三分鐘內找出全網所有「弱雞」設備?這不是魔法而是FOFA
本文作者:謝幺
導語:一個搜索引擎本不具有任何破壞力,它的意義在於為網路世界建立了新的連接方式,讓原本混沌的網路世界更透明。
去年年底,南方不少地區出現了 H7N9(禽流感)的疫情,搞得許多地方人心惶惶,連吃個雞顧慮半天。
如果這時有人問我:「有沒有什麼辦法,能快速定位全球所有 H7N9 病毒感染者和易感人群?」 我一定覺得他瘋了 —— 如果真有這樣的辦法,病情可能早就控制住了。
可如果換個問題:「在網路世界,一個高危危漏洞爆發,就像現實生活中的疾病那樣迅速蔓延,影響成千上萬的設備和網站,有沒有辦法找到這些脆弱的網站和設備,以快速控制危害?」
我會回答:有,而且方法很簡單。
三分鐘找到全球所有「弱雞」設備
2017年1月,一場網路瘟疫席捲全球互聯網,廣泛使用的 Elastic Search 被曝出安全隱患,攻擊者利用該隱患可以直接遠程刪除受害者的數據。短短一個月,全球至少上萬台設備遭遇勒索—— 不給錢?先刪庫,後跑路。
然而,在勒索風波剛開始不久,雷鋒網編輯就收到了白帽匯發來的一份《威脅情報預警:Elasticsearch 勒索事件報告》,上面竟清晰展示了受勒索事件影響的設備在全球的分布情況:
全球中受影響最多的為美國4380台,其次是中國第二944台。法國787台,愛爾蘭462台,新加坡418台。
其中,中國受害的有944台。其中,浙江省受影響最嚴中,有498台,其次是北京,186台,上海52台,湖南43台,上海42台。
甚至,連每一波勒索者留下的勒索信息以及被勒索設備的一些詳細情況都一一說明,報告的末尾還附帶了相應的防禦策略。
但更令人驚訝的是,雷鋒網得知,這樣一份全球範圍調查、內容詳實的安全報告,三分鐘就能做出來。
一場網路世界的瘟疫爆發,幾分鐘之內找到全球範圍了可能「感染」的設備,生成一份安全報告進行預警。這究竟是如何做到的?白帽匯COO劉宇告訴雷鋒網,這全都得益於他們的「佛法」—— FOFA系統。
FOFA 是什麼?
FOFA,按照官方說明,它是個搜索引擎,但並不是一個普通搜索引擎,起碼不是普通人能用的搜索引擎。
當我們使用谷歌、百度這類常規搜索引擎時,只需要說人話 —— 輸入文字就行,但在 FOFA 搜索引擎里你卻「不能說人話」,而必須用程序化的語言,否則 FOFA 可能拒絕和你溝通。
【不說「人話」的FOFA搜索引擎】
當然,為了初次見面更愉快, FOFA 搜索引擎配備了長長的語法說明:
【FOFA系統的查詢語法】
當然,FOFA 搜索引擎檢索到的內容並不是平常的文字、照片等內容,而是:
伺服器
資料庫
某個網站管理後台
路由器
交換機
公共ip的印表機
網路攝像頭
門禁系統
Web服務
……
正因如此,FOFA 這類搜索引擎又有另一個名字:網路空間測繪系統。—— 它們就像是現實生活中的衛星地圖那樣,一點點勾勒出公共網路空間的樣子,每一個網站、每一台公共環境下的伺服器……當一個高危漏洞爆發,FOFA系統便能向衛星定位地址一樣,通過特徵迅速找到全網的脆弱設備。
【圖片來自谷歌地球衛星圖】
「支離破碎」的網路空間
在完美主義者羅永浩的眼中,這是個支離破碎的世界;在FOFA的眼中,網路空間也是支離破碎的世界。當安全人員需要用FOFA系統尋找某些設備時,他需要用「支離破碎」的語言來檢索。
比如要找「北京所有教育網站可遠程連接的資料庫」,你需要在FOFA引擎中輸入:
City=Beijing(城市為北京)
Host=edu.cn(教育網站)
Port=3306 (MySQL資料庫常用的遠程埠)
對於普通人來說,FOFA搜索引擎的查詢語法或許難以上手,但劉宇卻告訴雷鋒網(公眾號:雷鋒網),這正是FOFA系統的一大特點。
劉宇說,所有搜索引擎都會利用非惡意爬蟲來採集伺服器和網站的公開數據,FOFA也是如此。當它爬取到的設備和網站信息後,會將數據打散成一個個非常細小的特徵,讓使用者可以像拼積木一樣自由組合這些特徵,從而有了更大的發揮餘地。
【基於特徵檢索-亂入的表情包】
劉宇打了個比方,當人們去買電腦,不了解電腦配置的人一般傾向於買整機,而極客、發燒友則傾向於單獨買來處理器、主板、顯卡……然後自己攢機。FOFA就是這樣,它將採集到的所有信息用非常細粒度的形式呈現給使用者,讓他們自己來自定義檢索規則。—— 極客們都喜歡自己動手、愛折騰,而FOFA就是給極客們用的。
「撒旦」和「佛法」
其實這類「黑客專用」的搜索引擎並非 FOFA 首創,早在 2009 年的世界黑客大會 DEFCON 上,一個名為「Shodan」的網路空間搜索引擎一經公布就掀起了軒然大波。當時人們驚奇地發現,透過一塊小小的電腦屏幕,竟能瞬間找到世界另一端的脆弱設備、攝像頭、印表機……
