A Censys, startup nascida num laboratório da Universidade de Michigan em 2015, tornou-se no maior índice público de dispositivos e certificados TLS expostos na internet. A plataforma, sediada em Ann Arbor, recolhe dados de todos os endereços IPv4 que respondem a ligações — cerca de 4 mil milhões de hosts analisados diariamente — e tornou-se numa fonte de inteligência usada por equipas de segurança, investigadores académicos e agências governamentais como o CISA.

Pontos-chave

  • Scanner global que percorre todos os 4,3 mil milhões de endereços IPv4 do planeta.
  • Base de dados histórica de certificados X.509 — a maior do mundo, com mais de 26 milhões de entradas.
  • Origem académica: projeto ZMap lançado por investigadores da Universidade de Michigan.
  • Concorrente direto do Shodan, com cobertura de portas 8x superior segundo a própria empresa.
  • Cliente emProdutos: Google, Microsoft, FBI, Department of Homeland Security dos EUA.

O que é a Censys

A Censys é uma plataforma de inteligência sobre a superfície de ataque exposta na internet pública. Nasceu dentro do projeto de investigação ZMap, conduzido na Universidade de Michigan por uma equipa liderada pelos professores J. Alex Halderman e Zakir Durumeric. O ZMap, lançado em 2013, permitia varrer toda a internet IPv4 em menos de 45 minutos — uma velocidade sem precedentes na altura.

A ferramenta de pesquisa pública, originalmente um produto académico gratuito, foi transformada numa empresa comercial em 2015 com financiamento da Google Ventures e da Greylock Partners. A separação entre a ferramenta académica e a empresa manteve-se: a Universidade de Michigan continua a alojar a versão aberta para investigação, enquanto a Censys comercializa a versão empresarial.

Funcionalidades principais

A Censys varre diariamente todos os 65 535 portas TCP e UDP de cada endereço IPv4, ao contrário do Shodan — que cobre apenas um subconjunto de portas comuns. Para cada serviço encontrado, recolhe o banner de resposta, a versão do software, os certificados TLS apresentados e a configuração de cifras suportadas. Esse inventário alimenta um motor de busca com sintaxe própria, similar ao do Google.

O módulo Certificates indexa todos os certificados X.509 públicos emitidos desde 2008, cruzados com logs de Certificate Transparency. Pesquisas por um determinado emissor, validade ou algoritmo de chave devolvem resultados em segundos — capacidade que tornou a Censys numa ferramenta padrão da indústria para detetar infraestruturas de phishing.

A API REST permite integrar as buscas em pipelines de threat intelligence e SIEM. Plataformas de EDR como o Carbon Black da Broadcom e ferramentas forenses como o EnCase Forensic costumam consultar estes feeds para enriquecer indicadores de comprometimento.

Casos de uso reais

Em junho de 2015, a equipa da Censys usou a sua própria plataforma para descobrir que mais de 1 milhão de servidores TLS estavam vulneráveis ao Logjam attack — uma falha que permitia descer a cifra de ligação para export-grade. A descoberta, publicada num paper académico, levou a correções em browsers de todos os principais fabricantes.

Investigadores do Project Zero da Google e do CISA usam a plataforma para mapear campanhas de malware que deixam rastos em configurações de servidores: domínios de comando e controle que reutilizam o mesmo certificado auto-assinado, valores de TTL idênticos em registos DNS, versões de software específicas em portas invulgares.

Equipas de blue team empregam a Censys para verificação de superfície externa: confirmar que nenhum servidor de produção expõe portas administrativas (RDP, SSH, Elasticsearch) à internet, e que os certificados TLS usam apenas cifras modernas. A funcionalidade de alertas notifica alterações de configuração no bloco de IPs do cliente.

Mercado de internet scanning

O mercado de plataformas de attack surface management movimentou cerca de 1,5 mil milhões de dólares em 2023, segundo a Gartner. A Censys compete diretamente com Shodan, ZoomEye, FOFA e com soluções empresariais como a BitSight e a RiskIQ (adquirida pela Microsoft em 2021). Em 2022 a empresa arrecadou uma ronda de Série D de 75 milhões de dólares liderada pela GV (anteriormente Google Ventures), elevando o financiamento total para 121 milhões.

A estratégia da Censys distingue-se da do Shodan pelo foco em clientes empresariais e governamentais. O Shodan mantém um produto de consumo acessível a partir de 59 dólares por mês, enquanto a Censys cobra subscrições empresariais que começam em cinco dígitos anuais — com acesso à API completa e aos alertas de exposição de IPs corporativos.

Considerações práticas

A natureza da Censys levanta debates éticos que persistem desde a sua origem académica. A varredura completa da internet expõe vulnerabilidades de milhões de dispositivos em tempo real — informação acessível a atacantes com a mesma facilidade com que serve defensores. A empresa defende-se com a premissa de que a transparência força a remediação: organizações só corrigem o que sabem que está exposto.

O fornecedor mantém um processo formal de opt-out: administradores de redes podem solicitar a exclusão dos seus blocos de IP da indexação pública. Esse pedido, contudo, não remove os dados da API empresarial — apenas da interface de pesquisa gratuita.

A documentação técnica completa está disponível em censys.io, incluindo o guia de sintaxe de pesquisa, o calendário de scans e os contactos para opt-out. Os planos comerciais incluem um trial gratuito de 30 dias com acesso à totalidade da base de dados histórica.