最近,大家的注意力都聚焦在一个名为“Shodan”的搜索引擎上,甚至可能有人形容Shodan是“最可怕的搜索引擎。”这款渗透测试搜索引擎揭露出关键架构如网络服务器、路由器甚至是打印机都会让黑客有机可乘,从而对小企业乃至公共设施发起攻击。
在恐慌接连发生之时,让我们先缩小一下范围,其实Shodan并不是新出现的,其网站在2009年就发布了,根据它自己的口号描述,Shodan与谷歌不同,因为它旨在找电脑,而不是找内容。这听起来像是黑魔法,但是其实Shodan的核心技术非常简单。
Shodan背后
当你连接到一个服务器,而这个服务器又是收听给定端口时,这个服务器通常都会与一个“标语”响应。这个标语其实是一个文本拦截,里面对服务进行了详述,比如:
HTTP/1.0 401 Unauthorized
Date: Thu, 08 Jan 1970 18:04:00 GMT
Server: Boa/0.93.15 (with Intersil Extensions)
Connection: close
WWW-Authenticate: Basic realm="LOGIN Enter Password (default is medion, ignore username)"
Content-Type: text/html 这是对运行Boa的服务器进行描述的标语,Boa是一个被设计为运行于嵌入式平台(包括安卓服务)之上的Web HTTP服务器。这个标语可以识别运行软件的版本和一个默认密码。
Shodan的会在全球查询IP地址,在若干常见端口查找和保存标语响应。Shodan搜索可以让用户在这些标语中查询关键词,通过元数据(如端口和IP地址或域名)进行过滤。
Shodan披露的任何“可怕的”漏洞都会出现在标语信息中。记住,这些标语只是一种信息,且并非总是精准。
例如,有些像上面示例中那样简单的标语就披露了默认密码。但这并意味着它就是网站真正配置的密码;它表示的只是软件默认的设置。一个有安全意识的管理员在配置服务器时肯定要更改密码。
哪些人要提防Shodan?
那些因Shodan等工具而存在风险的设备都是不需要联网且使用默认配置文件的设备。Shodan并不是黑客找到这些设备的唯一方式,但是Shodan却减少了黑客查找的障碍。
有些通过Shodan暴露的东西很早就可以从谷歌查到了。即便谷歌索引中出现的是内容而非服务器标语,可了解特定查询字符串的黑客们也能够找到误配置的服务器,打印机和网络摄像头。这些查询模板被称作“Google dork”,它们早在Shodan之前就存在了。
关键在于,不论是谷歌dork还是Shodan都为企业带来了威胁。企业设备的曝光自然会让企业陷入威胁之中。
如何把Shodan威胁最小化?
靠谱的安全实例可以把Shodan这类渗透测试工具的威胁最小化或是减弱:
1、限制面向公共网络的服务器和设备:许多通过Shodan暴露的设备一开始就不应该联网。你的网络打印机,网络摄像头或文件服务器都需要访问公共互联网吗?又或者仅仅访问内部LAN就可以了?
在一些案例中,限制连接LAN的设备仅仅是网络配置方面的事情而已。或许,你可以对网络防火墙进行配置,使其拦截对这些设备的访问。
2、当你需要外部访问的时候使用VPN或IP过滤器:如果员工或合作对象需要从外部网络访问你的内部资源,比如打印机,摄像头或文件共享——可通过防火墙的IP过滤器对其进行限制。最好是要求他们使用VPN。这样可以阻止Shodan等工具找到你的设备。
3、经常更改密码:不论你的服务器标语是否会显示这一信息,大多数设备都有出厂默认密码。攻击者可以在网上找到这些信息,特别是如果他们已经识别出你设备制作和模式时,如通过标语数据。修改一下默认密码,Shodan上显示的大部分机器都可以增添一份安全。
4、缩短标语内容:一些服务器软件可以让你对标语进行自定义设置。许多标语透露的默认信息比较多。攻击者可以利用这里面的信息,如服务器版本和安装模块来挖掘安全漏洞,再利用这些漏洞搞破坏。
记住,Shodan只是索引标语。即便你的设备是面向外网,Shodan用户能获取的就是标语告诉他们的信息。
5、你也用一用Shodan:你也可以使用Shodan的IP过滤来查询企业的网络。例如,这些Shodan搜索查询会把检索到的公共IP地址或子网的服务器标语都显示出来:
net:your.ip.add.ress
net:your.ip.add.0/24 记住,Shodan不是查询按要求查询你的网络。它只是查询数据库,所以可能并没有访问你的网络。这不是实时渗透测试工具的代替品。
做好自己的事情
虽然有其可怕的一面,但是Shodan的底线是只帮助攻击者查找暴露到外网和误配置的设备。它并不是攻击者用来破坏网络的直接工具,除非你的网络安全系数极低。靠谱的安全实例都会将攻击者利用Shodan的威胁降到最低。