«Shodan – это не поисковик, а карта цифровых ландшафтов, показывающая голые кости интернета: устройства, которые предпочитают оставаться невидимыми. В руках специалиста по безопасности это инструмент для проактивной защиты; в чужих руках – источник угроз для целых отраслей».
Специализированная поисковая система для устройств
Shodan работает принципиально иначе, чем Google или Яндекс. Он индексирует не содержимое сайтов, а сами устройства, подключённые к сети: от веб-серверов и баз данных до камер видеонаблюдения, промышленных контроллеров и умных холодильников. Его можно назвать поисковой системой для «бэкенда» интернета.
Ядро работы Shodan – постоянное сканирование IPv4- и IPv6-адресов. Он подключается к устройствам по стандартным сетевым портам (например, 80 для HTTP, 22 для SSH, 502 для Modbus) и записывает так называемый «баннер» службы – техническое приветствие, которое устройство отправляет в ответ на подключение. Этот баннер зачастую содержит критичную для безопасности информацию: версии программного обеспечения, открытые порты, названия систем, а иногда и данные для входа.
Начало работы
Бесплатная учётная запись на официальном сайте предоставляет базовый доступ, которого достаточно для ознакомления и простых проверок. Платные подписки снимают лимиты на количество запросов, дают доступ к истории поиска и расширенным фильтрам – это уже инструмент для ежедневной работы.
Ключ к эффективному использованию – синтаксис поисковых запросов. Он строится на фильтрах, которые позволяют точно таргетировать устройства.
| Фильтр | Пример запроса | Что найдет |
|---|---|---|
city: |
nginx city:"Moscow" |
Серверы nginx в Москве |
country: |
port:21 country:RU |
Устройства с открытым FTP в России |
net: |
net:192.168.0.0/24 |
Все устройства в указанной подсети |
os: |
os:"Windows Server" |
Системы по названию ОС |
vuln: |
vuln:CVE-2021-44228 |
Устройства с конкретной уязвимостью (CVE) |
hostname: |
hostname:"*.bank.ru" |
По доменному имени |
port: |
port:5060 sip |
Сервисы на конкретном порту |
has_screenshot:true |
has_screenshot:true |
Устройства, для которых есть скриншот |
Комбинируя фильтры, можно, например, найти все незащищённые базы данных Redis в определённом регионе: port:6379 country:RU "redis_version".
Базовый и продвинутый функционал
Базовый функционал
- Поиск и фильтрация: Основной инструмент. Позволяет искать устройства по любым словам из баннера и уточнять запрос десятками фильтров.
- Геокарты и визуализация: Shodan отображает распределение найденных устройств на карте мира, что полезно для анализа географического распространения технологии или угрозы.
- Просмотр баннеров и метаданных: Для каждого результата можно увидеть полный исходный баннер, все извлечённые из него данные (версии, заголовки) и географическую привязку.
Продвинутые возможности
- REST API: Позволяет интегрировать поиск Shodan в собственные скрипты и системы мониторинга безопасности (SIEM). Можно автоматизировать проверки на появление новых уязвимых устройств в заданных сетях.
- Shodan Monitor: Сервис для постоянного мониторинга собственных сетевых диапазонов (ASN, блоков IP). Система присылает уведомления, если в вашей сети появляется новое устройство, открывается неожиданный порт или обнаруживается уязвимость.
- Экспорт данных: Результаты поиска можно выгрузить в JSON, CSV или XML для дальнейшего анализа в сторонних инструментах.
- Поиск по уязвимостям: Фильтр
vuln:использует базы данных CVE для поиска систем с известными «дырами».
Практическое применение в сфере ИБ
Для российских специалистов, особенно в контексте требований регуляторов, Shodan – это не просто любопытный инструмент, а часть арсенала для проактивной безопасности.
- Аудит периметра организации (в рамках требовай 152-ФЗ и ФСТЭК). Самый очевидный и законный сценарий – поиск устройств, принадлежащих вашей организации. Используя фильтр по сетевому диапазону (
net:) или автономной системе (asn:), вы можете обнаружить забытые тестовые серверы, незакрытые порты, старые версии ПО или неправильно сконфигурированные устройства, «торчащие» в интернет. Это прямое техническое воплощение принципа «знай свой периметр». - Поиск индикаторов компрометации (IoC). Если известен CVE, Shodan позволяет быстро оценить масштаб угрозы и даже найти потенциально заражённые устройства в глобальной сети для построения картины кибератаки.
- Оценка угроз для критической инфраструктуры (КИИ). Поиск по специализированным промышленным протоколам (Modbus, S7, BACnet) показывает, сколько систем SCADA/ICS доступно извне, что является грубейшим нарушением базовых принципов их безопасности.
- OSINT-расследования. Поиск по доменным именам конкурентов или интересующих организаций, сопоставление IP-адресов с баннерами помогает восстанавливать их ИТ-ландшафт: какие CMS, серверы, системы управления они используют.
- Бенчмаркинг и исследования. Анализ распространённости технологий, доля устаревшего ПО (например, Windows Server 2008) в стране или отрасли.
Юридические и этические границы
Важно понимать фундаментальное различие: Shodan лишь индексирует публично доступную информацию. Он не взламывает пароли и не использует эксплойты. Он просто подключается к порту и читает то, что устройство ему «говорит». Однако это не снимает ответственности с пользователя.
Легальное и этичное использование в России подразумевает:
- Сканирование и анализ только тех сетей и устройств, которые принадлежат вам или сканирование которых прямо разрешено владельцем (в рамках договора на пентест).
- Использование данных исключительно в целях повышения безопасности, исследований или составления аналитических отчётов без причинения вреда.
- Осознание того, что факт подключения к устройству (даже для чтения баннера) может регистрироваться в его логах и, в зависимости от настроек и юрисдикции, может быть расценено как несанкционированная попытка доступа.
Крайне рискованно и потенциально противоправно:
- Попытка аутентификации на найденных системах с использованием стандартных или подобранных учётных данных.
- Изменение любых настроек на устройстве.
- Использование полученной информации (например, данных из незащищённой веб-камеры) для шантажа, вторжения в частную жизнь или иного причинения вреда.
Ключевые выводы
Shodan стирает иллюзию приватности сетевых устройств по умолчанию. Он наглядно демонстрирует, что тысячи систем доступны в интернете с настройками по умолчанию, устаревшим ПО и открытыми служебными портами. Для специалиста по ИБ это – незаменимый инструмент для проактивного аудита своего периметра и понимания глобального контекста угроз. Для организации – жёсткий индикатор того, что её системы могут быть так же легко обнаружены злоумышленниками.
Использование Shodan требует технической грамотности и правовой осмотрительности. Его сила – в предоставлении сырых данных о цифровой экосистеме. То, как эти данные будут использованы – для защиты или для атаки, – всегда остаётся решением человека.