设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

发布时间:2017-04-08 20:22 所属栏目:53 来源:雷锋网
导读:去年年底,南方不少地区出现了 H7N9(禽流感)的疫情,搞得许多地方人心惶惶,连吃个鸡顾虑半天。 如果这时有人问我:“有没有什么办法,能快速定位全球所有 H7N9 病毒感染者和易感人群?” 我一定觉得他疯了 —— 如果真有这样的办法,病情可能早就控制住

去年年底,南方不少地区出现了 H7N9(禽流感)的疫情,搞得许多地方人心惶惶,连吃个鸡顾虑半天。

如果这时有人问我:“有没有什么办法,能快速定位全球所有 H7N9 病毒感染者和易感人群?” 我一定觉得他疯了 —— 如果真有这样的办法,病情可能早就控制住了。

可如果换个问题:“在网络世界,一个高危危漏洞爆发,就像现实生活中的疾病那样迅速蔓延,影响成千上万的设备和网站,有没有办法找到这些脆弱的网站和设备,以快速控制危害?”

我会回答:有,而且方法很简单。

三分钟找到全球所有“弱鸡”设备

2017年1月,一场网络瘟疫席卷全球互联网,广泛使用的 Elastic Search 被曝出安全隐患,攻击者利用该隐患可以直接远程删除受害者的数据。短短一个月,全球至少上万台设备遭遇勒索—— 不给钱?先删库,后跑路。

然而,在勒索风波刚开始不久,小编()编辑就收到了白帽汇发来的一份《威胁情报预警:Elasticsearch 勒索事件报告》,上面竟清晰展示了受勒索事件影响的设备在全球的分布情况:

  • 全球中受影响最多的为美国4380台,其次是中国第二944台。法国787台,爱尔兰462台,新加坡418台。
  • 其中,中国受害的有944台。其中,浙江省受影响最严中,有498台,其次是北京,186台,上海52台,湖南43台,上海42台。

甚至,连每一波勒索者留下的勒索信息以及被勒索设备的一些详细情况都一一说明,报告的末尾还附带了相应的防御策略。

但更令人惊讶的是,小编得知,这样一份全球范围调查、内容详实的安全报告,三分钟就能做出来。

一场网络世界的瘟疫爆发,几分钟之内找到全球范围了可能“感染”的设备,生成一份安全报告进行预警。这究竟是如何做到的?白帽汇COO刘宇告诉小编,这全都得益于他们的“佛法”—— FOFA系统。

FOFA 是什么?

FOFA,按照官方说明,它是个搜索引擎,但并不是一个普通搜索引擎,起码不是普通人能用的搜索引擎。

当我们使用谷歌、百度这类常规搜索引擎时,只需要说人话 —— 输入文字就行,但在 FOFA 搜索引擎里你却“不能说人话”,而必须用程序化的语言,否则 FOFA 可能拒绝和你沟通。

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【不说“人话”的FOFA搜索引擎】

当然,为了初次见面更愉快, FOFA 搜索引擎配备了长长的语法说明:

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【FOFA系统的查询语法】

当然,FOFA 搜索引擎检索到的内容并不是平常的文字、照片等内容,而是:

  • 服务器
  • 数据库
  • 某个网站管理后台
  • 路由器
  • 交换机
  • 公共ip的打印机
  • 网络摄像头
  • 门禁系统
  • Web服务
  • ……

正因如此,FOFA 这类搜索引擎又有另一个名字:网络空间测绘系统。—— 它们就像是现实生活中的卫星地图那样,一点点勾勒出公共网络空间的样子,每一个网站、每一台公共环境下的服务器……当一个高危漏洞爆发,FOFA系统便能向卫星定位地址一样,通过特征迅速找到全网的脆弱设备。

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【图片来自谷歌地球卫星图】

“支离破碎”的网络空间

在完美主义者罗永浩的眼中,这是个支离破碎的世界;在FOFA的眼中,网络空间也是支离破碎的世界。当安全人员需要用FOFA系统寻找某些设备时,他需要用“支离破碎”的语言来检索。

比如要找“北京所有教育网站可远程连接的数据库”,你需要在FOFA引擎中输入:

  • City=Beijing(城市为北京)
  • Host=edu.cn(教育网站)
  • Port=3306 (MySQL数据库常用的远程端口)

对于普通人来说,FOFA搜索引擎的查询语法或许难以上手,但刘宇却告诉小编,这正是FOFA系统的一大特点。

刘宇说,所有搜索引擎都会利用非恶意爬虫来采集服务器和网站的公开数据,FOFA也是如此。当它爬取到的设备和网站信息后,会将数据打散成一个个非常细小的特征,让使用者可以像拼积木一样自由组合这些特征,从而有了更大的发挥余地。

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【基于特征检索-乱入的表情包】

刘宇打了个比方,当人们去买电脑,不了解电脑配置的人一般倾向于买整机,而极客、发烧友则倾向于单独买来处理器、主板、显卡……然后自己攒机。FOFA就是这样,它将采集到的所有信息用非常细粒度的形式呈现给使用者,让他们自己来自定义检索规则。——极客们都喜欢自己动手、爱折腾,而FOFA就是给极客们用的。

“撒旦”和“佛法”

其实这类“黑客专用”的搜索引擎并非 FOFA 首创,早在 2009 年的世界黑客大会 DEFCON 上,一个名为“Shodan”的网络空间搜索引擎一经公布就掀起了轩然大波。当时人们惊奇地发现,透过一块小小的电脑屏幕,竟能瞬间找到世界另一端的脆弱设备、摄像头、打印机……

于是,一种全新的黑客攻击手法诞生了:

原本攻击者需要利用漏洞扫描器对一个个服务器、网站进行扫描,如今只需要利用 Shodan 搜索引擎,瞬间就能找到成千上万存在同样漏洞的设备,然后在极短的时间内拿下他们。

步枪变成了机关枪,单体攻击变成了AOE(群体伤害),世界范围的地图炮。

很快,Shodan 在舆论导向之下成了邪恶的代名词,媒体惊呼它为“世界上最可怕的搜索引擎”、“黑暗搜索引擎”,甚至连中文名都被译作“撒旦”。

FOFA系统的创造者,白帽汇CEO赵武告诉小编:

Shodan出现之后,许多攻击者不再挨个扫网站漏洞,那样效率太低,他们更喜欢“打时间差”—— 当国外曝出一个高危漏洞后,他们迅速利用 Shodan 找到大量存在漏洞的服务,然后在企业反应过来之前就完成渗透。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读