Основные тезисы доклада:
- Предпосылки создания поисковой системы: идея создания гибкого поискового запроса как попытка решения 2-х разных задач. Первая - работа с результатами периодического сканирования сети нашей организации (разнёсённой по городам). Вторая - анализ статистики распространённости определённых типов устройств и серверного ПО в различных уголках мира.
- Решение в виде гибкого поискового запроса позволяло производить удобный поиск на предмет уязвимого оборудования в нашей организации при выходе информации об уязвимости. Допустим, если известно, что по CVE-2014-0160 уязвимы OpenSSL версии от 1.0.1 до 1.0.1f, то можно было сформировать запрос вроде: "(продукт = OpenSSL) И (версия (больше или равно 1.0.1) И (меньше или равно 1.0.1f))"
- Анализ вариантов создания гибкого поискового запроса
- Варианты создания гибких запросов: поиск по маске, по регулярным выражениям, сложно составные запросы, запросы со множеством условий
- Анализ затрат ресурсов при выполнении множества запросов, идея кластеризации серверов
- Определение географической принадлежности IP-адресов
- Сравнение системы со схожими (Shodan)
- Опыт экспортирования миллионов записей с открытых ресурсов (например, scans.io)
- Примеры интересных устройств, найденных в своей поисковой системе (АСУ ТП, банковское и др. оборудование)