Comment utiliser Shodan

Shodan peut nous trouver des webcams, feux de circulation, vidéos projècteurs, routeurs, systèmes de chauffage maison, et les systèmes SCADA qui, par exemple, controle les central nucléaires et réseaux éléctriques. Si il y a une interface internet, Shodan peut la trouver!

Shodan est une sorte de moteur de recherche qui vous permet de rechercher des dispositifs connectés à internet ainsi que des informations particulières sur des sites internet, comme le type de programmes utilisés par certains systèmes et des serveurs FTP locaux anonymes. Vous pouvez employer Shodan de la même façon que vous utilisez Google, mais il indexe les informations basées sur les contenus actifs comme les bannières, qui sont des méta données que les serveurs renvoient aux clients d'hébergement. Pour obtenir les meilleurs résultats possible, le moteur de recherche Shodan devrait être exécuté en employant une série de filtres en chaine de caractères ^[1].

Étapes

1. 1
   Allez sur le site internet de Shodan. Rendez-vous sur le site internet de Shodan : https://www.shodan.io/.
2. 2
   Créez un compte. Sur la page d'accueil du site internet de Shodan, créez un compte en cliquant sur le bouton Register (s'inscrire) situé en haut à droite de la fenêtre.
3. 3
   Écrivez un nom d'utilisateur. Entrez un nom d'utilisateur, un mot de passe et une adresse email puis cliquez sur le bouton Submit (soumettre). Shodan va alors vous envoyer un email de vérification.
4. 4
   Ouvrez votre compte email. Ouvrez l'email de vérification que Shodan vous a envoyé et cliquez ensuite sur le lien se trouvant dans le message afin de confirmer votre adresse email. L'écran d'accueil de Shodan va alors s'ouvrir dans une nouvelle fenêtre de votre navigateur.
5. 5
   Connectez-vous. Connectez-vous au compte que vous avez créé en introduisant votre nom d'utilisateur ainsi que votre mot de passe.
6. 6
   Effectuez une recherche. Écrivez les mots correspondants à votre recherche dans le champ de recherche sous forme de chaine de caractères. Si par exemple vous souhaitez localiser tous les dispositifs actuellement connectés au réseau aux É.-U. avec des mots de passe par défaut, écrivez : « default password country : US » (mot de passe par défaut pays : É.-U.)
7. 7
   Lancez la recherche. Cliquez maintenant sur Search (rechercher) afin de lancer votre recherche. La page va alors se rafraichir et montrer ensuite la liste de tous les dispositifs ou de toutes les bannières correspondants aux mots de votre recherche.
8. 8
   Affinez votre recherche. Vous pouvez affiner votre recherche en incorporant des filtres à votre chaine de caractères. Voici quelques filtres les plus courants.
   

   • Par ville. Vous pouvez ainsi limiter la recherche aux dispositifs se trouvant dans une ville particulière. Écrivez par exemple : « city:paris ».
   • Par pays. Vous avez la possibilité d'ouvrir la recherche à tous les dispositifs se trouvant dans un pays. Employez pour cela le code à 2 chiffres du pays qui vous intéresse, par exemple : « country:FR ».
   • Par nom de domaine. Vous pouvez ainsi limiter votre recherche à certains dispositifs en fonction de leur nom de domaine, par exemple : « hostname:facebook.com ».
   • Par système opératif. Vous pouvez de cette manière rechercher des dispositifs en fonction de leur système opératif. Écrivez par exemple : « microsoft os:windows ».
   •  title: Search the content scraped from the HTML tag
   • html: Search the full HTML content of the returned page
   • product: Search the name of the software or product identified in the banner
   • net: Search a given netblock (example: 204.51.94.79/18)
   • version: Search the version of the product
   • port: Search for a specific port or ports
   • os: Search for a specific operating system name
   • country: Search for results in a given country (2-letter code)
   • city: Search for results in a given city

   
   
9. 9
   Cliquez sur une réponse. Cliquez sur une réponse pour obtenir les informations du système. Certaines listes vous donneront des informations détaillées du système comme sa latitude et sa longitude, son adresse IP, le SSH ou la configuration HTT¨ainsi que le nom du serveur ^[2].

