“黑客专用”搜索引擎:Shodan
很多人可能认为谷歌的搜索引擎已经非常强大了,但是实际上还有一种比谷歌更可怕的搜索引擎,那就是Shodan。
Shodan的开发者约翰马瑟利(John Matherly)称:“人们在谷歌上找不到某些内容时,他们就认为没有人能够找到它。但那是不对的。”
与谷歌通过网址来搜索互联网的方式不同,Shodan通过互联网背后的通道来搜索信息。它就象是一种“黑暗”的谷歌,不断在寻找服务器、网络摄像头、打印机、路由器和其他与互联网连接及构成互联网的一切东西。
Shodan日夜不停地在运行着,每月可在互联网上搜索到大约5亿个连网设备和服务。
Shodan的搜索能力是极其惊人的。无数交通灯、安全摄像头、家庭自动化设备和加热系统都连接着互联网,Shodan可以很轻松地找到它们。
曾经有人利用Shodan找到某个水上公园、某个加油站、某家酒店的葡萄酒冷库甚至某个火葬场的控制系统。网络安全研究员们还曾经利用Shodan找到过核电厂的指挥和控制系统和一个离子回旋加速器。
Shodan能够找到任何东西,这也正是它的可怕之处。关于Shodan的这种能力,有一点值得注意,那就是那些连网的设备几乎都没有安装任何安全防护工具。
Rapid 7的首席安全官HD摩尔(HD Moore)称:“这是安全上的一个重大失败。”出于研究的目的,摩尔运行着一个私有版本的、类似于Shodan数据库。
搜索“默认密码”可以发现无数打印机、服务器和系统控制设备都将“admin”作为它们的管理员用户名,将“1234”作为密码。还有很多连网系统根本就不要认证。你只需要一个网络浏览器就可以与它们连网了。
在去年的Defcon网络安全大会上,独立安全渗透测试员丹滕特勒(Dan Tentler)演示了他如何利用Shodan发现蒸发冷却器、加压热水器和汽车库门的控制系统。
他发现了一个可以开启和关闭的洗车处和丹麦的一家可以一键除霜的冰球场。一个城市的整个交通控制网络都被连接在互联网上,只要一条简单的指令就可以将该系统转变成“测试模式”。他还发现了法国一家双涡轮、总功率为6兆瓦的水力发电厂的控制系统。
如果Shodan被坏人掌握和利用的话,情况就糟糕了。这简直太可怕了。
滕特勒说:“你可以利用它进行一些非常严重的破坏。”
为什么这些连网设备都不设防呢?有些设备是必须与互联网连接在一起的,比如可以利用iPhone控制的门锁,人们通常相信那些设备是很难被发现的。只有当事情发生之后,人们才开始认识到安全的重要性。
还有一个更大的问题是,这些设备中的许多设备根本就无需连网。企业经常会购买一些他们能够掌控的系统,比如配备计算机的加热系统。他们如何将计算机与加热系统连接在一起呢?并不是直接相连,很多IT部门会将它们都插在一个网络服务器上,然后进行共享。但是,它们同时也与外网连接在了一起。
马瑟利称:“当然,这些设备不存在安全问题。首先,它们并不属于互联网。”
好消息是Shodan几乎都被用到了合理的解决方案之中。
马瑟利在3年前完成了Shodan的研发工作。如果没有帐户的话,Shodan的搜索结果页面只会显示10个条目,而有帐户的话,搜索结果页面可以显示50个条目。如果想要看到所有的结果,则需提交更多的信息以及付费。
渗透测试员、安全专家、学术研究者以及执法机关是Shodan的主要用户。马瑟利承认,坏人也可以利用Shodan。但他同时也补充说,网络罪犯通常都可以访问傀儡网络。傀儡网络是由大量被攻破的计算机组成,它可以在不影响性能的条件下完成相同的任务。
迄今为止,大多数网络攻击的欧集中在窃取金钱和知识产权等上面。坏人还没有尝试过摧毁某一个城市里的大楼或关闭某个城市所有的交通灯。
安全专家们希望这有助于避免基于Shodan的连网设备和服务被发现,并且向系统管理员发出警告。与此同时,互联网上本来就有很多可怕的东西,它们没有任何安全防护措施,只等着被攻击。
