Shodan:網際網路上一切事物的搜尋引擎
Shodan能搜到網際網路上的一切東西。谷歌及其他常見搜尋引擎只索引Web頁面,Shodan索引網上一切——網路攝像頭、汙水處理裝置、遊艇、醫療裝置、交通訊號燈、風力渦輪發電機、駕照讀取器、智慧電視機、智慧冰箱;
只要聯網,沒有什麼是Shodan搜不到的。
瞭解Shodan強大搜索能力的最佳方法是去讀其締造者 John Matherly 的書。
基本演算法倒是簡單易用,如下:
1. 產生一個隨機IPv4地址
2. 從Shodan理解的埠列表中生成要測試的隨機埠
3. 在該隨機埠上檢查該隨機IPv4地址並獲取旗標
4. 返回第1步
就這麼簡單。找出所有東西,索引所有東西,讓一切都可搜尋。
Shodan工作機制
開放埠上的服務都有各自的旗標。旗標向整個網際網路公開宣告自己提供的服務及互動方式。Shodan給出的FTP旗標樣例如下:
220 kcg.cz FTP server (Version 6.00LS) ready.
雖然Shodan不索引Web內容,但確實會查詢80和443埠。CSOonline網站的https旗標就長這樣:
$ curl -I https://www.csoonline.com
HTTP/2 200
server: Apache-Coyote/1.1
x-mod-pagespeed: 1.12.34.2-0
content-type: text/html;charset=UTF-8
via: 1.1 varnish
accept-ranges: bytes
date: Fri, 25 May 2018 14:16:18 GMT
via: 1.1 varnish
age: 0
x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR
x-cache: HIT, MISS
x-cache-hits: 2, 0
x-timer:
S1527257779.808892,VS0,VE70
vary: Accept-Encoding,Cookie
x-via-fastly: Verdad
content-length: 72361
其他埠上的其他服務提供特定於服務的資訊。公開的旗標資訊是真是假並不保證。但大多數情況下是真的,且故意公佈誤導性旗標的做法也是通過隱匿來實現安全。
一些企業禁止Shodan爬取其網路,Shodan也尊重他們的選擇。但是,攻擊者並不需要Shodan找出你網路中的脆弱裝置。封禁Shodan可能避免一時的尷尬,但並不能改善你的安全態勢。
Shodan令人驚恐
不瞭解網際網路運作機制的非技術人員對Shodan驚恐不已。2013年時, CNN將Shodan稱為“網際網路上最令人恐懼的搜尋引擎” 。怎麼可以讓黑客知道所有電廠的位置好方便他們炸飛電廠呢?這太可怕了!
這顯然是無知引起的誇張反應。意圖造成傷害的攻擊者並不需要Shodan來發現目標。這是執行zmap的殭屍網路的工作。 Shodan真正的價值在於幫助防禦者更加了解自己的網路,獲得自身網路更多的可見性。
如果不知道自己必須守護好什麼,怎麼開展防禦工作?而這一點對企業和整個社會來說都是一樣的。我們如今身處的世界裡,數字網路與物理實體互通互聯,裝置眾多,分佈廣泛,漏洞與弱點多如牛毛,而Shodan能賦予我們對這個不安全世界更為全面的可見性。
用Shodan輔助防禦
現代企業的網際網路暴露面通常比企業自身以為的要大。員工將各種裝置接入網路以完成自身工作,還有影子IT在倍增網際網路暴露面。所以,企業安全團隊面臨的是一個不斷擴大的攻擊介面。
Shodan可以很方便地搜尋子網或域名,查找出聯網裝置、開放埠、預設憑證,甚至已知漏洞。攻擊者能看到同樣的東西,所以,在他們決定攻擊之前先補好漏洞未雨綢繆比較好。
很多裝置都會在旗標中公開宣告自己的預設口令。比如思科裝置,會廣播預設的使用者名稱/口令組合“cisco/cisco”。在攻擊者之前搶先找出自己網路中的這些裝置似乎是個不錯的主意。
Shodan還能查詢易遭特定漏洞攻擊的脆弱裝置,比如心臟出血。除了幫助防禦者發現裝置以預設安全措施,Shodan還能幫助滲透測試員收集資訊——在掃描嗅探客戶整個子網方面,Shodan比Nmap快速隱祕得多。
付費使用者還可以使用API,能在所監測的網路中有新裝置加入時獲得通知,不失為一種便宜而有效的網路監控措施。
停止往網際網路上新增糟糕裝置
然而, Shodan最著名的方面,卻可能是提升了公眾對網際網路被接入大量不安全關鍵基礎設施的認知 。Shodan的網際網路繪圖能力可以量化網際網路面對的系統性安全問題,供記者撰寫文章,決策者辯論分析,解決方案處理問題。
拿ICS/SCADA做個例子。工業控制系統早於網際網路面世,設計時沒考慮過網路安全問題。這些系統本就沒有接入全球網際網路的意圖,物理安全控制更多著眼的是防止惡意攻擊者將未經處理的汙水直接倒入飲用水供應之類的問題。
但時移世易,本無意接入網際網路的關鍵基礎設施如今也就在攻擊者幾次跳轉便可達的範圍內。Shodan讓人們可以很方便地搜尋這些系統,拉響了關鍵基礎設施的網路安全警報。汙水處理設施、大壩、焚屍爐、遊艇,這些東西無論何種情況下都應接入網際網路嗎?或許不應該如此,而Shodan令提高對這一問題的認知更加容易了。
類似的,一大波不安全IoT裝置湧入千家萬戶,從聯網咖啡機到智慧性愛玩具到聯網冰箱,零零總總不一而足。市場明顯不能為這些裝置選擇強網路安全,監管者也很大程度上無法介入以要求更強的網路安全控制。更糟的是,破產或者乾脆放棄對所生產裝置支援的IoT製造商,將消費者留在了既不安全又無法補救的深淵——這些裝置很容易淪為殭屍網路指揮下的傀儡。不安全IoT給整個網際網路帶來的系統性風險不能被低估。
非技術人員發現Shodan時最初的那聲驚呼,正是市場和令這一狀況得以發展的監管力量的最佳目標。
基本要素
Shodan是免費的,但免費賬戶所能得到的結果有數量限制。高階過濾器功能需要付費( 49美元永久有效 )。需要大量實時資料流的開發者和企業使用者也能購買付費會員權益。
保護公司免於陷入尷尬境地或許有公關方面的價值,但並不能帶來安全價值。Shodan能賦予公司對外部及其他公司安全態勢的可見性。
網際網路安全欠賬越積越多。Shodan能使我們更加清晰地看到這一問題,無論這會讓某些非技術人員有多不舒服。