Conseils

• Vous pouvez affiner encore plus votre recherche grâce à des filtres additionnels que vous pouvez acheter chez Shodan. Cliquez pour cela sur le bouton Buy (acheter) qui est placé dans le coin supérieur droit de la fenêtre de Shodan.
• Si vous êtes la personne responsable du système pour l'administration d'une compagnie ou d'une entreprise, vous pouvez utiliser Shodan afin de vous assurer que votre système est correctement protégé contre les possibles attaques de hackeurs. Effectuez par exemple une recherche sur votre propre système en utilisant des mots-clés comme : mot de passe par défaut afin de vous assurer que votre système ne contient pas de mots de passe par défaut, ce qui pourrait compromettre sérieusement la sécurité de votre système.

Sources et citations

1. ↑ Le moteur de recherche Shodan
2. ↑ Le site internet de Shodan

L'internet des objets: IoT Scanner

IoT Scanner

par Malekal_morte » 26 Oct 2016 14:22

Les IoT (internet des objets) font beaucoup parler d'eux dernièrement à cause des vulnérabilités qui y sont fréquentes.
Cela permet aux pirates de constituer des botnet (réseau de PC/Objets piratés) pour notamment effectuer des attaques. Dernièrement, de grosses attaques DDoS ont utilisés ces objets connectés.

Bullguard un éditeur de sécurité offre un scanner en ligne qui permet de vérifier si votre réseau est vulnérable.
(Le scanner est basé sur shodan

=> http://iotscanner.bullguard.com

Rendez-vous simplement sur la page et lancez le scan.

IoT Scanner

Si tout va bien, vous devez obtenir le message suivante.
Cela signifie que votre adresse IP n'est pas référencée dans la base Shodan.

IoT Scanner

 

 

Source.:

Web 3,0(Web social) : L'Internet des objets IdO ou IoT pour Internet of Things

Internet des objets

L'Internet des objets (IdO ou IoT pour Internet of Things en anglais) représente l'extension d'Internet à des choses et à des lieux du monde physique. Alors qu'Internet ne se prolonge habituellement pas au-delà du monde électronique, l'internet des objets connectés représente les échanges d'informations et de données provenant de dispositifs présents dans le monde réel vers le réseau Internet. L'internet des objets est considéré comme la troisième évolution de l'Internet, baptisée Web 3.0 (parfois perçu comme la généralisation du Web des objets mais aussi comme celle du Web sémantique) qui fait suite à l'ère du Web social. L'internet des objets revêt un caractère universel pour désigner des objets connectés aux usages variés, dans le domaine de la e-santé, de la domotique ou du Quantified Self. L'internet des objets est en partie responsable d'un accroissement exponentiel du volume de données générées sur le réseau, à l'origine du Big Data.
Selon une équipe de l'ETH de Zurich avec les smartphones puis un nombre croissant d'objets connectés, en dix ans (2015-2025) 150 milliards d'objets devraient se connecter entre eux, avec l'internet et avec plusieurs milliards de personnes¹. Selon une récente étude menée par IDC Canada pour TELUS, d’ici à 2018, le nombre d’« objets connectés » quadruplera au pays, passant de 28 millions d’unités (2013) à 114 millions.

L'information issue de ce big data devra de plus en plus être filtrée par des algorithmes complexes, ce qui fait craindre une moindre protection des données personnelles, une information des personnes et de la société de moins en moins autodéterminée notamment en cas d'appropriation exclusive de filtres numériques par des entités (gouvernementales ou privées) qui pourraient alors manipuler les décisions. L'ETH plaide donc pour des systèmes d'information ouverts et transparents, fiables et contrôlés par l'utilisateur¹.


