Уявіть собі пошукову систему, таку як Google, але замість контенту веб-сайтів вона відображає технології, що стоять за цим контентом. Саме це пропонує ZoomEye.
Для пересічного користувача ці дані не мають особливої цінності. Проте, фахівці з кібербезпеки можуть використовувати цю інформацію для виявлення потенційних вразливостей у системах, які можна усунути до того, як зловмисники їх виявлять.
Тож, що саме являє собою ZoomEye? Як він працює і чим може бути корисний для вашої кібербезпеки?
Що таке ZoomEye?
ZoomEye – це безкоштовна платформа розвідки, яку експерти з кібербезпеки, дослідники та організації можуть використовувати для збору інформації про існуючі сервіси та пристрої, що підключені до інтернету. Вона допомагає оцінити їхню безпеку та виявити можливі слабкі місця.
Хоча різні інструменти розвідки, на кшталт Nmap і Masscan, можуть надати глибший аналіз конкретного діапазону IP-адрес та їхніх портів, ZoomEye – це інструмент ширшого застосування. Він дає краще загальне уявлення про загальний стан відкритого кіберпростору.
Як працює ZoomEye?
За допомогою ZoomEye фахівці з кібербезпеки можуть шукати та переглядати базу даних, що індексує IPv4, IPv6 та доменні імена веб-сайтів, доступні в мережі. Оскільки кіберпростір – це величезна мережа, яка постійно зростає, ZoomEye використовує геодезичні вузли, розташовані по всьому світу, для ефективного сканування великої його частини.
Розглянемо роботу ZoomEye покроково: сканування, отримання банерів, індексування та пошук і запит.
- Сканування: ZoomEye використовує свої геодезичні вузли, щоб виявляти відкриті порти сервісів та пристроїв, підключених до інтернету.
- Отримання банерів: після підтвердження існування сервісу чи пристрою, ZoomEye збирає інформацію з банера конкретного запущеного порту сервісу. Ця інформація може містити деталі про сам сервіс: список запущених портів, інструменти, що використовуються, версії цих інструментів, апаратне забезпечення, на якому працює сервіс, та інші ідентифікаційні характеристики.
- Індексування: Дані, отримані на етапі збору банерів, зберігаються та індексуються у базі даних ZoomEye.
- Пошук і запит: база даних підключається до ZoomEye API, де користувачі можуть шукати та запитувати будь-яку інформацію, що зберігається в базі даних. Користувачі можуть проводити пошук за ключовими словами та використовувати фільтри для пошуку певних типів пристроїв або сервісів.
ZoomEye стягує різну плату за доступ до додаткових видів даних. Наприклад, моніторинг 50 IP-адрес щомісяця коштуватиме 70 доларів США, а 250 IP-адрес – 140 доларів США. Можна безкоштовно отримати доступ до 10 000 результатів щомісяця, або за 70 доларів США на місяць – до 20 000 додаткових результатів.
Чим ZoomEye корисний для вашої кібербезпеки?
Оскільки ZoomEye та подібні платформи розвідки можуть потенційно отримати великий обсяг даних, зловмисники також можуть їх використовувати. Однак, приховування вразливих мереж не робить їх безпечнішими від атак. Натомість, такі платформи, як ZoomEye, роблять ці мережі видимими для громадськості, щоб кожен міг перевірити свої системи на наявність слабких місць.
Отже, як саме ZoomEye сприяє підвищенню безпеки в кіберпросторі?
- Зовнішня видимість: Виявлення потенційно вразливих мереж та пристроїв на платформах, як ZoomEye, допомагає попередити як спільноту, так і їх власників про недоліки в їхніх системах. Великі організації можуть використовувати ZoomEye, щоб краще бачити свій цифровий слід з точки зору стороннього спостерігача.
- Виявлення активів: Налаштувати та вести облік всіх пристроїв, що підключені до мережі, може бути просто для невеликих мереж. Проте, для великих мереж, таких як ті, що використовуються в державних установах, відстеження може бути неможливим. Можливість зовнішньої перевірки, наприклад, вебкамер, повторювачів та пристроїв інтернету речей, допомагає фахівцям з кібербезпеки ідентифікувати ці активи та тримати їх під контролем.
- Оцінка вразливості: ZoomEye може допомогти виявити потенційні вразливості та неправильні конфігурації в мережі. Хоча фахівці з кібербезпеки можуть проводити оцінку вразливості, платформи розвідки, як ZoomEye, можуть виявити проблеми, які могли бути пропущені, наприклад відкриті порти, застаріле програмне забезпечення або незахищені конфігурації.
- Управління ризиками третіх сторін: ZoomEye дозволяє перевіряти безпеку сторонніх постачальників і партнерів, пов’язаних із вашим бізнесом. Переконавшись у безпеці власної системи, перевірка партнерських мереж за допомогою ZoomEye та подібних платформ може допомогти попередити їх про будь-які проблеми, пов’язані з їхньою безпекою.
- Дослідження та аналіз загроз: Фахівці з кібербезпеки можуть використовувати ZoomEye, щоб дізнатися, які технології часто використовуються, виявляти нові загрози та досліджувати можливі вектори атак.
Можливі небезпеки ZoomEye
ZoomEye – це безкоштовний онлайн-інструмент, що призначений для підтримки кібербезпеки в сферах розвідки та оцінки загроз. Однак, як і будь-який інструмент, доступний кожному, ZoomEye потенційно може бути використаний хакерами для різних видів атак.
Завдяки обсягу інформації, яку можна отримати з ZoomEye, хакери потенційно можуть отримати несанкціонований доступ до пристроїв у мережі, встановити шкідливе програмне забезпечення, порушити роботу служб та викрасти конфіденційні дані для різних злочинних дій.
Крім того, досвідчені хакери можуть автоматизувати процес, постійно скануючи мережі за допомогою ZoomEye та інтегруючи отриману інформацію у свої інструменти, щоб спробувати отримати несанкціонований доступ до будь-якої мережі.
Чи варто боятися ZoomEye?
Враховуючи, що ZoomEye потенційно можуть використовувати хакери для пошуку цілей, не дивно, що люди можуть побоюватися його. Однак, важливо пам’ятати, що всі дані у базі ZoomEye вже є публічно доступними. ZoomEye – це лише потужний сканер портів, що індексує відкриті веб-сайти, сервіси та пристрої, підключені до інтернету.
З ZoomEye або без нього, якщо ваша мережа вразлива, хакери завжди зможуть знайти спосіб її атакувати. ZoomEye дійсно може полегшити пошук вразливих систем, але справжня проблема полягає не в цьому. Проблема полягає у вразливості мережі, і нездатності власників забезпечити її належний захист.
ZoomEye може бути корисним для обох сторін. Хакери завжди можуть знайти вразливу мережу, якщо будуть наполегливими, але з іншого боку, користувачі без досвіду в кібербезпеці можуть використовувати цей інструмент для перевірки, чи не піддається їхня мережа небезпеці.
ZoomEye має свої плюси та мінуси
Хоча ZoomEye є потужною платформою для початкової розвідки, обсягу інформації, яку можна отримати, часто буває недостатньо.
Зважаючи на принцип роботи ZoomEye та його обмеження, фахівці з кібербезпеки часто використовують інші платформи розвідки, такі як Shodan, Censys, FOFA та LeakIX в поєднанні з ZoomEye. Потім вони збирають додаткові дані за допомогою спеціалізованих інструментів, таких як Nmap, BurpSuit і WireShark, безпосередньо в певній мережі. Варто мати це на увазі, якщо ви плануєте використовувати ZoomEye самостійно.