Shodan y Censys: los peligrosos motores de búsqueda del Internet de las Cosas

29 Feb 2016

Mira a tu alrededor, estamos viviendo en el Internet de las Cosas. En nuestro día a día nos encontramos con cosas conectadas a Internet, empezando por nuestros routers en casa, hasta los sistemas de semáforos y cámaras de seguridad de las calles. Como todo esto está conectado, puede ser encontrado en dos mundos, en el real y en la Web.

shodan-iot-search-featured

Y así como existe Google para ayudarte a encontrar datos que buscas en Internet, también existen motores de búsqueda especiales que te ayudan a encontrar estos dispositivos conectados. ¡Dile hola a Shodan y Censys!

Shodan es el primer (y probablemente el mejor) motor de búsqueda para el Internet de las Cosas. Ha estado presente por más de 7 años. Fue nombrado después de conocer al antagonista principal en la serie de juegos de ordenador System Shock, una inteligencia artificial muy malvada, llamada Shodan. El Shodan del mundo real no es tan despiadado, pero es capaz de hacer daño. Pero antes de llegar a las malas noticias, vamos a ver cómo funciona realmente el motor de búsqueda.

En cierta forma, Shodan es como el chico que camina por la ciudad y toca en cada puerta que ve. Pero en vez de puertas, Shodan “toca” en cada dirección IPv4, y en vez de hacerlo en una ciudad, lo hace en el mundo entero.

Si le preguntas a ese chico sobre un tipo de puerta en particular o sobre puertas de alguna zona en particular de la ciudad, seguramente sabrá algo y te dará información: cuántas puertas hay, quién las abre y qué dicen. Shodan te da la misma información sobre productos del IoT: cómo se llaman, de qué tipo son, y si hay alguna interfaz web que pueda utilizar. No es completamente gratis, Shodan requiere una suscripción que es relativamente barata.

No hay problema en tocar puertas a menos que descubras que hay un montón de puertas sin seguro y nadie que pueda evitar que entren los delincuentes. En el mundo del Internet de las Cosas, estas puertas son representadas por routers sin protección, cámaras IP y otras cosas que utilizan inicios de sesión por defecto y contraseñas. Una vez que logras entrar a la interfaz web y descubres el usuario y contraseña, puedes ganar el acceso completo a todo. No tiene ninguna ciencia, ya que la información sobre los inicios de sesión y contraseñas para diferentes dispositivos conectados, pueden ser encontrados en los sitios web de sus fabricantes.

Si es una cámara IP, puedes ver todo, incluso controlarla. Si es un router, puedes cambiar su configuración. Si es un monitor de bebé, puedes hablarle al pobre bebé para asustarlo. Depende de tus valores morales.

Pero hay otras cosas que puedes encontrar con Shodan, como por ejemplo, una máquina de rayos X desprotegida que te permita ver las imágenes que saca.

Explorar Shodan es algo interesante ya que mucha gente que lo hace, tiene curiosidad de saber lo que pueden descubrir. Algunas han encontrado controles de parques acuáticos, mientras que otros se han encontrado con plantas nucleares. Sin mencionar lavados de coches, bombas de calor, cajeros automáticos, y prácticamente todo lo que te puedas imaginar, que tenga conexión a Internet. Nuestro experto Sergey Lozhkin se ha topado con equipos médicos, pero esa es otra historia.

Si una cámara IP desprotegida solo puede dañar potencialmente la privacidad de alguien, otras cosas conectadas sin protección, como las antes mencionadas, controles de parques acuáticos o sistemas de tren abordo, son capaz de transformar el área en un apocalipsis local si terminan siendo operados por las manos equivocadas. Por eso los fabricantes y administradores de sistemas de este tipo de infraestructuras delicadas tienen que ser extremadamente cuidadosos con su seguridad.

Durante mucho tiempo Shodan fue el único motor de búsqueda en el IoT. En el año 2013 emergió un rival gratuito llamado Censys (a diferencia de los cargos de Shodan). También es un motor de búsqueda para el IoT y se basa en los mismos principios, pero, como ha dicho su creador, es más preciso cuando trata de buscar vulnerabilidades. Oh sí, Censys puede darte una lista de dispositivos con una vulnerabilidad en particular, por ejemplo, aquellos vulnerables a Heartbleed.

Censys fue creado por un grupo de científicos de la Universidad de Michigan como instrumento para hacer Internet más seguro. De hecho, ambos Shodan y Censys fueron destinados para investigaciones de seguridad, pero mientras el dúo atrae más y más la atención, obviamente habrá mucha gente que intente utilizarlos con malos propósitos.

Ni Shodan ni Censys son susceptibles a ser utilizados por cibercriminales peligrosos, los realmente malos han tenido botnets por un tiempo, el cual puede servir para el mismo propósito, pero utilizando más energía. A John Matherly, el creador de Shodan, le tomó solo 5 horas localizar todos los dispositivos de todo Internet, y un botnet utilizando cientos de ordenadores probablemente lo haría más rápido.

Pero hay mucha gente que ya ha intentado hacer un mal uso de Shodan y Censys para gastarle bromas pesadas y hacerles trucos a otras personas. Y mientras el problema con la seguridad del IoT lo resuelven sus fabricantes, hay un par de cosas que puedes hacer para asegurar tus dispositivos conectados. Dejaremos que nuestros expertos te las expliquen en uno de los próximos posts de nuestra serie sobre la búsqueda del Internet de las Cosas.