L'Internet des objets est apparu dans le cadre d'une tendance² lourde, issue de la mécanisation et standardisation, appliquée à l'automatisation du traitement du document et de l’information sur support matériel puis numérique (dont au service de la production et recherche documentaire). Apparu aux États-Unis, il s'est rapidement diffusé avec la mondialisation, aboutissant à connecter des machines à des serveurs capables de les superviser (ces machines étant notamment des ordinateurs mis en réseau dans ce que certains ont nommé l'« internet des machines »)³. Peu à peu des objets ont été modifiés (avec des puces RFID par exemple) ou conçus pour « parler le protocole IP », devenant des « objets connectés », reliés à des serveurs centralisés et/ou capables de communiquer entre eux et/ou avec des réseaux de serveurs et divers acteurs, d'une manière de moins en moins centralisée.
Ses enjeux diffèrent selon les pays ou régions du monde, et selon les acteurs « et de leurs intérêts parfois divergents »⁴. Ce mouvement s'est accompagné d'une croissance et complexification des systèmes de sécurité (pare-feux, mots de passe, etc.).
Il est parfois suggéré que l'objet deviendra un acteur autonome de l'Internet, capable de percevoir, analyser et agir de lui-même selon les contextes ou processus dans lesquels il sera engagé⁵. Dans ce cas de figure, l'avènement de l'Internet des objets s'associe à celui des technologies ou méthodes de conception logicielle liées à l'Intelligence artificielle et des sciences de la Complexité. Le couple « objet physique » / « intelligence virtuelle associée », qu'elle soit embarquée, distribuée ou hébergée dans le Cloud (cloud computing) y est alors mentionné sous l’appellation « cyberobjet »⁶. Les cyberobjets sont des acteurs potentiels des chaînes de valeurs qui agissent sous le contrôle des opérationnels ou en partenariat avec eux. En accédant ainsi au statut d’assistants, de conseillers, de décideurs ou encore d’organisateurs (selon les cas), ils deviennent de véritables agents économiques⁷ et contribuent à la mutation des modèles économiques ou de gestion existants.
Deux enjeux récurrents sont la protection de la vie privée (« privacy ») et de la régulation⁸ et la gouvernance de cet internet de plus en plus ubiquitaire et multiforme, quand il n'y a plus d'interface unique^9,10. En France, à partir de 2015, le forum international IoT Planet se déroule chaque mois de novembre à Grenoble afin de faire le point sur l'évolution technologique des objets connectés^11,12.
 L'internet des objets est « un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisés et sans fil, d’identifier et de communiquer numériquement avec des objets physiques afin de pouvoir mesurer et échanger des données entre les mondes physiques et virtuels. »¹³.
 L'explosion du nombre de smartphones et de connexions a créé un marché nouveau aux opportunités quasi-infinies : dans les années 2010, de nombreux rapports comme celui du cabinet McKinsey¹⁹ désignent ce marché comme l'une des principales sources de croissance. En 2016, 5,5 millions d'objets sont connectés chaque jour dans le monde. Un nombre qui pourrait rapidement passer la barre des milliards, d'ici à 2020. 20



Source.:

L' IoT ,c'est "Internet of Things"

IoT pour les intimes, pour "Internet of Things".

Et comme ce forum est souvent le point focal des technologies de rupture qui vont modifier (une fois de plus) le Web, il va à n'en pas douter, attirer de nombreux entrepreneurs et investisseurs et certainement accélérer les projets autour de ce fameux internet des objets.

Mais de quoi parle-t-on?

Déjà le terme n'est pas récent et est utilisé depuis une dizaine d'années. Le concept qu'il représente est même encore plus ancien. Le livre de Philippe Gautieret Laurent Gonzalez sur le sujet, le fait remonter à 1984 avec Ken Sakamura de l'université de Tokyo, aussi inventeur du premier système d'exploitation temps réel "libre" bien avant Unix (!), le projet TRON. On parle à l'époque "d'informatique ubiquitaire", d'ordinateurs miniaturisés et "partout", "enfouis" dans les objets physiques... très poétique tout ça.

L'internet des objets, c'est déjà ce réseau qui permet à ces objets d'interagir entre eux et d'une certaine façon de prolonger l'internet jusqu’à ces objets. Et l'internet, après avoir été le "réseau des réseaux" est devenu avec le 2.0, le réseau ultime d'interaction entre humains. Alors avec l'internet des objets c'est non seulement la communication machine à machine qui se développe, mais aussi la relation homme-machine qui se repense.

