Shodan giống như Google nhưng là kho lưu trữ các thiết bị Internet of Things (IoT) hơn. Trong khi Google lập chỉ mục các trang web trên world wide web và nội dung trên các trang web này, thì Shodan lập chỉ mục mọi thiết bị được kết nối trực tiếp với Internet.
Thông tin công khai có sẵn thông qua công cụ tìm kiếm này dường như vô hại. Đối với người dùng thông thường, các chuỗi địa chỉ IP và thuật ngữ mã hóa không có nhiều ý nghĩa. Nhưng đối với một tin tặc đang tìm kiếm một thiết bị dễ bị tấn công, thì nhiêu đó quá đủ để gây hại. Nhưng điều gì sẽ xảy ra nếu bạn có thể hiểu dữ liệu quan trọng nhất và cách sử dụng Shodan để cải thiện an ninh mạng của mình?
Shodan chính xác là gì?
Shodan là một công cụ tìm kiếm không gian mạng lập chỉ mục các thiết bị được kết nối với Internet. Công cụ tìm kiếm này bắt đầu từ một dự án của John Matherly. Matherly muốn tìm hiểu về các thiết bị được kết nối với Internet, từ máy in và máy chủ web đến máy gia tốc hạt - về cơ bản là bất cứ thứ gì có địa chỉ IP.
Mục đích là ghi lại các thông số kỹ thuật của thiết bị và có một bản đồ hiển thị các vị trí của thiết bị và cách chúng được kết nối với nhau. Kể từ năm 2009, khi ra mắt công chúng, mục đích của Shodan hầu như không thay đổi. Nó vẫn ánh xạ vị trí chính xác của các thiết bị hỗ trợ Internet, thông số kỹ thuật phần mềm và vị trí của chúng. Thật vậy, Shodan đã phát triển để trở thành một con mắt toàn diện trên mạng.
Tin tặc sử dụng Shodan như thế nào?
Shodan ban đầu không được thiết kế cho tin tặc, nhưng thông tin công khai mà công cụ tìm kiếm này thu thập có thể hữu ích cho các tin tặc đang tìm kiếm những thiết bị dễ bị tấn công.
Tìm thiết bị IoT với quy tắc bảo mật
Shodan thu thập những banner kỹ thuật số của các thiết bị IoT. Banner giống như một CV mà các thiết bị IoT gửi đến những máy chủ web khi yêu cầu dữ liệu. Đọc banner là cách máy chủ web biết thiết bị cụ thể, cách thức và gói dữ liệu nào sẽ gửi đến thiết bị. Giống như nội dung CV của mọi người sẽ khác nhau, banner của các thiết bị IoT cũng vậy.
Nói chung, banner điển hình sẽ hiển thị phiên bản hệ điều hành của thiết bị, địa chỉ IP, các cổng mở, số sê-ri, thông số kỹ thuật phần cứng, vị trí địa lý, nhà cung cấp dịch vụ Internet và tên đã đăng ký của chủ sở hữu, nếu có.
Phần lớn, thậm chí tất cả, những thông tin này đã được công bố rộng rãi. Thông tin này có thể hiển thị cho tin tặc, ví dụ, thiết bị chạy trên phần mềm lỗi thời. Cụ thể hơn, có thể sử dụng bộ lọc tìm kiếm để thu hẹp các thiết bị dễ bị tấn công trong một thành phố cụ thể. Biết nơi tìm thiết bị dễ bị tấn công, tin tặc có thể sử dụng chiến thuật Wardriving hoặc thực hiện các cuộc tấn công Dissociation để xâm nhập vào mạng của bạn nếu chúng không thể truy cập từ xa.
Tìm mật khẩu và thông tin đăng nhập mặc định
Hầu hết các thiết bị - chẳng hạn như router - được cung cấp với mật khẩu mặc định hoặc thông tin xác thực đăng nhập mà người dùng phải thay đổi sau khi thiết lập. Tuy nhiên, không nhiều người làm được điều này. Shodan thường xuyên biên soạn danh sách các thiết bị hoạt động vẫn sử dụng thông tin đăng nhập mặc định và các cổng mở của chúng. Thực hiện tìm kiếm với truy vấn “default password” sẽ hiển thị các kết quả tìm kiếm có liên quan. Bất kỳ ai có quyền truy cập vào dữ liệu này và các công cụ hack đều có thể đăng nhập vào một hệ thống cơ bản mở và gây ra thiệt hại.
Đây là lý do tại sao bạn nên thay đổi mật khẩu mặc định của mình.
Cách sử dụng Shodan để tăng cường an ninh mạng
Lượng dữ liệu có sẵn thông qua Shodan thật đáng kinh ngạc, nhưng nó hầu như không hữu ích nếu hệ thống bảo mật trên thiết bị của bạn hoạt động bình thường. Tìm kiếm địa chỉ IP của thiết bị trên Shodan sẽ cho bạn biết liệu công cụ tìm kiếm có bất kỳ thông tin nào về chúng hay không. Hãy bắt đầu với địa chỉ IP của router tại nhà của bạn. Kỳ lạ là, Shodan sẽ không có bất kỳ thông tin nào về router của bạn, đặc biệt nếu các cổng mạng bị đóng. Sau đó, chuyển sang camera an ninh, màn hình theo dõi trẻ em, điện thoại và laptop của bạn.
