Мой доклад на PHDaysV

Мой доклад на PHDaysV
И снова PHDays, и снова выступаю :) Доклад на тему Yet another Shodan, или Наш опыт создания аналогичной поисковой системы 26 мая в промежутке 11-12 часов. Доклад (и результаты на основе доклада) ранее не публиковался нигде: ни на конференциях, ни в блогах.

Основные тезисы доклада:

  1. Предпосылки создания поисковой системы: идея создания гибкого поискового запроса как попытка решения 2-х разных задач. Первая - работа с результатами периодического сканирования сети нашей организации (разнёсённой по городам). Вторая - анализ статистики распространённости определённых типов устройств и серверного ПО в различных уголках мира.
  2. Решение в виде гибкого поискового запроса позволяло производить удобный поиск на предмет уязвимого оборудования в нашей организации при выходе информации об уязвимости. Допустим, если известно, что по CVE-2014-0160 уязвимы  OpenSSL версии от 1.0.1 до 1.0.1f, то можно было сформировать запрос вроде: "(продукт = OpenSSL) И (версия (больше или равно 1.0.1) И (меньше или равно 1.0.1f))"
  3. Анализ вариантов создания гибкого поискового запроса
  4. Варианты создания гибких запросов: поиск по маске, по регулярным выражениям, сложно составные запросы, запросы со множеством условий
  5. Анализ затрат ресурсов при выполнении множества запросов, идея кластеризации серверов
  6. Определение географической принадлежности IP-адресов
  7. Сравнение системы со схожими  (Shodan)
  8. Опыт экспортирования миллионов записей с открытых ресурсов (например, scans.io)
  9. Примеры интересных устройств, найденных в своей поисковой системе (АСУ ТП, банковское и др. оборудование)
phdays 2015 SCADA scanners Search engines
Alt text

Агиевич Игорь aka Shanker

Мысли о собственной жизни ИТ-аналитика, обретающие очертания в голове и формируемые средством их выражения - родной речью