來(lái)源:微博@網(wǎng)路冷眼
Shodan可以說(shuō)是一款“黑暗”谷歌药薯,一刻不停的在尋找著所有和互聯(lián)網(wǎng)關(guān)聯(lián)的所有設(shè)備!
看到這篇文章For God’s sake, secure your Mongo/Redis/etc! 才知道 Shodan 這款神器,它就像一臺(tái)巨大的放大鏡,把地球上所有聯(lián)網(wǎng)設(shè)備看得通通透透,真真切切卦羡!如果不注意安全防范,那么其后果讓人毛骨悚然。绿饵。欠肾。
CNNMoney 的一篇文章寫(xiě)道,雖然目前人們都認(rèn)為谷歌是最強(qiáng)勁的搜索引擎拟赊,但 Shodan 才是互聯(lián)網(wǎng)上最可怕的搜索引擎刺桃。
與谷歌不同的是,Shodan 不是在網(wǎng)上搜索網(wǎng)址吸祟,而是直接進(jìn)入互聯(lián)網(wǎng)的背后通道瑟慈。Shodan可以說(shuō)是一款“黑暗”谷歌,一刻不停的在尋找著所有和互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器屋匕、攝像頭葛碧、打印機(jī)、路由器等等过吻。每個(gè)月Shodan 都會(huì)在大約5億個(gè)服務(wù)器上日夜不停地搜集信息进泼。
?
Shodan所搜集到的信息是極其驚人的。凡是鏈接到互聯(lián)網(wǎng)的紅綠燈纤虽、安全攝像頭乳绕、家庭自動(dòng)化設(shè)備以及加熱系統(tǒng)等等都會(huì)被輕易的搜索到。Shodan 的使用者曾發(fā)現(xiàn)過(guò)一個(gè)水上公園的控制系統(tǒng)逼纸,一個(gè)加油站洋措,甚至一個(gè)酒店的葡萄酒冷卻器。而網(wǎng)站的研究者也曾使用 Shodan 定位到了核電站的指揮和控制系統(tǒng)及一個(gè)粒子回旋加速器樊展。
Shodan真正值得注意的能力就是能找到幾乎所有和互聯(lián)網(wǎng)相關(guān)聯(lián)的東西呻纹。而Shodan真正的可怕之處就是這些設(shè)備幾乎都沒(méi)有安裝安全防御措施,其可以隨意進(jìn)入专缠。
Rapid 7 的首席安全官 HD Moore,表示:你可以用一個(gè)默認(rèn)密碼登陸幾乎一半的互聯(lián)網(wǎng)淑仆。就安全而言涝婉,這是一個(gè)巨大的失誤。
如果你搜索“默認(rèn)密碼”的話蔗怠,你會(huì)發(fā)現(xiàn)無(wú)數(shù)的打印機(jī)墩弯,服務(wù)器及系統(tǒng)的用戶名都是“admin”,密碼全都是“1234”寞射。還有很多系統(tǒng)根本不需要認(rèn)證渔工,你所需要做的就是用瀏覽器進(jìn)行鏈接。所以如果你在使用默認(rèn)密碼的話桥温,請(qǐng)現(xiàn)在就改換新的密碼引矩。
如果Shodan落入壞人之手的話,那真是一個(gè)可怕的東西。
而更大的問(wèn)題是很多設(shè)備根本不需要鏈接到互聯(lián)網(wǎng)旺韭。很多公司常常會(huì)買一些他們能夠控制的系統(tǒng)氛谜,比如說(shuō)一個(gè)電腦控制的熱力系統(tǒng)。而他們又是如何把熱力系統(tǒng)鏈接到網(wǎng)上的呢区端?為什么不直接控制呢值漫?很多IT部門就直接把這些系統(tǒng)插入到網(wǎng)絡(luò)服務(wù)器上,殊不知织盼,這樣就和世界分享這些系統(tǒng)了杨何。
Shodan的研發(fā)者M(jìn)atherly表示,這些鏈接到網(wǎng)上的設(shè)備根本沒(méi)有安全防御措施沥邻,他們根本就不應(yīng)該出現(xiàn)在互聯(lián)網(wǎng)上晚吞。
而好消息就是 Shodan 幾乎都是用在了好的方面。
Matherly 對(duì)搜索數(shù)量也進(jìn)行了限制谋国。比如沒(méi)有賬戶的用戶最多提供10個(gè)搜索結(jié)果槽地,而有賬戶的用戶則可以享受 50 個(gè)搜索結(jié)果。如果你想要 Shodan 提供的所有信息芦瘾,那Matherly會(huì)就你所要搜索的內(nèi)容捌蚊,要求你提供更多的信息且付費(fèi)。
同時(shí)近弟,Matherly 也承認(rèn)壞蛋會(huì)使用 Shodan缅糟,但到目前為止,大多數(shù)網(wǎng)絡(luò)攻擊都集中在竊取財(cái)物和知識(shí)產(chǎn)權(quán)上祷愉。壞蛋們還沒(méi)有試圖摧毀一棟大樓或毀壞市內(nèi)的紅綠燈窗宦。
安全防御措施的專業(yè)人士們都不希望使用 Shodan 時(shí)搜索到這些沒(méi)有防御措施的設(shè)備及系統(tǒng)。但同時(shí)二鳄,互聯(lián)網(wǎng)上有太多可怕的東西赴涵,那些沒(méi)有防御措施的設(shè)備只能等著被攻擊。订讼。髓窜。。
?
正如上面提及的外文描述的欺殿,一 “Mongo” 和 “Redis” 關(guān)鍵字搜索 Shodan 就會(huì)得到采用這兩款產(chǎn)品服務(wù)器的詳細(xì)報(bào)告寄纵。
這兩款 NoSQL 產(chǎn)品,沒(méi)有采取安全?認(rèn)證措施脖苏,一直是黑客最大的禮物程拭。真的,看在上帝的份上棍潘,請(qǐng)加固你的系統(tǒng)吧恃鞋!?
