《财富》网站今日刊登了一篇关于Shodan搜索引擎的评论文章,声称Shodan其实是一种比谷歌更强大和更可怕的搜索引擎。文章主要内容以下: 不少人可能认为谷歌的搜索引擎已经很是强大了,可是实际上还有一种比谷歌更可怕的搜索引擎,那就是Shodan。 Shodan的开发者约翰马瑟利(John Matherly)称:“人们在谷歌上找不到某些内容时,他们就认为没有人可以找到它。但那是不对的。” 与谷歌经过网址来搜索互联网的方式不一样,Shodan经过互联网背后的通道来搜索信息。它就像是一种“黑暗”的谷歌,不断在寻找服务器、网络摄像头、打印机、路由器和其余与互联网链接及构成互联网的一切东西。 Shodan日夜不停地在运行着,每个月可在互联网上搜索到大约5亿个联网设备和服务。Shodan的搜索能力是极其惊人的。无数交通灯、安全摄像头、家庭自动化设备和加热系统都链接着互联网,Shodan能够很轻松地找到它们。 曾经有人利用Shodan找到某个水上公园、某个加油站、某家酒店的葡萄酒冷库甚至某个火葬场的控制系统。网络安全研究员们还曾经利用Shodan找到过核电厂的指挥和控制系统和一个离子回旋加速器。 Shodan可以找到任何东西,这也正是它的可怕之处。关于Shodan的这种能力,有一点值得注意,那就是那些联网的设备几乎都没有安装任何安全防御工具。 Rapid 7的首席安全官HD摩尔(HD Moore)称:“这是安全上的一个重大失败。”出于研究的目的,摩尔运行着一个私有版本的、相似于Shodan数据库。 搜索“默认密码”能够发现无数打印机、服务器和系统控制设备都将“admin”做为它们的管理员用户名,将“1234”做为密码。还有不少联网系统根本就不要认证。你只须要一个网络浏览器就能够与它们联网了。 在去年的Defcon网络安全大会上,独立安全渗透测试员丹滕特勒(Dan Tentler)演示了他如何利用Shodan发现蒸发冷却器、加压热水器和汽车库门的控制系统。 他发现了一个能够开启和关闭的洗车处和丹麦的一家能够一键除霜的冰球场。一个城市的整个交通控制网络都被链接在互联网上,只要一条简单的指令就能够将该系统转变成“测试模式”。他还发现了法国一家双涡轮、总功率为6兆瓦的水力发电厂的控制系统。 若是Shodan被坏人掌握和利用的话,状况就糟糕了。这简直太可怕了。滕特勒说:“你能够利用它进行一些很是严重的破坏。” 为何这些联网设备都不设防呢?有些设备是必须与互联网链接在一块儿的,好比能够利用iPhone控制的门锁,人们一般相信那些设备是很难被发现的。只有当事情发生以后,人们才开始认识到安全的重要性。 还有一个更大的问题是,这些设备中的许多设备根本就无需联网。企业常常会购买一些他们可以掌控的系统,好比配备计算机的加热系统。他们如何将计算机与加热系统链接在一块儿呢?并非直接相连,不少IT部门会将它们都插在一个网络服务器上,而后进行共享。可是,它们同时也与外网链接在了一块儿。 马瑟利称:“固然,这些设备不存在安全问题。首先,它们并不属于互联网。” 好消息是Shodan几乎都被用到了合理的解决方案之中。 马瑟利在3年前完成了Shodan的研发工做。若是没有账户的话,Shodan的搜索结果页面只会显示10个条目,而有账户的话,搜索结果页面能够显示50个条目。若是想要看到全部的结果,则需提交更多的信息以及付费。 渗透测试员、安全专家、学术研究者以及执法机关是Shodan的主要用户。马瑟利认可,坏人也能够利用Shodan。但他同时也补充说,网络罪犯一般均可以访问傀儡网络。傀儡网络是由大量被攻破的计算机组成,它能够在不影响性能的条件下完成相同的任务。 迄今为止,大多数网络攻击的欧集中在窃取金钱和知识产权等上面。坏人尚未尝试过摧毁某一个城市里的大楼或关闭某个城市全部的交通灯。 安全专家们但愿这有助于避免基于Shodan的联网设备和服务被发现,而且向系统管理员发出警告。与此同时,互联网上原本就有不少可怕的东西,它们没有任何安全防御措施,只等着被攻击。