Interneteko zerbitzari batek hainbat zerbitzu eskaini ahal ditu: http eta https dira gehien ezagutzen ditugunak uneoro web nabigatzailean sartu edo ikusten ditugulako.
Baina badaude beste zerbitzu ezagun asko: e-posta bidaltzeko (SMTP), jasotzeko (POP3, IMAP), fitxategiak zerbitzarira bidaltzeko edo zerbitzaritik jasotzeko (FTP), zerbitzaria administratzeko (SSH), etab.
Zerbitzu bakoitzak ataka edo portu bat erabiltzen du. Pentsa dezagun metafora honetan: zerbitzaria armairu bat da eta hainbat tiradera ditu barruan (atakak). Kaxoi bakoitzak zenbaki bat dauka. Click To Tweet
Zerbitzu bakoitzak ataka edo portu bat erabiltzen du. Pentsa dezagun metafora honetan: zerbitzaria armairu bat da eta hainbat tiradera ditu barruan (atakak). Kaxoi bakoitzak zenbaki bat dauka. Orokorrean 80 zenbakia duen tiraderak HTTP zerbitzua gordeko du barruan. Baina HTTPS bada, orduan 443 tiraderan aurkituko dugu.
Portu zenbaki horiek ez dira ausaz aukeratu. Izan ere badago Interneteko erakunde bat zerbitzu bakoitzak erabili behar duen ataka zenbakia esleitzen duena: IANA (Internet Assigned Numbers Authority). Ez zen beti horrela izan, 2001etik atzera ICANN-en (Internet Corporation for Assigned Names and Numbers) lana baitzen.
Esleipen hori gomendio bat da. Alegia, 80. tiraderan HTTP ez den beste edozein zerbitzu sar dezakegu, baina orokorrean IANA erakundeari kasu egiten diote webgune guztiek. Esleipen hori jarraitzeak badu bere abantaila. Adibidez, webgune baten URLa sartzerakoan, HTTPS zerbitzaria 443 portuan badago, ez dugu portu zenbakia idatzi behar URL hori atzitzeko. Adibidez, https://sarean.eus idazten dugu eta ez https://sarean.eus:443 baina biak daude ondo.
Segurtasuna eta atakak
Zerbitzari baten ‘kaxoiak’ ireki ditzakegu barruan zer gordetzen duten ikusteko? Bai, izan ere segurtasun informatikoan erabiltzen den teknika oso ezaguna da: port scanning delakoa.
Ataken eskaneoa edo port scanning egitean zerbitzari guztien kaxoiak irekitzen saiatuko gara. Batzuk irekita egongo dira (opened) eta barruan zerbitzu bat eskainiko du. Beste batzuk ezingo ditugu ireki, ez dagoelako ezer barruan (closed) edo baimenik ez daukagulako (filtered), adibidez soilik IP helbide zehatz batzuetatik ireki ahal delako.
Baina zenbat ataka daude zerbitzari batean? 65536, dexente ezta? 🙂 Horietatik garrantzitsuenak edo 1-1024 tartekoak dira, ataka oso ezagunak. Wikipediak eskaintzen duen zerrenda honetan aurki dezakegu tarte horretan eskaintzen diren zerbitzuen izenak.
Beraz, IP helbide edo zerbitzari baten izena emanda zerbitzari horren ataken eskaneoa egin dezakegu, eskaintzen dituen zerbitzu guztiak ezagutzeko. Ez soilik zerbitzuaren izena baizik eta baita bertsioa edo modeloa ere.
Jar dezagun adibide bat: Interneteko web zerbitzu bat atzitzean, adibidez https://sarean.eus HTTPS zerbitzari baten erantzuna jasoko dugu. Baina autoekin gertatzen den bezala (auto marka asko daude, Citroën, Nissan, Seat,… bakoitzaren barruan hainbat modelo, Citroën C3, C5, eta modelo bakoitzak hainbat bertsio izan ditzake), gauza bera gertatzen da HTTPS zerbitzariekin. Bertan aurkituko ditugu Apache, Microsoft IIS, nginx,… Eta bakoitzaren barruan, hainbat bertsio: Apache 2.4.43, Apache 2.2.1 etab.
