Her er mannen bak «verdens farligste søkemotor»

Er du på nett, har han trolig sjekket produktene dine uten at du vet det.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

LUZERN (Dagbladet): Søkemotoren Shodan har fått mange merkelapper, blant annet «hackernes beste venn» og «verdens farligste søkemotor».

I dette intervjuet forklarer Shodan-skaper John Matherly hvorfor søkemotoren først og fremst er for «de gode - ikke de onde».

Brukt av Dagbladet Dagbladet har i flere måneder benyttet søkemotoren til å få oversikt over enheter som er koblet til nettet i Norge.

Funnene i Shodan har vi så bearbeidet og brukt til å finne utrygge og usikrede enheter til fare for din og min sikkerhet. Serien har fått tittelen «Null CTRL» og tar for seg kritiske sider av privat-, forretningsmessig- og samfunnskritisk sikkerhetssvikt.

Ifølge Shodan-skaperen er Dagbladets arbeid unikt.

- Det er skrevet enkeltstående artikler basert på funn i Shodan, men da er det jeg eller andre eksperter som har funnet det fram for journalistene. Dagbladet gjør jobben selv, og i stor skala. Det har jeg enorm respekt for. Det er synd ikke flere journalister har forstått hvor godt redskap dette er i research, for å få større oppmerksomhet rundt datasikkerhet, sier Matherly.

Flyttet til USA Dagbladet møtte den USA-baserte programmereren i Sveits, hans egentlige hjemland.

- Det er her jeg er født, men jeg klarte ikke skolen spesielt bra. Derfor flyttet jeg til USA, hvor systemet er litt annerledes. I ettertid er det liten tvil om at det viste seg å være et godt valg, sier Matherly.

Et video-intervju og eksempler kan du også se i TV-reportasjen over.

- Hva er Shodan?
- Shodan er en søkemotor som lar folk finne alt som er koblet til Internett. Alle enheter, enten det er en server, en mobiltelefon, et webkamera eller en laptop... Hvis det er koblet til Internett, kan Shodan lage «fingeravtrykk» på det og la andre søke etter det på Internett.

- Noen har beskrevet det som verdens farligste søkemotor, gjør det deg stolt?
- Jeg er glad for at folk bruker den og at den har fått et kallenavn på en måte, men jeg synes det er en overdrevet tittel, som redaktører liker å bruke for å skape sensasjon. Artiklene i seg selv er mye mindre skandaløse, det er bare for å få folks oppmerksomhet. Ingen kommer til å bruke et verktøy som bare kalles «søkemotor for enheter».

- Er den så farlig?
- Jeg tror at den kan være det i de rette hender, men folk må innse at denne teknologien ikke er ny. Den har eksistert lenge. Den har bare ikke blitt eksponert for sikkerhetseksperter og offentligheten på denne lett tilgjengelige måten før.

- Men andre ondsinnede aktører har hatt tilgang til den samme teknologien i mer enn et tiår, så den store forskjellen er at vanlige sikkerhetsfolk, vanlige mennesker, har et verktøy de kan bruke.

- Hvorfor er Shodan viktig?
- Fordi den kaster lys over en del av Internett som folk ikke kjente til tidligere. Før trodde mesteparten at hvis de ikke finner noe på Google, er det ikke på Internett, men Shodan gir et helt annet bilde av det samme nettet.

- Shodan er den rå, ufiltrerte versjonen av Internett. Den gir folk enn annen måte å få tilgang til og dele og spre ting på Internett.

- Hvorfor er styringssystemer farlige?
- Med styringssystemer mener man blant annet systemer som kontrollerer vannkraftverk, kraftstasjoner, vindkraftverk, systemer som ble tatt i bruk for lenge siden, veldig store, gamle systemer som ikke oppdateres ofte. De koster mange millioner dollar, men selskaper ønsker å koble dem til Internett så de kan hente data og styre systemene hvor som helst i verden, noe som åpenbart er mye billigere enn å få noen til å reise rundt til de ulike lokasjonene.

- Så de vil legge disse systemene på Internett, men ved å gjøre dette, ignorerer de risikoen, fordi enhetene aldri var ment å være på Internett. Så plutselig legger du enheter på Internett som aldri var ment å være der, uten sikkerhet, og de var aldri testet for å være på nettet.

- Har du fått noen reaksjoner fra myndigheter?
- Ja, jeg har blant annet snakket med flere av dem som samarbeider med FBI. Jeg har selvfølgelig snakket med US CERT og ICS CERT, som jobber spesielt med å overvåke den amerikanske infrastrukturen og se om noen av enhetene er online, og i så fall fjerne dem fra nettet.