De nombreuses technologies de communications existent et rendent possible l'internet des objets (RFID, QR code, NFC, gprs, ipv6,...). GreenSI s'est plutôt intéressé dans ce billet à la nature des interactions homme-machine et non aux technologies.

Parmi ces entrepreneurs qui cherchent à exploiter ces technologies pour repenser le système d'information, GreenSI a rencontré Philippe Gautier, ancien DSI et maintenant DG fondateur de Business2Any société spécialisée dans le conseil et l'édition de logiciels à intelligence distribuée. Sa société vient de sortir Thin-Track(r) un moteur logiciel qui traite la gestion des stocks et la traçabilité des objets en environnements complexes ou non structurés, qui s'appuie sur des techniques de modélisation 3D et sur des objets communicants pouvant interagir avec les opérateurs. Un projet développé pour un industriel qui a permis d’accélérer le passage de la théorie à la pratique.

Imaginons un grand terrain vide pour le stockage de palettes (un environnement non structuré). Chaque fois que l'on en pose une, on indique sa position de façon relative a un repère fixe, ou en la géolocalisant. Ainsi rapidement le moteur peut construire une représentation de l'espace de stockage et de son contenu. Quand une nouvelle palette arrive, l’opérateur la scanne et indique de la même façon son emplacement. Le moteur peut alors interagir avec l'opérateur pour lui indiquer qu'elle est trop près d'une autre palette contenant un produit dangereux, qu'elle ne doit pas quitter une zone ou être séparée de telle autre palette, voire qu'elle a été déposée là où lui pense qu'il y en a déjà une... qui a certainement été "égarée".

L'intelligence du moteur permet ce nouveau dialogue homme machine en posant des questions à l'opérateur et éventuellement en rectifiant tout seul son modèle. Car c'est bien connu l'erreur est humaine et le moteur doit aussi pouvoir les détecter. Et c'est là que s'introduit une différence fondamentale avec les classiques gestion de stocks des ERP qui elles tolèrent très mal les erreurs et imposent leur vision "idéale" des choses.

Mais en allant plus loin, chaque objet (ici palette) est devenu en quelque sorte autonome en interrogeant le moteur (sur serveur) pour "prendre conscience" de ses paramètres et de ses possibilités d'actions, qu'elle communique a l'opérateur dans ce nouveau type d’interfaces homme-machine. Par l'enrichissement des règles à prendre en compte et par la capacité a capter des informations ambiantes, ces objets peuvent même produire de l'information. D'une certaine façon ces objets développent une certaine intelligence collective reposant pour l'instant sur des règles, et bientôt sur des algorithmes plus sophistiqués.

Ainsi, après la vague de l'internet 2.0 qui a rendu l'utilisateur acteur de l'internet, l'internet des objets c'est peut être cette capacité à rendre les objets connectés eux aussi acteurs de l'internet. Pour mieux interagir avec les humains, ou mieux les accompagner. Récemment Gartner a publié ses prévisions et l'une d'elle annonce qu'en 2016, l'informatique "sur soi"(wearable) tatouages électroniques, chaussures, lunettes,... sera une industrie de $10 milliards, et ce ne sera qu'une petite partie de cet Internet des objets. La santé, les bâtiments, voire les villes "intelligentes" vont elles aussi contribuer à développer ces objets pour par exemple assurer la surveillance, les paiements ou faciliter les transports aux citadins. Enfin la simple communication machine à machine (M2M) déjà opérationnelle avec des machines équipées de cartes SIM, va continuer de se développer et peut être rendre ces premiers objets communicants, un peu plus intelligents.

Certains ne vont donc pas aimer ce scénario, surtout si l'algorithme plus intelligent qui les anime est une puce neuronale connectée à Skynet... déjà vu? (voir le film Terminator de James Camerone pour ceux qui n'auraient pas reconnu).

Mais c'est visiblement ce chemin qui est en train d'être exploré et franchement le petit lapin Nabastag était quand même beaucoup plus rassurant ;-)

REF.: