. Se pensarmos em uma babá eletrônica, o hacker pode falar com o bebê com uma voz aterrorizante. As possibilidades são infinitas, basta apenas uma pessoa mal-intencionada.

Existem ainda outras coisas que podem ser rastreadas com o Shodan. Por exemplo, uma máquina de Raio-X desprotegida, possibilitando o acesso aos exames realizados.

Vasculhar as informações disponíveis no Shodan é abrir um horizonte de possibilidades. Muitas pessoas encontram os sistemas de controle das instalações de parques aquáticos, outros tropeçam em uma usina nuclear. Assim como lava-jatos, bombas de calor, ATMs e quase tudo que tenha conexão à Internet que conseguirmos imaginar. Nosso especialista Sergey Lozhkin já encontrou equipamentos médicos, mas essa aventura é outra história.

Se uma câmera IP insegura pode potencialmente ferir a privacidade de só uma pessoa, outros itens vulneráveis como os sistemas de controle de um parque aquático ou de algum sistema a bordo de um trem são capazes de provocar um verdadeiro apocalipse local, caso o controle termine em mãos erradas. É por isso que fabricantes e administradores de sistemas de infraestruturas críticas tem de ser extremamente cuidadosos com a segurança dos dispositivos conectados.

Por um longo tempo, o Shodan foi o único mecanismo de busca para IoT. Em 2013, o serviço gratuito chamado Censys surgiu para mudar esse cenário (sem as taxas do Shodan). Ele também é um motor de pesquisa para IoT com os mesmos princípios básicos mas, segundo seu criador, é mais preciso quando se trata de buscar falhas de segurança. Ah, sim, o Censys pode de fato disponibilizar uma lista dos dispositivos com uma vulnerabilidade em particular, por exemplo, aqueles suscetíveis à Heartbleed.

O Censys foi criado por um grupo de cientistas da Universidade de Michigan, como instrumento para tornar a Internet mais segura. Na verdade, tanto o Shodan quanto o Censys foram feitos para pesquisas de segurança, mas à medida que recebem mais atenção, há com certeza mais gente que poderia tentar usá-los para atividades maliciosas.

Acreditamos que nenhum dos dois serão usados por cibercriminosos perigosíssimos. Os verdadeiros caras malvados possuem botnets que podem servir para o mesmo propósito, com maior poder de fogo. O criador do Shodan, John Matherly, levou 5 horas para mapear todos os dispositivos na Internet. Uma botnet, usando diversos computadores, conseguiria mais rápido.

É verdade que muita gente tentou usar o Shodan e o Censys incorretamente para pregar peças em outras pessoas. Enquanto o problema com a segurança de IoT tem de ser resolvido pelos fabricantes, existem algumas coisas que você pode fazer para proteger seus dispositivos conectados. Nossos especialistas explicarão essas medidas nos próximos posts da série “Internet das Coisas“.