Kuriositatez, Interneten gaur egun gehien erabiltzen diren HTTPS zerbitzarien sailkapena hau da (iturria: https://w3techs.com/technologies/history_overview/web_server )
Apachek irabazten du baina ez askogatik (nginx zerbitzaria bere atzetik dabil). Baina, nola lortu dute zerrenda hori? Bada Interneteko zerbitzari guztien portuen eskaneoa eginez! Tira, prozesu horrek pilo bat iraungo du, ezta? Eta eskaneoa egitean zergatik geratu dira soilik HTTP zerbitzarien informazioarekin eta ez zerbitzu zerrenda osoarekin? Beno, erantzun ditzagun galdera horiek.
Zenbat denbora behar da Interneteko zerbitzari guztiak eskaneatzeko?
Beno, hori da hain zuzen ere masscan tresnaren helburua. Hamar miloi eskaera egin ditzake segundoko, ordenagailu bakar batetik, Interneteko IP guztiak 6 minututan arakatuz.
Horrelako tresnak erabiliz Interneten eskaintzen diren zerbitzuen datuak gorde eta kontsultagarri nonbait utziko balute oso interesgarria izango litzateke, bai alderdi estatiskotik begira (gehien erabiltzen diren zerbitzarien zerrenda egiteko, lehen ikusi dugun bezala) eta nola ez, segurtasun informatikoaren aldetik. Hori da, hain zuzen ere, shodan.io webguneak eskaintzen duena.
Shodan.io
Webgune honek Interneteko IP guztiak egunero aztertzen ditu eta zerbitzu, IP, geokokapena eta irekita aurkitzen dituen portu guztien informazioa gordetzen du. Beste modu batera esanda, Interneten online dauden gauza guztien bilatzaile bat da. Egin dezagun proba bat sarean.eus zerbitzariarekin (IP helbidea: 46.105.39.160)
Jaso dugun informazioa: OVH hornitzaile frantsesaren barruan dago sarean.eus eta irekita dituen atakak 53, 80, 110, 443, 993, 8443 dira. Nginx zerbitzaria erabiltzen du HTTP zerbitzari gisa. Eta ikaselkar.eus webgunearekin banatzen du zerbitzari hori. Ikusten den bezala Shodan-ek asko daki! Baina ez da hor geratzen.
Shodan webgunean oso gauza bitxiak aurki ditzakegu. Adibidez webkamera irekiak (goiko irudia honako kontsultarekin lortu da: port:554 has_screenshot:true). Lapurrek iraganean erabili omen dute zerbitzu hau segurtasun webkamerak dituzten guneak kontrolatzeko. Hamaika aldiz esan da ez dela segurtasun webkamera baten IP helbidea publikoa egin behar baina hala ere, jendeak ez du kasurik egiten. Eta horrek sekulako zigorra ekar dezake. Ikus dezagun azkenengo adibidea…
Bahiketa eta erreskatea. Interneteko alde ilunak
Shodan webguneak API bat eskaintzen du. Horrek esan nahi du bilaketa automatikoak programatu daitezkeela. Funtzionalitate hortaz baliatuz, eta jakinda jendeak ez dituela ziber-segurtasun neurri minimo batzuk betetzen gaizkile bati zera okurritu zitzaion. Interneten irekita dauden datu-base zehatz baten bertsio guztiak bilatu, bertan zeuden dokumentu guztiak bahitu (bere ordenagailuan kopia bat egin eta jatorrizko zerbitzaritik ezabatu) eta horien ordez erreskate nota bat idatzi. Datu-basea mongodb da. Eta erreskate baten adibide erreala hurrengo irudian aurki dezakegu.
Jakin-minez, segurtasun neurriak hartu eta bertan sartu nintzen zenbat ordaindu behar zen ikustera. Hona hemen bertan aurkitu nuen mezua:
Alegia, informazioa berreskuratu nahi izanez gero, bahiketa mezua bidali eta 48 ordu igaro baino lehenago, datu-basearen jabeak 0.015 Bitcoin ordaindu behar du informazioa berreskuratzeko. Hori egin ezean informazioa publikoa egingo duelaren mehatxua bidaltzen du. Hori gutxi balitz, GDPR legearen kontrako datu pribatuak publikatu egin direla salatuko du. Eta email helbide bat ere ematen du ordainketa zuzen egin dela eta datu-basea berreskuratu nahi dela esateko. Ransomware (datuen bahiketa eta erreskatea), horrela deitzen zaio segurtasun munduan teknika honi.
Tamalez, horrelakoak askotan ikusiko ditugu hemendik aurrera, eta egindako azterketa azkar baten ondoren, nahiko gertu.