goo blog サービス終了のお知らせ 

徒然日記

内容非保証 ひだりのカテゴリーでフィルタすると、各ジャンルの情報だけ表示できるよ!

[情報] SHODAN と censys 情報は諸刃の剣

2016-11-21 18:20:51 | 製品セキュリティ
========================================
SHODAN と censys 情報は諸刃の剣
========================================
以前、
Internet Watch 2016 8/2
産業用制御システムのセキュリティが残念な状況であることの
一端を示す調査報告〜Kaspersky Lab
http://internet.watch.impress.co.jp/docs/column/security/1013165.html
によれば
・産業用制御システム(ICS)を対象に "Kaspersky Lab" が "SHODAN" 検索エ
ンジンを利用して調査した結果、SHODAN に登録された機器の 91% で何ら
かの脆弱性がある。

・大企業に属すると思われる"Internetからアクセス可能な" ICS は 13,698
台ある。

・うち90.7%(12,425台)は HTTP, TELNET, Niagara Fox など安全とはいえな
いプロトコルで待ちうけをしている。
・致命的脆弱性を持つものは3.3%(453台)
それらを合計し重複を除くと91.1
%(12,483台)
という話がありました。

なぜ、産業制御用システムがインターネットから待ちうけをしないといけないのか?その必須性は理解できません。

通常の動作でインターネット"から"アクセスする必要はないであろうし、そもそも重要な制御系システムにグローバルIPアドレスを振る事自体自ら危険を招いているとしか言いようがないです。
遠隔管理用かも知れないが、VPNや専用線など、より安全な手段をとるべきでしょう。

実情は良くわかりませんが、
重要制御システムにグローバルIPを振る組織があるとしたら
それだけで、十二分に残念な状況です。
なぜなら、外部から、到達できるんですから。

この残念な仲間が IoT の普及でさらに増えるのかもしれません。
IoT機器がセキュリティ万全なはずはないし、
IoT機器を使う側もセキュリティに敏感でもなく経験もないと思うからです。

ICT屋は黎明期以来長い間肌で危険を感じてた
から野生の勘があるでしょうけれど、IoT屋さんにそれを望むのは無理と思います。

そんな IoTの世界にセキュリティ情報を提供してくれる救世主(?)の例が、カスペルスキーが利用した "SHODAN" と 後発の "censys"らしいです。
しかし、この救世主は攻撃者も使えるのが難点です。

SHODAN も censys も、インターネットからアクセス可能な IoT, ICTデバイスをスキャンし、その情報(OSの種類や、待ち受けしているポート、バナー情報、そしてどんな脆弱性を持っているかなど)を収集し検索可能にしているのだそうです。

正当な管理者にとっては、自組織のデバイスが不用意に外部からアクセス可能になっていないか? 外部からアクセス可能なデバイスに脆弱性がないか?
検索するのに便利です。 でも、攻撃したい人も便利ですね。



--------------------
censys IoTデバイスとその脆弱性を検索できる検索エンジン
----------------
----
censys 検索サイト
https://censys.io/
2015年10月にミシガン大学の研究者により開発されたインターネットからアクセス可能な機器の情報を自動収集し公開する検索エンジン。
ZMap(ネットワークスキャナ)を利用してスキャンをした公開機器のデータをZGrab(プロトコル解析ライブラリ)で解析。DBに格納。
ZMapは全世界のグローバルIPv4アドレスをわずか45分で検索する。

1日4回までアカウント登録なしで検索可能。5回以上は無償アカウント要
全機能を無償で利用できる

検索結果は地図に位置情報を表示したり、詳細情報(使用可能なプロトコル種別や一部の知られている脆弱性対策の有無)を表示する
たとえば、OpenSSLの脆弱性 heartbleet の対策の有無は詳細画面に表示される。

https://the01.jp/p0001704/
The ZERO /ONE
新たなハッカー向け検索エンジン「Censys」登場
ネット接続された機器をリスト化
2016/1/7
抜粋
セキュリティ研究者達が家庭用ルータ、IoT機器メーカの手抜きにより、同一のハードコードされた暗号化キーが再利用され、乗っ取りの可能性がある危
険性にさらされていることを発見した。
その発見は censys の情報を元になされた。

ShodanとCensys:IoT検索エンジンの危険性
カスペルスキーBlog 2016/3/11
https://blog.kaspersky.co.jp/shodan-censys/10506/
抜粋
IoT検索エンジンとしてのcensysの機能はSHODANと同じだが、脆弱性の検索という点ではcensysのほうが高精度。censysは特定の脆弱性に関連するデバイスをリストするということができるから。

「Censys」の利用方法などを解説した改訂版を公開
テクニカルウォッチ(IPA)2016/06/01
http://scan.netsecurity.ne.jp/article/2016/06/01/38533.html
Censysを使って自組織のデバイスを検索する手順などが紹介されている。

Censysを用い
て非公開のWEBカメラを見つける 2016/9/10
http://qiita.com/code_monkey/items/1b1b7622b7b669f4b872
Censysを使って公開はされていないが、(Internetリーチャブルな)Webカメラを探す方法について記述されている。

最新の画像もっと見る

コメントを投稿