- Før Shodan fikk de nesten ingen rapporter om online enheter i det hele tatt. Så de kontaktet meg og sa at jeg virkelig hadde økt mengden med henvendelser og hvordan de måtte håndtere dette. Men tilbakemeldingene har vært veldig positive så langt. De har vært glade fordi Shodan hjelper dem å skape en sikrere infrastruktur, og deres høyeste mål er at amerikansk infrastruktur og infrastrukturen i resten av verden for øvrig, blir bedre beskyttet.

- Hva svarer du når folk sier at dette er et verktøy for hackere?
- Mitt svar til dette er at de ondsinnede hackerne har brukt lignende verktøy i over ett tiår. De kan bruke lignende verktøy akkurat nå. Shodan er ikke anonymt, hvis du vil bruke Shodan, må du logge inn, og hvis du ønsker ekstra tilgang, må du oppgi betalingsinformasjon. Så derfor pleier de ikke å bruke Shodan. Så ondsinnede hackere har hatt sine egne verktøy lenge. De vil ikke bruke Shodan. Smarte hackere bruker ikke Shodan.

- Så du mener Shodan er for de «snille»?
- Absolutt. Shodan er for de «snille». Jeg er blitt kontaktet av veldig mange på e-post og Twitter, som takker for at de nå har et verktøy de kan bruke for å lage store analyser av selskaper, Internett, ulike land.

- Hvorfor har ikke flere brukt Shodan journalistisk?
- Jeg tror Shodan er villedende enkelt å bruke. Det er veldig enkelt å skrive inn «webcamera» og så får du opp noen resultater, men det er ikke spesielt gode resultater. Så Shodan krever teknisk kunnskap. Det er ikke for gjennomsnittspersonen hvis du virkelig vil lete etter noe spesielt. Det er ikke som Google, hvor du bare kan skrive inn hva som helst. Google er veldig smart. Shodan er ikke sånn.

IKKE AKKURAT GOOGLE: Shodan er som Google, et webbasert søkeverktøy. Men der stopper likheten. Vis mer

- Igjen: Det er en rå feed av internett. Så du må klare å gjøre dine egne analyser før du går til Shodan og da kan du bruke det. Så du må vite hva du leter etter, og de fleste gjør ikke det.

- Tror du det har vært ulykker forårsaket av kontrollsystemer på nett?
- Det har vært tilfeller hvor folk ved et uhell har funnet for eksempel en fabrikk mens de lette etter noe annet. De logger inn og klikker på noen knapper, og plutselig slår de ut hele systemet.

Tips oss på [email protected] Vis mer

- Tenk at du for eksempel går inn på en nettside hvor teksten er skrevet på et språk du ikke kjenner, og du vet ikke engang hva de ulike knappene betyr. Du bare klikker rundt fordi du håper å finne noe interessant. Men ved et uhell, kjører du omstart på systemene til en hel fabrikk, og alt stenges ned.

- Det skumle med disse systemene er at det i utgangspunktet ikke var meningen at de skulle ligge på Internett i det hele tatt. Og det var ikke meningen at de skulle betjenes av noen som ikke vet hva de holder på med. Disse systemene er så sårbare at en tilfeldig person som kobler seg på og sender feil kommandoer, vil ta ned hele systemet. Det er veldig skremmende.

- Hva kan myndighetene gjøre for å bedre sikkerheten?
- Jeg synes USA har vært gode. Vi har en dedikert CERT-gruppe som takler infrastrukturproblemer. Det første skrittet er å anerkjenne at det er et problem. Med en gang du har anerkjent at det er et problem, kan du begynne å få på plass ting, og folk er mer villige til å betale for sikkerheten for å beskytte systemene deres ordentlig. Så kunnskap er viktig, og det må gå fra myndighetene til de som utvikler systemene.

- Ingen vil bruke penger i forkant av at noe har skjedd, for du vet ikke om det er verdt det. Men hvis myndighetene gir selskapene incentiver til å investere i sikkerhet, kan du forhåpentligvis forebygge noen av de større problemene. Gjennom politikk og ved å ha en CERT-gruppe som direkte kan snakke med både operatørene og leverandørene, kan du bli kvitt mange av disse problemene.

SKAPEREN: John Matherly har laget søkemotoren Shodan. Foto: Øistein Norum Monsen/Dagbladet Vis mer

Les mer: Null CTRL

FILTRE: Via ulike filtre, kan man gjøre research i Shodan på hva slags enheter som er koblet til Internett. Foto: Skjermdump Vis mer