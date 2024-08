Shodan is een zoekmachine die in kaart brengt welke systemen verbonden zijn met het internet. De tool, vernoemd naar de boosaardige AI uit de game System Shock, zoekt op willekeurige IP-adressen naar open poorten en toont welke onbeveiligde diensten er op het adres beschikbaar zijn. Vooral met de beveiliging van camera’s is het slecht gesteld, zoals de aparte sectie met apparaten die nagenoeg vrij toegankelijk zijn laat zien. Binnen een paar klikken kijk je mee in iemands achtertuin of woonkamer, of bestuur je het controlepaneel van een waterturbine. Vaak is het invoeren van een standaardwachtwoord (admin/admin) al voldoende.

Shodan is het geesteskind van de Amerikaan John Matherly, die het in 2009 startte als hobbyproject vanuit zijn garage. Inmiddels is het uitgegroeid tot een volwassen bedrijf, dat diverse Fortune 500-bedrijven als klant heeft. De populariteit van de zoekmachine is in de afgelopen jaren sterk toegenomen, voornamelijk omdat het aantal devices verbonden met internet is geëxplodeerd. Van tv’s en lampen tot koffiemachines, settopboxen en kleine elektronische apparaten – ze zijn allemaal ‘connected’ en hebben het internetlandschap sterk veranderd.

Het probleem van al die met het internet verbonden hardware is dat de beveiliging vaak om te huilen is. En dat hebben cybercriminelen ook door. Hoewel beveiligingsonderzoekers Shodan inzetten om kwetsbaarheden te zoeken en te rapporteren, gebruiken kwaadwillenden de tool juist om mee te kijken met gebruikers en privédata te stelen. Shodan is immers net zo makkelijk toegankelijk als elke andere zoekmachine.

Motherboard: Shodan wordt door sommigen omschreven als Google voor hackers. Kun je je vinden in die omschrijving?

John Matherly: Het grootste verschil is dat Google websites indexeert en Shodan apparaten. Wij houden metadata over een apparaat bij, zoals de locatie en het besturingssysteem, terwijl Google meer interesse heeft in de content die erop staat. Ook de doelgroep is verschillend: praktisch iedereen gebruikt Google en een zoekopdracht uitvoeren is super simpel, terwijl voor Shodan iets meer technische kennis is vereist. De meeste gebruikers zijn bedrijven die onze informatie gebruiken om hun cybersecurity te checken, en in kaart te brengen welke risico’s ze lopen in hun communicatie met andere bedrijven.

Maar er zijn ook genoeg hackers die Shodan gebruiken om onbeveiligde, met het internet verbonden hardware te zoeken.

Shodan is een hulpmiddel dat net als Google voor goede en kwade doeleinden gebruikt kan worden. En net als Google nemen we maatregelen om te voorkomen dat cybercriminelen er misbruik van maken. Zo blokkeren we anonieme gebruikers, beperken we de informatie die je ziet als je niet ingelogd bent en vragen we om aanvullende (betaal)gegevens als je meer dan 20 zoekresultaten wilt zien.

Dus Shodan maakt de wereld eigenlijk een stukje veiliger?

Om problemen met security op te lossen, moeten we ons ervan bewust zijn. En we moeten in de gaten houden of de maatregelen die we nemen het internet ook echt veiliger maken. Ik ben ervan overtuigd dat Shodan daarvoor de juiste inzichten levert, door te laten zien welke systemen slecht of niet beveiligd zijn en in potentie van buitenaf zijn over te nemen. Organisaties die data van Shodan gebruiken kunnen vaststellen of er kwetsbaarheden in hun producten zitten en die oplossen. Voorheen werd daar een stuk lakser mee omgegaan. Ook kunnen ze nu sneller in contact komen met getroffen klanten.

John Matherly

Wat tref je zoal aan als je de zoekmachine gebruikt?

