物联网 IoT 的金手指 Shodan

话虽如此，但要怎样才可以找到有漏洞的IoT设备？答案便是使用IoT搜索引擎Shodan....





恐布分子攻击基建设施，向来只是电影中的桥段，但 IoT (Internet of Things) 和 Shodan 的出现，却间接令这些威胁成为现实。

攻击基建设施其实并非新事，过去美国和以色列就被揭发曾开发名为Stuxnet的蠕虫，破坏“邪悪帝国”伊朗的核电厂离心机。当年开发Stuxnet的花费是天文数字，原因是要取得攻击目标的数据十分困难，加上核电厂的离心机没有直接联机到Internet，令Stuxnet不得不采用USB随身碟的感染方法。 IoT 被形容为IT界的工业革命，但很少人会关注它的安全性，令它更容易成为攻击其他设施的跳板。

话虽如此，但要怎样才可以找到有漏洞的 IoT 设备？答案便是使用 IoT 搜索引擎 Shodan 。早在2012年的DefCon信息安全大会上，独立信息安全测试人员Dan Tentler就演示了如何利用 Shodan ，找出蒸发冷却器、高压热水器和车库大门的控制系统。他发现了一个在丹麦的冰球场，只要在网上点击一个按钮，即可进行除冰。一座城市的整个交通控制系统都连接至互联网，只要输入一个命令，即可让其进入测试模式。他甚至找到了法国一个水电站的控制系统，该水电站配备两个涡轮，每个能产生3兆瓦电力。

Shodan 不像Google等传统的搜索引擎，利用Web爬虫去遍历你整个网站，而是对各类设备端口号产生的系统旗标信息(Banners)进行审计，从而找出所有何联机到Internet的设备。每个月 Shodan 都会在约4.8亿台联网设备上搜集信息，在 Shodan 上除了找得到在特定国家、地区、经纬度、IP地址范围的服务器、视像镜头、打印机和路由器外，还可找到家居自动化设备、水上乐园和加油站的控制系统、饭店的冰箱，甚至火葬场设备。有信息安全研究人员甚至从中发现了核电站控制系统，以及粒子加速器。

但如何入侵这些找到的设备？只要在 Shodan 上以default password作为关键词搜寻，便可以看到无数以admin为用户名称，123456为密码的打印机、服务器和系统控制设备。许多系统甚至完全没有密码，只要使用浏览器即可建立联机。在2014年日本政府的信息安全部门IPA，就曾对其国内的IoT装置实况进行调查，发现超过1,400万台的设备可在 Shodan 上找到，当中包括大量具影印和传真功能的多功能复合机、路由器、NAS和视像会议设备。

这些多功能复合机为方便用户，很多时候都储存了影印和传真的备份，极可能成为盗取商业机密的对象。部分NAS等设备亦具备邮件转发、甚至DNS和NTP等功能，不但有可能被用作传送垃圾邮件，更有可能成为攻击其他设备的跳板。看似很可怕的漏洞，要防范其实很简单，只要在 Shodan 上找出在我们控制范围内的IoT设备，将不安全的用户名称密码改回来就可以了，此举已经足够防范一般水平的黑客攻击。正如 Shodan 创办人John Matherly所说，Shodan只是一件工具，要为善还是作恶，往往只在一念之差。

物联之家（www.iothome.com）是一个关注物联网的科技新闻媒体。网站内容更精彩！

    关注 物联之家网