Tìm và đóng các cổng dễ bị tấn công
Bạn không phải lo lắng về việc tin tặc tìm thấy thiết bị trên Shodan và xâm nhập vào hệ thống của bạn. Khả năng điều đó xảy ra là thấp vì Shodan chỉ lập danh mục các hệ thống có cổng TCP/IP mở. Và đó là những gì bạn phải lưu ý: Các cổng không an toàn đang mở.
Nói chung, các cổng được mở để những thiết bị hỗ trợ Internet có thể phục vụ các yêu cầu, nhận dữ liệu và biết phải làm gì với dữ liệu đó. Đó là cách máy in không dây của bạn biết để nhận yêu cầu từ PC và in một trang cũng như cách webcam của bạn truyền trực tuyến đến màn hình. Và, quan trọng hơn, làm thế nào một hacker có thể truy cập từ xa vào thiết bị của bạn.
Một cổng mở là điều tất yếu vì đó là cách thiết bị của bạn kết nối với Internet. Đóng tất cả các cổng trên thiết bị của bạn sẽ ngắt kết nối Internet. Các cổng trở thành rủi ro bảo mật trong một số trường hợp nhất định, chẳng hạn như chạy phần mềm cũ, lỗi thời hoặc cấu hình sai một ứng dụng trên hệ thống. Rất may, bạn có thể quản lý rủi ro bị nhiễm phần mềm độc hại và an ninh mạng này bằng cách đóng các cổng dễ bị tấn công.
Sử dụng VPN để kết nối với Internet
Bạn có thể tìm kiếm địa chỉ IP của thiết bị trên Shodan và xem banner của thiết bị có công khai hay không và cổng nào đang mở để bạn có thể đóng chúng. Nhưng điều đó vẫn chưa đủ. Cân nhắc sử dụng VPN để ẩn địa chỉ IP của bạn khi bạn duyệt web.
VPN đóng vai trò như bức tường đầu tiên giữa bạn và kẻ tấn công. Sử dụng VPN sẽ mã hóa kết nối Internet của bạn, vì vậy, những yêu cầu dữ liệu và dịch vụ đi qua các cổng an toàn thay vì các cổng có khả năng không bảo mật. Theo cách đó, trước tiên kẻ tấn công cần phải bẻ khóa dịch vụ VPN - một việc không hề dễ dàng - trước khi chúng có thể tiếp cận bạn. Sau đó, vẫn còn một bức tường khác mà bạn có thể dựng lên.
Bật Microsoft Defender Firewall
Một số VPN, như Windscribe, có tường lửa. Mặc dù tường lửa của bên thứ ba rất tuyệt, nhưng bạn nên sử dụng tường lửa đi kèm với Microsoft Defender, chương trình bảo mật gốc trên máy tính Windows. Tham khảo: Cách bật/tắt tường lửa (Firewall) trên máy tính Windows để biết thêm chi tiết.
Máy tính của bạn giao tiếp với các máy tính khác trên Internet thông qua những gói dữ liệu (các bit dữ liệu chứa những file media hoặc message). Công việc của tường lửa Microsoft Defender là quét các gói dữ liệu đến và ngăn chặn bất kỳ hành vi nào có thể gây hại cho thiết bị. Kích hoạt tường lửa là tất cả những gì bạn cần làm. Theo mặc định, tường lửa chỉ mở cổng máy tính khi một ứng dụng cần sử dụng cổng đó. Bạn không phải động tới các quy tắc bảo mật nâng cao cho cổng trừ khi bạn là người dùng thành thạo. Ngay cả khi đó, hãy cân nhắc đặt lời nhắc đóng cổng sau đó (rất dễ quên việc này).
Hãy nghĩ về cách tường lửa hoạt động như một nhân viên kiểm soát lưu lượng truy cập vào thị trấn và các con đường giống như những cổng mạng của bạn. Nhân viên kiểm tra và đảm bảo chỉ những xe đạt tiêu chuẩn an toàn mới được đi qua. Các tiêu chuẩn an toàn này luôn thay đổi, vì vậy nhân viên của bạn phải biết được những quy tắc mới nhất - và đó là lý do tại sao bạn nên cài đặt các bản cập nhật phần mềm thường xuyên. Việc lơ là các quy tắc bảo mật cổng cũng giống như yêu cầu nhân viên của bạn bỏ qua một trạm kiểm soát. Khá nhiều phương tiện có thể sử dụng điểm mù đó để đi vào thị trấn của bạn.
Shodan phù hợp cho mục đích gì?
Shodan là một cơ sở dữ liệu khổng lồ chứa thông tin nhận dạng về các thiết bị được kết nối với Internet. Nó chủ yếu được các doanh nghiệp sử dụng để theo dõi những lỗ hổng và rò rỉ mạng. Tuy nhiên, bạn cũng sẽ thấy Shodan là một công cụ hữu ích để kiểm tra tình trạng bảo mật của bạn. Khi bạn tìm thấy những rò rỉ này, bạn có thể dễ dàng chặn chúng và cải thiện an ninh mạng tổng thể của mình.