Vooral modems, routers, en servers – en verder veel andere netwerkapparatuur die verbonden is met internet. Dat zal je waarschijnlijk niet verbazen. Ik vind het echter bizar om te zien hoeveel industriële controlesystemen in verbinding staan met internet. Dit zijn apparaten die bijvoorbeeld verkeerslichten en beveiligingscamera’s aansturen, maar ook waterzuiveringsinstallaties, robots in fabrieken en de airconditioning op kantoor. Er zijn bijna 100.000 daarvan verbonden met internet en ondanks dat er veel over wordt gesproken, groeit het aantal nog steeds.

Je zou verwachten dat die apparaten niet publiekelijk toegankelijk zijn.

Klopt. Eigenlijk zouden ze beperkt of niet verbonden met het internet moeten zijn. Maar vaak is er een zakelijk vereiste om dit soort apparatuur op afstand te kunnen benaderen. De IT’ers die dit inregelen zijn getraind om fysieke systemen te beheren, maar hebben weinig kaas gegeten van netwerkbeveiliging. Dit wordt ook wel omschreven als de kloof tussen OT (operationele technologie) en IT (informatietechnologie). Die eerste groep hanteert apparatuur met een zeer grote hardwarecomponent, terwijl de tweede groep systemen gebruikt die vooral op software berusten. Ze groeien steeds meer naar elkaar toe, maar daar was wel een cultuuromslag voor nodig.

Er wordt weleens gezegd dat we ons in de vierde industriële revolutie bevinden, waarbij het Internet of Things (IoT) de link vormt tussen OT en IT. Hoe komt het toch dat zoveel van die IoT-apparaten slecht beveiligd zijn?

Dat heeft verschillende redenen. Allereerst kosten securitymaatregelen natuurlijk geld, en de meeste klanten maken geen aankoopbeslissingen op basis van de beveiliging van een product. Zij gaan voor de laagste prijs, bij de producent die wellicht niks om beveiliging geeft. Daarnaast is het Internet of Things een enorme groeimarkt. Bedrijven focussen op het zo snel mogelijk uitbrengen van nieuwe producten om een dominante positie te verkrijgen. Ze hebben geen paar weken of maanden de tijd om te zorgen dat het met de security goed zit. Bovendien hebben veel IoT-devices een geplande levensduur van hoogstens twee of drie jaar. Fabrikanten verwachten dat klanten ze net zo snel vervangen als hun smartphone.

Moet ik me zorgen maken dat mijn kekke, met internet verbonden beveiligingssysteem opduikt in Shodan?

Dat hangt er vanaf. De meeste huisautomatiseringssystemen die je op Shodan vindt, zijn opzettelijk geconfigureerd om via het internet beschikbaar te zijn. Koop je een apparaat en doorloop je de standaard set-up – inclusief het instellen van een sterk wachtwoord – dan is de kans klein dat het van buitenaf is te benaderen. Vertrouw je het niet, check dan of er een Shodan-extensie beschikbaar is die werkt met jouw product. Je krijgt dan een seintje als het alsnog in de zoekmachine opduikt.

Binnenkort is elk apparaat dat we gebruiken verbonden met het internet. Een goede zaak?

Als dat op de juiste manier gebeurt zeker! De voordelen zijn groot en zowel bedrijven als consumenten hebben er behoefte aan. Het is alleen zaak om de beveiliging op orde te krijgen. Elk apparaat moet ontworpen worden met security en privacy in het achterhoofd.

Wat heb je de komende tijd op de planning staan?

We werken aan tools die het gemakkelijker maken voor bedrijven en individuen om bij te houden wat ze allemaal aan het internet hebben hangen. Veel van de problemen die we zien, zijn gerelateerd aan mensen die niet weten welke van hun apparaten connected zijn. Ze hebben geen betere beveiligingsscanner nodig, maar moeten een waarschuwing krijgen als er iets onverwachts gebeurt. En daar willen wij voor zorgen!