於是,一種全新的黑客攻擊手法誕生了:
原本攻擊者需要利用漏洞掃描器對一個個伺服器、網站進行掃描,如今只需要利用 Shodan 搜索引擎,瞬間就能找到成千上萬存在同樣漏洞的設備,然後在極短的時間內拿下他們。
步槍變成了機關槍,單體攻擊變成了AOE(群體傷害),世界範圍的地圖炮。
很快,Shodan 在輿論導向之下成了邪惡的代名詞,媒體驚呼它為「世界上最可怕的搜索引擎」、「黑暗搜索引擎」,甚至連中文名都被譯作「撒旦」。
FOFA系統的創造者,白帽匯CEO趙武告訴雷鋒網:
Shodan出現之後,許多攻擊者不再挨個掃網站漏洞,那樣效率太低,他們更喜歡「打時間差」—— 當國外曝出一個高危漏洞後,他們迅速利用 Shodan 找到大量存在漏洞的服務,然後在企業反應過來之前就完成滲透。
在趙武看來,既然攻擊者利用網路空間搜索引擎來發現脆弱設備,那麼防禦者同樣能利用它來發現脆弱設備並及時修補,這便促成了FOFA系統的誕生。就像古代行軍打仗,地圖就在那裡,哪一方能運用得當,哪一方就在更容易取得優勢。在網路世界裡,白帽匯的趙武希望FOFA能成為幫助人們避開網路攻擊的那張「地圖」。
「 目前現實情況有些糟糕。」趙武說,「對於許多稍大一些的企業,他們可能有數以千計的設備、服務。具體哪裡有台什麼樣的伺服器,裝了哪些服務,開了什麼埠,這些網路空間資產通常很難梳理清楚。有時一個大企業修補一個漏洞就花好幾天,就是因為對自己的網路空間資產梳理不清楚導致的。」
世界總是趨於混亂,就像我們電腦里的文件系統一樣,當文件夾層級越來越多,即使文件結構再清晰,也會經常找不到想要的文件。這時就該換個思路,需要通過做標籤,搜索的方式來查找。而 FOFA 就可以充當這麼一個資產檢索和梳理的角色。
當一個漏洞爆發時,在一個企業中,如果防禦者能最短的時間內檢索到自己的脆弱設備並保護起來,就能最大限度地讓自己免遭攻擊;在全網範圍內,如果能儘快找到這些脆弱設備並聯合國家相關安全機構作出預警,就能最快地控制住「網路疫情」,這便是趙武希望完成的事情。
如今每次出現大的漏洞情況,白帽匯總會第一時間出具相關的漏洞情況報道,提醒企業進行安全防範。而他們也告訴雷鋒網編輯,FOFA企業版已經積累了數千條規則,幫助不少公司提高了安全防範能力。
在趙武看來,Shodan 之所以被稱之為「最可怕的搜索引擎」,一部分原因在於太多人缺乏網路安全意識,讓許多私有的伺服器、資料庫、攝像頭被毫不設防地暴露在四通八達的互聯網中。
一個搜索引擎本不具有任何破壞力,它的意義在於為網路世界建立了新的連接方式,讓原本混沌的網路世界更透明、陽光,這種陽光、透明最初坑讓沒準備好的人感到不適,但最終它將推動整個行業的正向發展。
雷鋒網原創文章,未經授權禁止轉載。
※用無人機送快遞:亞馬遜不只是想搞個噱頭
※綁Google、撕小米後 出門問問獲大眾汽車投資1.8億美金
※賠了7億 百度投資做的都是虧本買賣嗎?
※ofo推出智能鎖 超大型國有企業提供技術支持
TAG:雷鋒網 |
※這五位coser中有一位是偽娘,你能在5秒內找出來嗎?網友:有難度
※vivo NEX好評如潮,但是並不完美,網友卻找出了這3點不足
※熊出沒中這五對雙胞胎有一對是假的,你能在五秒內找出來嗎?
※修圖鼻祖 Adobe 做了個演算法,能找出人像中的「PS 痕迹」
※這五個假面騎士標誌中有一個是假的,你能在5秒內找出它嗎?
※四把AK-47中混入了一把AKM,你能找出那把AKM嗎?
※巴啦啦小魔仙:這五件魔法武器中有一個是假的,你能馬上找出來嗎
※5個標誌中只有一個不在蝙蝠俠中出現,你若能找出,我叫你大神!
※LOL:全聯盟僅四個英雄能魅惑敵人,找出第五個小編把鍵盤吃了
※這五位奧特曼有兩位是假的,你能在5秒內找出來?網友:有點難度
※心理學:你能在幾秒內找出男人?測你是TA的真愛還是備胎?
※狙擊手沙漠中偽裝,如果能全部找出,那你有做狙擊手天分!
※完全一模一樣,能找出這些照片的真是人才!
※修圖鼻祖做了個演算法,能找出人像中的「PS 痕迹」
※LOL:聯盟僅有六個跟火有關的英雄,再找出一個小編把鍵盤吃了
※每張圖中都藏有一位狙擊手,就算你是特種兵,也未必能找出三個!
※5個「甄嬛」中,有一個是假的,能在三秒內找出來的一定是真愛!
※人體旗幟和俄式挺身是什麼?如果不能分清,這3點幫你找出答案
※OPPO Reno2預熱,這段魔性視頻隱藏的黑科技你能找出嗎?
※眼力測試:圖形找茬,你是否能在25秒內找出圖形中不同的那一個?