论文部分内容阅读
“当人们在谷歌上找不到一些自己所需要的信息或内容时,他们会认为其他人也无法找到,但事实并非如此。”Shodan——互联网上最可怕的搜索引擎创造者约翰·玛瑟里(John Matherly)如是说。
谷歌是在网络上寻找网站,与之不同的是Shodan浏览的是互联网背后的渠道。这是一种“黑暗的”谷歌,在服务器、网络摄像头、打印机、路由器和其他所有与互联网相连接或组成互联网的载体上进行搜索。Shodan全天候运转,一周工作7天,每天工作24小时,每月在大约5亿个相连接的设备或服务器上收集信息。令人惊讶的是只需使用Shodan上一个简单的搜索就能找到许多你意想不到的内容,无数与互联网相连接的红绿灯、安防摄像头、家庭自动设备和加热系统很容易被识别出来。
Shodan搜索已经发现了水上公园、加油站、宾馆冷酒器和火葬场的控制系统。网络安全调研机构(Cybersecurity researchers)甚至通过使用Shodan定位了核电站和粒子加速器的指令和控制系统。Shodan搜索能力中最引人瞩目的是那些极少数内置各种安全设备的载体。Rapid7的首席安全官摩尔(HD Moore)出于个人的研究目的也在运行一款私人版本类似Shodan的数据库,他说:“你只需要用默认密码就可以登录近一半的网络,这是一个非常巨大的安全漏洞。”
只需用“默认密码”简单地搜索,你便会发现有无数的打印机、服务器、系统控制设备使用“admin”作为用户名,“1234”作为密码。更多可连接的系统竟然都不需要任何许可证,你只需要一个网络浏览器就能够与之连接。在去年防御网络安全会议(Defcon cybersecurity conference)中有这样一次演讲,独立安全渗透测试者丹·滕特勒(Dan Tentler)示范了他是如何利用Shodan寻找到蒸发冷却器、压力热水器和车库大门的控制系统。
他发现只要点击一下按钮,就可以控制一个洗车设备的开启和关闭,也可以使丹麦的一个曲棍球场解冻。一个城市的交通控制系统是连接在互联网上的,只需要一个简单的指令便能使其进入“测试模式”,同时他还发现了法国一家两台三兆瓦的水力发电机组的控制系统。令人感到恐怖的是,如果这些资源落入坏人手中后果将不堪设想。滕特勒在一份保守的陈述中表示:“你真的可以用它造成一些非常严重的破坏。”那么为什么这么多可连接的设备都缺乏必要的安全保障呢?有些设备在设计时便确定是可以与互联网连接的,例如可以被iPhone所控制的门锁,大多数人会认为它的控制系统会非常难以查找。安全是一项事后才产生的想法。
一个更重大的问题是许多这类设备完全不应该与互联网连接。企业常常买一些可供他们控制的系统,例如一个由计算机控制的加热系统。那么他们是如何将计算机和加热系统相连接的呢?许多企业的IT部门都是将两者连接在一个网络服务器上,而不是将二者直接连接在一起,这样在不经意间就使得其他个体或机构也能够与它们相连接。玛瑟里说:“当然,这些并没有什么安全问题,因为它们并不属于互联网范畴。”好消息是Shodan几乎只被用于正当的搜索。三年多以前,玛瑟里完成了Shodan,那时它只是一个实验性项目,对于搜索的数量有着严格地控制,在不申请账户的情况下只能进行10项搜索,申请一个账户可以搜索50项。如果你想看到Shodan提供的所有内容,玛瑟里会要求你提供更多的信息,例如你希望达到什么结果,以及所需支付的费用。
渗透试验器、安全专业人员、学术研究者和执法机构是Shodan的主要用户。玛瑟里承认坏人可能会利用Shodan做坏事,但通常网络犯罪都会使用“僵尸网络”,是指采用一种或多种传播手段将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间形成一个可一对多控制的网络。他们可以实现同样的任务且不被察觉。
现今,大多数网络攻击集中在盗窃钱财和知识产权方面。坏人还没有试图通过引爆一栋大楼或使一个城市的交通灯瘫痪来实施犯罪。
安全专家希望能够通过这些不安全的问题,利用Shodan连接设备和服务避免类似的灾难发生,提醒这些所有者他们的运营是容易受到攻击的。与此同时,有太多与互联网相连接的可怕事物都有可能发起攻击。
