2013年4月13日 星期六

「暗世界」搜索Shodan:能搜核電站控制系統(視訊)

與穀歌不同,Shodan幫助人們查看互聯網的背後通道,比如路由器什麼的。


與 Google 不同,Shodan幫助人們查看互聯網的背後通道,比如路由器什麼的。

  “當人們通過 Google 找不到某些信息時,他們會認為沒人能找到。但這不是真的。” ──搜索引擎Shodan創始人John Matherly。

  Shodan被媒體稱作互聯網上“最驚人的搜索引擎”。與 Google 不同,Shodan幫助人們查看互聯網的背後通道

,因此可以被稱作“暗世界的 Google ”。Shodan關注服務器、鏡頭、打印機、路由器,以及所有一切連接至互聯網,併成為互聯網組成元素的東西。

“暗世界”搜索引擎Shodan演示
媒體來源:創事記

  Shodan以7x24小時的方式運行,每月收集約5億個聯網設備和服務的信息。在Shodan上可以搜索到的東西令人震驚,這包括無數連接至互聯網的交通燈、監控探頭、家居自動化設備和加熱系統。

  在Shodan上搜索,你能找到水上樂園和加油站的控制系統、酒店的冰櫃,甚至火葬場設備。信息安全研究人員甚至從中發現了核電站控制系統,以及粒子加速器。

  Shodan為什麼能提供這些“驚人的”信息?這主要是由於,許多連接至互聯網的設備並沒有採取任何信息安全保護措施。Rapid 7首席信息安全官HD Moore表示:“你可以以預設密碼登入約一半的互聯設備,這是信息安全的重大失敗。”他目前也維護著一個類似Shodan的私有數據庫,用於研究目的。

  在Shodan上搜索關鍵詞“default password”(預設密碼),你可以看到無數以admin為用戶名,1234為密碼的打印機、服務器和系統控制設備。許多互聯繫統甚至完全沒有密碼,只要使用瀏覽器即可建立連接。

  去年,在Defcon信息安全大會上,獨立信息安全測試人員Dan Tentler演示了如何利用Shodan去找到蒸發冷卻器、高壓熱水器和車庫大門的控制系統。他發現了一個可以遠程控制的洗車器。對丹麥的一處冰球場,只要在網上點擊一個按鈕即可進行除冰。一座城市的整個交通控制系統都連接至互聯網,只要輸入一個命令即可讓其進入“測試模式”。他甚至找到了法國一個水電站的控制系統,這處水電站配有兩個渦輪,每個能產生3兆瓦電力。

搜索“admin”的結果

搜索“admin”的結果

  如果這樣的控制權落入犯罪者手中,那麼後果不堪設想。Tentler表示:“通過Shodan,你可以實現一些嚴重的破壞。”但這樣的說法毫無疑問是輕描淡寫的。

  那麼,這些聯網設備為何沒有配備安全措施?一些設備生來就需要聯網,例如利用iPhone應用來控制的門鎖。但這樣的設備並不多見,因為人們會擔心信息安全問題。

  一個更嚴重的問題是,許多設備根本不應該聯網。公司在採購時會傾向選擇易於控制的設備,例如配有計算機控制功能的加熱系統。那麼具體如何控制這一系統?公司IT部門不會拿一台電腦去直連,而是將電腦和加熱系統都連接至一台服務器。這就導致這些設備對整個互聯網開放。

  Matherly表示:“這些設備當然沒有信息安全措施。首先,它們就不屬於互聯網。”

  不過好消息是,Shodan目前基本上被用於正當用途。3年前,Matherly作為興趣愛好完成了Shodan的開發。如果用戶沒有註冊,那麼只能搜索到10個結果,而在註冊之後也只能搜索到50個結果。如果希望查看Shodan提供的一切信息,那麼Matherly要求用戶詳細解釋目的並付費。

  目前Shodan的主要用戶是入侵測試員、信息安全專家、學術研究者和執法部門。不過Matherly承認,一些惡意者可能將Shodan當作活動的起始點。不過他也表示,目前的信息安全犯罪通常利用了殭屍網絡,而殭屍網絡可以實現同樣的攻擊效果。此外,黑客的主要目的是以不正當方式獲得收入或竊取信息,而不是破壞大樓設施或摧毀城市交通系統。

  信息安全專家希望Shodan的服務不會帶來這樣的後果。但不得不承認的是,許多連接至互聯網的設備都完全沒有採取信息安全保護措施,這就相當於坐等被攻擊。

  本文編譯自CNNMoney
  (李瑋)



.「暗世界」搜索Shodan:能搜核電站控制系統(視訊)
http://digital1010.blogspot.com/2013/04/shodan.html