Pesquisando o Shodan - Conhecendo

Exemplo do que se pode colocar na barra de pesquisa “country:pt” :

Clicando no primeiro IP, podemos ver algumas informações encontradas sobre o IP específico:

No mesmo IP, podemos ver que foi encontrado vulnerabilities, tendo a explicação e a classificação de
cada uma das CVE encontradas por Shodan:
Obs: a classificação é baseada em quão perigosa a vulnerabilidade é e se encontra.
Agora não mais sobre uma procura aleatório, mas sim da Empresa Simoldes, podemos observar que foi
encontrado cerca de 37 resultados com o nome “hostname:simoldes”:

Pegando o primeiro exemplo indicado. Aparece “ Not found”, no qual nos diz que pode significar 3
coisas, e elas são :

1. O nome de host ou endereço IP não está registrado no sistema de nomes de domínio (DNS) ou
não está acessível no momento.
2. O endereço IP ou nome de host foi digitado incorretamente.
3. O servidor ou serviço associado ao nome de host ou endereço IP está indisponível ou não
responde.

Pode ter esse nome, mas não deixa de ter o IP:

Nesse print podemos ver 3 ícones :

E ao clicar no nome aparece o IP e a sua “ General Information”:

E nesse próximo print, podemos ver quais são os significados dos 3 ícones encontrados anteriormente:
Aqui vemos outra coisa diferente que nem todos tem:

Cloud – nuvem de armazenamento, processamento de dados, serviços de dados, etc.

Nesse resultado encontrado, podemos perceber uma diferença, e isso é percebido pela descrição do IP
ao lado, e essa diferença é que não está escrito “SSL Certificate” e sim, “NTP”.

"NTP" se refere ao Protocolo de Tempo de Rede (Network Time Protocol). É um protocolo de rede
utilizado para sincronizar o relógio de um sistema com uma fonte de tempo confiável, como um servidor
NTP. Ele é amplamente utilizado para garantir que os dispositivos em uma rede estejam sincronizados
com a mesma hora, o que é importante para várias aplicações, como registros de eventos, autenticação
e coordenação de transações.

E a diferença entre os dois é que O NTP (Network Time Protocol) é um protocolo de rede usado para
sincronizar o relógio de um sistema com uma fonte de tempo confiável. Ele garante que os dispositivos
em uma rede estejam sincronizados com a mesma hora. Por outro lado, o Certificado SSL (Secure
Sockets Layer) é uma tecnologia de segurança usada para estabelecer uma conexão criptografada entre
um servidor e um cliente. Ele protege a comunicação, garantindo que os dados transmitidos sejam
criptografados e seguros contra interceptação ou manipulação.

Em resumo, o NTP é usado para sincronizar o tempo em uma rede, enquanto o Certificado SSL é usado
para estabelecer uma conexão segura e criptografada entre um servidor e um cliente.
Nesse print, cliquei na parte “View report”, é aparece praticamente todas a informação resumida do
“hostname:Simoldes”:
E na mesma página do “View report”, temos a informação de quantas “Ports” existem na pesquisa feita e
quais são elas:

Na mesma página “View Report”, temos outra camada de informação e ela é “Organization”. Mostra
quais são e quantas existem:
No primeiro exemplo, vimo que nessa sessão mostra o tipo de CVE e o que ela é e sua explicação, porém
na pesquisa “hostname:Simoldes”, a mesma sessão nos diz outra coisa, e ela é que não tem nenhuma
informação sobre alguma vulnerabilidade encontrada pela Shodan, mas isso não quer dizer que não
existam nenhuma, apenas que a Shodan não é tão precisa.

Nesta sessão, “Products” , refere-se ao software que é utilizado e mostrado pelo IP. Seja a Microsoft ou o
cisco.
Na sessão de “Tags”, pode se vista quais são semelhantes e assim fazer uma pesquisa mais específica.

E na sessão do “Operating Systems”, temos só uma opção de sistema operativo.

Esta é outra informação do IP. Diz respeito ao “Website Titles”, ao título de um site, ou melhor, um
descrição ou rótulo. O título do site pode fornecer uma breve descrição do conteúdo ou propósito do
site. Ele pode fornecer uma indicação do tipo de site ou do conteúdo que você pode esperar encontrar
ao visitar o site em questão. É importante observar que nem todos os resultados de pesquisa no Shodan
fornecerão o "Website Title". Essa informação pode estar disponível apenas para sites específicos que
foram indexados pelo Shodan e têm um título identificável.
A sessão de “Web Technologies” se refere às tecnologias utilizadas por um determinado site. Essas
tecnologias podem incluir linguagens de programação, frameworks, bibliotecas e outros componentes
usados para construir e manter o site.

Na sessão de “Protocol Versions”, podemos observar que não tem nenhuma informação indicada ou
quais elas são, mas isso não quer dizer que não o tenha pois só irá aparecer se foram indexados pelo
Shodan e ter suas tecnologias identificadas.
Na sessão “SSL/TLS Versions” se refere às versões dos protocolos SSL (Secure Sockets Layer) e TLS
(Transport Layer Security) suportadas por um determinado servidor.

O SSL e o TLS são protocolos de segurança usados para estabelecer conexões seguras e criptografadas na
Internet. Cada versão desses protocolos possui suas próprias características e níveis de segurança. Ao
pesquisar informações sobre um servidor específico, os resultados podem incluir detalhes sobre as
versões do SSL/TLS suportadas pelo servidor em questão. Essas informações podem ser úteis para
entender quais protocolos de segurança estão disponíveis e quais versões podem ser consideradas mais
seguras.

Alguns exemplos de versões estão abaixo:

Na sessão “JARM Figerprints” refere-se às impressões digitais (fingerprints) de servidores obtidas por
meio da ferramenta de fingerprinting de servidor JARM (Just Another Red Team Tool). O JARM é uma
ferramenta ativa de fingerprinting de Transport Layer Security (TLS) que permite identificar e diferenciar
servidores com base em suas características de comunicação.

As impressões digitais JARM são geradas a partir de uma combinação de parâmetros e características
específicas do handshake TLS, como a ordem dos pacotes, as extensões TLS negociadas e outros detalhes
da comunicação. Essas impressões digitais podem ser usadas para identificar e agrupar servidores que
compartilham características semelhantes.
Nessa sessão “JA3S Fingerprints” refere-se às impressões digitais (fingerprints) de servidores obtidas por
meio da ferramenta de fingerprinting JA3S. O JA3S é uma técnica de fingerprinting de TLS (Transport
Layer Security) que permite identificar e diferenciar servidores com base nas características do
handshake TLS.

As impressões digitais JA3S são geradas a partir das informações do cliente durante o handshake TLS,
incluindo as extensões TLS negociadas, as versões do protocolo e outros detalhes específicos. Essas
impressões digitais podem ser usadas para identificar e agrupar servidores que compartilham
características semelhantes.