Shodan po polsku: jak zawęzić rekonesans do polskiej sieci

Materiał ma charakter edukacyjny. Wszystko, co tu pokazuję, testuj wyłącznie na własnym sprzęcie albo za pisemną zgodą właściciela, jak w Minecrafcie: we własnym świecie, nie na cudzym serwerze. W Polsce sam nieuprawniony dostęp do systemu jest karalny (art. 267 i następne k.k.), a prywatność nie istnieje, bo logi u dostawcy, fingerprint, NASK i CBZC prędzej czy później Cię znajdą. To nie jest porada prawna.

W poprzednim odcinku oglądaliśmy globalne zoo otwartych urządzeń. Teraz schodzimy lokalnie, bo polski kontekst akurat ma znaczenie większe niż gdziekolwiek. Shodan to wciąż ten sam silnik, zmienia się tylko jeden filtr na początku zapytania.

Zawężanie do Polski

Najprostsze wejście to filtr kraju:

country:PL port:3389

To pokaże wystawione w Polsce pulpity zdalne RDP. Dalej możesz dokładać miasto, organizację albo konkretną usługę:

country:PL product:"MySQL" "Authentication disabled"
country:PL http.title:"login"
city:"Warsaw" port:445

Filtr org: celuje w nazwę operatora czy firmy, ale bywa nieprecyzyjny, bo nazwy w bazach RIPE bywają różnie opisane. Dlatego do poważnej roboty pewniejsze jest celowanie w numer sieci.

asn: i net:, czyli precyzyjne celowanie

Każdy operator i większa organizacja ma swój numer ASN i przypisane bloki adresów. Shodan rozumie oba:

asn:AS5617
net:203.0.113.0/24

Numer ASN swojego operatora albo własnej organizacji namierzysz w bazie RIPE lub na bgp.he.net, a potem zawężasz Shodana do konkretnego zakresu zamiast zgadywać po nazwie. To różnica między „chyba ich" a „na pewno ich".

Najpopularniejsze polskie sieci i rozwiązania

Żeby celować trafnie, warto wiedzieć, gdzie w Polsce realnie mieszkają usługi. Po stronie operatorów największy jest Orange Polska (asn:AS5617, dawny TPNET, ponad osiem milionów adresów IPv4), a dalej idą Play, Plus, T-Mobile Polska, Netia i Vectra. Ich numery ASN sprawdzisz w RIPE, bo nie zawsze są oczywiste, ale Orange jako punkt odniesienia warto mieć w głowie.

Po stronie hostingu i centrów danych masa polskich firm siedzi u kilku graczy: nazwa.pl (asn:AS15967), Atman (asn:AS15694), home.pl, OVHcloud z dużą obecnością nad Wisłą oraz Beyond.pl. Jeśli audytujesz polską firmę, jej strona i poczta bardzo często stoją właśnie tam, a nie na własnych adresach, więc rekonesans zaczynasz od ustalenia, czyj to tak naprawdę hosting.

Warto też znać typowy polski stos. W rodzimym e-commerce królują PrestaShop i WooCommerce na WordPressie, panele administracyjne to najczęściej DirectAdmin, cPanel albo Plesk, a do tego dochodzą masowo wystawiane routery CPE od operatorów. To wszystko da się wyłapać filtrami, które już znasz:

country:PL http.component:"PrestaShop"
country:PL product:"cPanel"
country:PL http.component:"WordPress" -http.title:"blog"

Znajomość tego krajobrazu zamienia ślepe country:PL w celowane zapytanie, które trafia w to, co w Polsce faktycznie stoi.

Polski kontekst, czyli dlaczego to nie jest akademickie

Pisałam już w biuletynie o kampanii GRU i grupy APT28 wymierzonej w zachodnią logistykę, w tym polskie firmy. Dorzuć do tego ukraińskie ostrzeżenia o rosyjskim wywiadzie przejmującym kamery IP przy infrastrukturze i obraz robi się jasny. Polska jest hubem logistycznym i wschodnią flanką, więc wystawiona kamera przy magazynie, bocznicy kolejowej czy zakładzie to nie ciekawostka konfiguracyjna, tylko gotowy materiał wywiadowczy dla przeciwnika.

To zmienia ciężar tego, co robisz. Audyt ekspozycji polskiej organizacji bywa fragmentem czegoś większego niż „zmień hasło na kamerze".

Audyt własnej organizacji krok po kroku

Najpierw ustal swoje publiczne zakresy: numer ASN i przypisane bloki adresów znajdziesz w RIPE. Potem przejeżdżasz Shodanem po swoim podwórku:

shodan host 203.0.113.10
shodan download moja-org 'net:203.0.113.0/24'
shodan search 'net:203.0.113.0/24 has_screenshot:true' --fields ip_str,port,http.title

Patrzysz, co wystaje: niepotrzebnie otwarte RDP i SSH, panele logowania, bazy bez hasła, kamery, wygasłe certy. Każde z tych znalezisk to zadanie do zamknięcia, zanim znajdzie je ktoś, kto nie ma Twoich dobrych intencji.

Dirty fact: Shodan jest pasywny i nie pyta nikogo o zgodę na indeksowanie, więc to, co widzi o polskiej firmie, widzi też każdy inny. Różnica polega tylko na tym, kto pierwszy spojrzy i po co.

Shodan po polsku to nie egzotyka, to ten sam silnik z filtrem country:PL. Ale akurat na wschodniej flance pytanie „co u nas wisi otwarte" bywa pytaniem o bezpieczeństwo, a nie tylko o higienę konfiguracji. Dlatego warto spojrzeć pierwszym, zanim spojrzy ktoś inny.