Google je vyhledávač pro hodné, SHODAN pro zlé uživatele

1. 5. 2013

Zdroj: Redakce

V době, kdy všechno ovládají počítače, se ten největší záporák nutně musí k vládě nad světem dostat právě přes ně. Je jím SHODAN? Pokud bychom se nacházeli v kyberpunkovém FPS/RPG sci-fi hororu System Shock (případně v pokračování), pak by byl SHODAN (Sentient Hyper-Optimized Data Access Network) umělou inteligencí, jež pohrdá biologickým životem. Tady ale nejsme ve videohře, čili je SHODAN vyhledávacím enginem, který místo stránek vyhledává rovnou počítače, přesněji všechna elektronická zařízení počítačem řízená. Stačí, aby byla připojena k internetu.

U vyhledání to přitom nekončí, protože není-li dané zařízení patřičně zabezpečené (ať už vůbec nebo jen málo), stává se SHODAN zároveň nástrojem k jeho použití. Takto se dá na dálku dostat k ovládání routeru, webkamery, tiskárny, myčky, lednice, ale třeba i benzinové stanice, vodního parku nebo krematoria. Autor tohoto článku například objevil na SHODANu přístup k řídicímu systému libereckého DinoParku.

„Když lidé něco nevidí na Googlu, myslí si, že to nikdo nemůže najít. A to není pravda,“ říká John Matherly, kalifornský programátor, který v roce 2009 SHODAN spustil. Zařízení, k nimž takto otevřel přístup, je v současnosti kolem 500 milionů každý měsíc. A umí toho víc než jen lokalizovat počítače. Pomocí řetězce „default password“ vám SHODAN například zobrazí, která zařízení užívají primitivní hesla z továrního nastavení, tedy typu „1234“. Umí zjistit počet anonymních FTP serverů ve vybrané oblasti i to, která verze operačního systému Microsoft je nejrozšířenější. Hledání lze filtrovat podle země a internetového protokolu (HTTP, Telnet, SSH, FTP…), jeho výsledky můžete exportovat do XML souboru.

Někdy ani nestojí mezi náhodným vyhledávajícím a hledaným systémem žádná bezpečnostní hráz, čili stačí pouze kliknout a začít si „hrát“. Nezávislý bezpečnostní expert Dan Tentler tak například v testu pro americkou zpravodajskou stanici CNN jedním kliknutím rozmrazil kluziště v Dánsku nebo zapnul automyčku.

„S tím se dá napáchat skutečně hodně škody,“ potvrzuje Tentler nebezpečnost SHODANu. Matherly přitom upozorňuje, že spousta takových zařízení by vůbec na internetu být neměla. Kvůli lenosti instalujících společností se například propojení topné soustavy s počítačem provádí přes internet, místo aby došlo k přímému spojení.

Hlavním smyslem existence vyhledávače SHODAN je upoutat na tato rizika pozornost uživatelů. Matherly nechce vnášet do našeho světa chaos, naopak varuje. Proto se k většině vyhledávacích výsledků dostanete jen po placené registraci, po níž vás ovšem Matherly nadále sleduje a hlídá si, aby nedošlo ke zneužití jeho vynálezu. SHODAN je tak zejména dobrým strašákem pro nezodpovědné uživatele, líné provozovatele nejrůznějších systémů anebo užitečnou testovací platformou pro bezpečnostní techniky.

CNN tento vyhledávač označila za „ten nejděsivější, jaký na internetu je“. Samozřejmě přibude množství svátečních hackerů, jenže ti opravdu nebezpeční k narušení internetového soukromí přece jen žádný SHODAN nikdy nepotřebovali.

Poznámka: V době publikování článku je Shodan dočasně nedostupný.