Geeek - Le blog Geek & High-tech

Vous connaissez Google, connaissez-vous Shodan ?

Shodan n'est certes pas tout jeune sur le Web, créé en 2009 par John Matherly, Shodan scanne en permanence l'ensemble des systèmes connectés sur Internet (serveurs, box internet, routeurs ...) et catalogue l'ensemble des services exposés par ces systèmes dans son moteur de recherche : serveur Web, SSH, RTSP .. etc.

Les résultats collectés par Shodan sont disponibles sur son site Internet et au travers d'API utilisables par des développeurs.

La complétude et la fraicheur des données de Shodan font de lui un acteur clef dans la recherche de vulnérabilités sur Internet.

Quelles sont les informations disponibles sur Shodan ?

Parmi les recherches phares réalisées sur Shodan par la majorité des visiteurs vagabonds, on retrouve deux types de recherche :

Shodan dispose de nombreux filtres de recherche permettant de rechercher précisément un service, un port au sein d'une ville, d'une organisation ...

La puissance de ces filtres de recherche permet de rechercher n'importe quel type de service sur Internet même pour quelqu'un de néophyte.

Des informations accessibles directement depuis son navigateur Web

Son plugin pour Chrome et Firefox permet d'avoir une synthèse des services exposé par le serveur Web sollicité sans quitter son navigateur.

Cela permet d'avoir une synthèse des ports ouverts sur un serveur distant sans lancer un nmap sur le serveur, la donnée est déjà disponible et mise à disposition par Shodan.

shodan-plugin

Pour les utilisateurs les plus avancés, Shodan est appelable en ligne de commande via Shodan Cli depuis un terminal. Vous trouvez aussi au sein de Metasploit un plugin de recherche Shodan directement intégré.

Comment créer un rapport d'analyse de sécurité avec Shodan ?

Les paramètres de recherche fournis par Shodan permettent de créer des rapports assez poussés comme par exemple le classement des groupes de pirates qui font du defacing de sites Internet :

Comment se protéger de Shodan ?

Si vous avez des serveurs exposés sur Internet, la solution la plus simple consiste à utiliser un outil comme Portsentry pour permettre de blocker dynamiquement les adresses IP qui scannent vos ports.

Sachant que Shodan ne scanne qu'un sous ensemble de ports, il faudra que Portsentry écoute sur quelques uns d'entre eux pour pouvoir détecter et bloquer Shodan.

Shodan collects data mostly on web servers (HTTP/HTTPS – ports 80, 8080, 443, 8443), as well as FTP (port 21), SSH (port 22), Telnet (port 23), SNMP (port 161), IMAP (ports 143, or (encrypted) 993), SMTP (port 25), SIP (port 5060), and Real Time Streaming Protocol (RTSP, port 554).

Comment utiliser Shodan comme outil de supervision ?

Si vous êtes une entreprise et que vous souhaitez être alerté à la moindre exposition d'un nouveau service sur vos serveur, vous pouvez souscrire au service Shodan Monitor qui vous notifiera dès lors qu'un nouveau service est exposé sur un ensemble de plages IP configurables.
Au delà de la détection du service, Shodan est capable aussi de vous informer des failles connues exposés par ces services.

En conclusion

Vous l'aurez compris, Shodan est un outil à double tranchant, il permet à la fois à des cybercriminels de trouver facilement de cibles sensibles et permet à des équipes de sécurité de faire de la veille et de l'analyse.

Shodan n'est pas un outil gratuit, même si vous pouvez créer un compte et utiliser les API de Shodan gratuitement vous serez très vite bloqués par un quota. Pour augmenter vos quotas d'usage, vous devrez souscrire à un abonnement à 59€ / mois.

Si vous êtes bricoleur dans l'âme et si vous possédez une très bonne fibre optique, il est possible de construire son propre Shodan maison avec deux outils tels que Masscan et ElasticSearch. L'outil Scantastic propose d'intégrer les résultats de Masscan directement dans le moteur de recherche Elastic Search pour pouvoir ensuite les exploiter de la même manière que Shodan.

Enfin pour conclure cet article dédié à la cybersécurité, voici quelques produits intéressants dédiés à la sécurité informatique :

Vous êtes correctement abonné à Geeek
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site