TechWorld skrev nyligen om hur routrar från Asus, på grund av bristfälliga inställningar, gav obehöriga åtkomst till hårddiskar som kopplats till routern. I det fallet använde obehöriga sökverktyget ShodanHQ för att hitta de oskyddade enheterna. Asus rättade snabbt till bristerna som hade påtalats, men tyvärr hade många redan råkat ut för intrång och privata filer och information läckte ut på nätet.
TechWorld fick direkt in massor av tips på att Asus knappast var ensamt om den här typen av problem, och att det förmodligen finns massor av olika system, diskar och enheter som är helt öppna ut mot nätet, utan att den som äger eller sköter dessa har en aning om att så är fallet.
Nu har så den norska sajten usikkert.no lanserats och den bekräftar våra värsta farhågor. Sajten förenklar kraftigt den typ av sökningar som görs via ShodanHQ, och ger dessutom mer exakta resultat. Det handlar med andra ord om något helt annat än en vanlig sökmotor, vilket man kan få intryck av vid en första anblick.
Skaparna av sajten poängterar att "vanliga" sökningar sällan leder till något vidare resultat. Istället handlar det om att usikkert.no identifierar och kategoriserar norskägd utrustning som inte borde vara fritt tillgänglig på internet.
Den som inte registrerat sig på sajten kan inte se hela ip-numren, detta för att försvåra missbruk av sajten.
Även om risken att tjänsten ändå kan missbrukas är uppenbar, uppger skaparna att ändamålet med sajten ändå handlar om omtänksamhet och skriver:
”Det övergripande målet kan sammanfattas som en vilja att uppmärksamma och rapportera om specifika sårbarheter så tidigt som möjligt.”
Man nämner också problem med utrustning som skeppas programmerade bakdörrar och förvalda lösenord som aldrig ersatts, och hur allt fler enheter som smarta tv-apparater, ip-kameror, skrivare och skannrar idag är anslutna till nätet med väldigt bristfällig säkerhet.
”Det är lätt att tro att marknaden själv kommer att rätta till detta och att utrustning med låg kvalitet kommer att försvinna inom kort, men i praktiken fungerar det som vi vet sällan på det sättet. Dålig säkerhet, eller vad som kan förmodas vara dålig säkerhet, är ofta svårt att avslöja - för att inte tala om hur svårt det kan vara att förutse konsekvenserna”, skriver man i ett blogginlägg som beskriver sajten.
Så fungerar det
Så här beskriver skaparna av usikkert.no själva hur tjänsten fungerar:
I grund och botten är usikkert.no en sökmotor som samlar in data från alla ip-adresser som är registrerade i Norge. Från de här ip-adresserna görs ett anslutningsförsök till ett litet antal portar som vanligtvis sköts av webbtjänster. Eventuella svar loggas och sökmotorn går vidare till nästa adress.
Så här långt är funktionen densamma som ShodanHQ och liknande sökmotorer. Men tekniken bakom usikkert.no tar det hela ett steg längre.
Alla data som samlas in bryts ned, klassificeras och betecknas genom att pröva olika filter. Dessa möjligör till exempel katalogiserade listor exempel, på felkonfigurerade webbservrar, sidor med inloggningsbegäran, sidor som innehåller dokument och filer, sidor som kommer från en router, en webbkamera, skrivare, skannrar, styrsystem och så vidare.
Dessutom bryts all strukturerad och ostrukturerad information från varje server ner i frekvenstabeller. Dessa tabeller gör det möjligt att återställa både vanliga och mindre vanliga konfigurationer. Det öppnar för den högst intressanta frågan: vad är det du inte kan hitta om du söker på "vanliga" saker men som du hitta på det här sättet?
Ovanpå alla komponenter som klassificerar och kvantifierar informationen ligger sökgränssnittet. Där kan du begränsa resultaten genom textsökning, taggar (t.ex. skrivare, foton, kamera osv.), http-headers (som identifierar servern eller mjukvaran den är igång), ägaren av ip-adressen, ip-adressintervall och mycket mer. Dessa villkor kan kombineras för att kräva att sökresultaten innefattar, eller utesluter, specifika kombinationer.