撰稿:David Goldman
来源:CNNMoneyTech
谷歌是在网络上寻找网站,与之不同的是Shodan浏览的是互联网背后的渠道。这是一种“黑暗的”谷歌,在服务器、网络摄像头、打印机、路由器和其他所有与互联网相连接或组成互联网的载体上进行搜索。Shodan全天候运转,一周工作7天,每天工作24小时,每月在大约5亿个相连接的设备或服务器上收集信息。令人惊讶的是只需使用Shodan上一个简单的搜索就能找到许多你意想不到的内容,无数与互联网相连接的红绿灯、安防摄像头、家庭自动设备和加热系统很容易被识别出来。
Shodan搜索已经发现了水上公园、加油站、宾馆冷酒器和火葬场的控制系统。网络安全调研机构(Cybersecurity researchers)甚至通过使用Shodan定位了核电站和粒子加速器的指令和控制系统。Shodan搜索能力中最引人瞩目的是那些极少数内置各种安全设备的载体。Rapid7的首席安全官摩尔(HD Moore)出于个人的研究目的也在运行一款私人版本类似Shodan的数据库,他说:“你只需要用默认密码就可以登录近一半的网络,这是一个非常巨大的安全漏洞。”
只需用“默认密码”简单地搜索,你便会发现有无数的打印机、服务器、系统控制设备使用“admin”作为用户名,“1234”作为密码。更多可连接的系统竟然都不需要任何许可证,你只需要一个网络浏览器就能够与之连接。在去年防御网络安全会议(Defcon cybersecurity conference)中有这样一次演讲,独立安全渗透测试者丹·滕特勒(Dan Tentler)示范了他是如何利用Shodan寻找到蒸发冷却器、压力热水器和车库大门的控制系统。
他发现只要点击一下按钮,就可以控制一个洗车设备的开启和关闭,也可以使丹麦的一个曲棍球场解冻。一个城市的交通控制系统是连接在互联网上的,只需要一个简单的指令便能使其进入“测试模式”,同时他还发现了法国一家两台三兆瓦的水力发电机组的控制系统。令人感到恐怖的是,如果这些资源落入坏人手中后果将不堪设想。滕特勒在一份保守的陈述中表示:“你真的可以用它造成一些非常严重的破坏。”那么为什么这么多可连接的设备都缺乏必要的安全保障呢?有些设备在设计时便确定是可以与互联网连接的,例如可以被iPhone所控制的门锁,大多数人会认为它的控制系统会非常难以查找。安全是一项事后才产生的想法。
一个更重大的问题是许多这类设备完全不应该与互联网连接。企业常常买一些可供他们控制的系统,例如一个由计算机控制的加热系统。那么他们是如何将计算机和加热系统相连接的呢?许多企业的IT部门都是将两者连接在一个网络服务器上,而不是将二者直接连接在一起,这样在不经意间就使得其他个体或机构也能够与它们相连接。玛瑟里说:“当然,这些并没有什么安全问题,因为它们并不属于互联网范畴。”好消息是Shodan几乎只被用于正当的搜索。三年多以前,玛瑟里完成了Shodan,那时它只是一个实验性项目,对于搜索的数量有着严格地控制,在不申请账户的情况下只能进行10项搜索,申请一个账户可以搜索50项。如果你想看到Shodan提供的所有内容,玛瑟里会要求你提供更多的信息,例如你希望达到什么结果,以及所需支付的费用。
渗透试验器、安全专业人员、学术研究者和执法机构是Shodan的主要用户。玛瑟里承认坏人可能会利用Shodan做坏事,但通常网络犯罪都会使用“僵尸网络”,是指采用一种或多种传播手段将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间形成一个可一对多控制的网络。他们可以实现同样的任务且不被察觉。
现今,大多数网络攻击集中在盗窃钱财和知识产权方面。坏人还没有试图通过引爆一栋大楼或使一个城市的交通灯瘫痪来实施犯罪。
安全专家希望能够通过这些不安全的问题,利用Shodan连接设备和服务避免类似的灾难发生,提醒这些所有者他们的运营是容易受到攻击的。与此同时,有太多与互联网相连接的可怕事物都有可能发起攻击。
撰稿:David Goldman
来源:CNNMoneyTech