В начале года Контрольная точка выпустила тревогу угрозы, убедив компании начать запрещать поисковых роботов Шодэна через ее решения по обеспечению безопасности.

Shodan - поисковая система для обнаружения подключенных к Интернету устройств, но который может также использоваться, чтобы искать настройки сервера, варианты и другие технические детали, которые обычно игнорируют Google, Резкий звук и DuckDuckGo. Обслуживание стало еще популярнее как очень немного технологий, сделал в прошлом году.

Shodan был в ядре нескольких предупреждений системы безопасности и инцидентов утечки данных, которые выбрали компании для управления неправильно настроенными серверами.

Shodan делал больше хорошего, чем плохо

Исследователи использовали Shodan, чтобы обнаружить уязвимые маршрутизаторы СОХО, оборудование SCADA, устаревшие сертификаты SSL, и неправильно сконфигурировали базы данных MongoDB.

Большинство из Вас должно уже знать о работе Криса Викери, исследователь безопасности, который использовал Shodan, чтобы просмотреть корпоративные сети и обнаружить огромные утечки данных. Только Используя Shodan, г-н Викери обнаружил базу данных 191 миллиона американских отчетов избирателя, 3,3 миллионов счетов Hello Kitty, 13 миллионов пользовательских деталей Маккипера и многих другой больше. Вместо того, чтобы красть и продать эти данные по черному рынку, г-н Викери связался с каждой компанией и помог им обеспечить свои данные.

Решение Контрольной точки рекомендовать его клиентам запретить поисковых роботов Шодэна причудливо, потому что оно не имеет так большого смысла.

Компания пыталась объяснить свое решение, обвиняя Шодэна в том, что он был «инструментом» в руках киберкрюка, когда «крупные данные взламывают в Великобритании, приписанной просмотрам Шодэна, выставленным конфиденциальным данным включая семейные фотографии, медицинскую документацию и банковские выписки».

Shodan не враг

Контрольная точка полностью проигнорировала то, что Shodan также используется хорошими парнями, и что инструменты, подобные Shodan, существовали задолго до обслуживания, большинство которых было развито группами киберпреступности.

В интервью с Соленой Мешаниной Рон Дэвидсон, глава Разведки Угрозы и Исследования в Контрольной точке, даже признал что «сканеры, управляемые актерами угрозы [/..] подражают сетевым подписям законных сканеров безопасности».

Вместо того, чтобы сосредоточиться на реальной угрозе, Контрольная точка решила бросить запрет зонтика на Shodan без гарантии, что актеры угрозы не прекратят сканировать сеть с другими подобными поисковыми системами или их собственными сканерами.

infosec сообщество также реагировало на эти новости с Гунтером Оллманном Сети Vectra, пишущим: «Это - печальный обвинительный акт текущих методов сетевой безопасности, что уважаемый продавец безопасности чувствовал потребность и оправдание, чтобы добавить правила обнаружения для просмотров Шодэна и что их потребительские организации могут чувствовать себя более защищенными для осуществления их».

Softpedia связался с Джоном Мэтэрли, который был достаточно любезен, чтобы ответить на несколько вопросов по электронной почте.

Какова была Ваша первоначальная реакция, узнавая, что Контрольная точка рекомендовала блокировать сканеры Шодэна?

Я был разочарован, что компания брандмауэра поощрит безопасность с помощью мрака. И я не мог полагать, что они использовали таблоид (DailyMail) в качестве фактической ссылки.

Кто-либо связался от Контрольной точки с Вами об их намерениях в помещении в черный список Shodan (перед или после)?

Я говорил и работал с людьми в Контрольной точке в прошлом, но они не связывались со мной прежде, чем опубликовать статью.

Какие-либо планы хитрости запрета Контрольной точки, или Вы собираетесь уважать их решение?

Я не думаю, что они понимают, как инфраструктура Shodan работает или что она ищет. Но я не делаю дополнительных шагов, чтобы обойти их решение.

Разве контрольная точка не приносит больше вреда, чем пользы, давая системным администраторам оправдание продолжить управлять неправильно настроенным оборудованием вместо того, чтобы использовать присутствие Шодэна, чтобы вынудить их обновить свои конфигурации?

Да, это только устраняет информацию от хороших парней. У нападавших есть свои собственные инструменты торговли, чтобы обнаружить, что опасное оборудование, блокируя Shodan не делает ничего, чтобы предотвратить вред. Сотни тысяч устройств были обеспечены в Интернете, потому что исследователь безопасности использовал Shodan, чтобы найти неправильно настроенные услуги и уведомил надлежащие власти. Новый пример - утечка данных через общественные случаи MongoDB, которые были только обнаружены и обеспечены из-за Shodan.

Этот запрет вызывает вопросы о потребности дифференцировать между хорошим использованием парней Shodan и плохими парнями?

У плохих парней были подобные инструменты задолго до того, как Shodan существовал, и они продолжат использовать тех, потому что Shodan не анонимная служба. Мы делаем много шагов, чтобы ограничить злоупотребление и удостовериться, что данные только используются хорошими парнями. Есть подавляющее количество доказательств, чтобы показать, что Shodan был силой во благо и помог сделать Интернет более безопасным.

Большинство компаний на самом деле занимает противоположную позицию Контрольной точки: используйте Shodan, чтобы проверить, управляете ли Вы чем-нибудь в Интернете, который Вы не ожидали! Это особенно верно для организаций, у которых нет большого бюджета безопасности IT (напр. предприятия малого бизнеса и университеты).

--

Наша ставка - то, что Шодэн будет запрещен и заблокировал от просмотра многих корпоративных сетей. Компании склонны допускать ошибку на безопасной стороне вещей, и если маленький запрет избежит всей плохой рекламы, которая идет со случайной утечкой данных, любой CSO послушал бы совет Контрольной точки без мигания. К сожалению, это не будет означать, что они более безопасны.