资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

作者:谢幺
2017/04/06 16:23

去年年底,南方不少地区出现了 H7N9(禽流感)的疫情,搞得许多地方人心惶惶,连吃个鸡顾虑半天。

如果这时有人问我:“有没有什么办法,能快速定位全球所有 H7N9 病毒感染者和易感人群?” 我一定觉得他疯了 —— 如果真有这样的办法,病情可能早就控制住了。

可如果换个问题:“在网络世界,一个高危危漏洞爆发,就像现实生活中的疾病那样迅速蔓延,影响成千上万的设备和网站,有没有办法找到这些脆弱的网站和设备,以快速控制危害?”

我会回答:有,而且方法很简单。

三分钟找到全球所有“弱鸡”设备

2017年1月,一场网络瘟疫席卷全球互联网,广泛使用的 Elastic Search 被曝出安全隐患,攻击者利用该隐患可以直接远程删除受害者的数据。短短一个月,全球至少上万台设备遭遇勒索——  不给钱?先删库,后跑路。

然而,在勒索风波刚开始不久,雷锋网编辑就收到了白帽汇发来的一份《威胁情报预警:Elasticsearch 勒索事件报告》,上面竟清晰展示了受勒索事件影响的设备在全球的分布情况:

  • 全球中受影响最多的为美国4380台,其次是中国第二944台。法国787台,爱尔兰462台,新加坡418台。

  • 其中,中国受害的有944台。其中,浙江省受影响最严中,有498台,其次是北京,186台,上海52台,湖南43台,上海42台。

甚至,连每一波勒索者留下的勒索信息以及被勒索设备的一些详细情况都一一说明,报告的末尾还附带了相应的防御策略。

但更令人惊讶的是,雷锋网得知,这样一份全球范围调查、内容详实的安全报告,三分钟就能做出来。

一场网络世界的瘟疫爆发,几分钟之内找到全球范围了可能“感染”的设备,生成一份安全报告进行预警。这究竟是如何做到的?白帽汇COO刘宇告诉雷锋网,这全都得益于他们的“佛法”——  FOFA系统。

FOFA 是什么?

FOFA,按照官方说明,它是个搜索引擎,但并不是一个普通搜索引擎,起码不是普通人能用的搜索引擎。

当我们使用谷歌、百度这类常规搜索引擎时,只需要说人话 —— 输入文字就行,但在 FOFA 搜索引擎里你却“不能说人话”,而必须用程序化的语言,否则 FOFA 可能拒绝和你沟通。

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【不说“人话”的FOFA搜索引擎】

当然,为了初次见面更愉快, FOFA 搜索引擎配备了长长的语法说明:

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【FOFA系统的查询语法】

当然,FOFA 搜索引擎检索到的内容并不是平常的文字、照片等内容,而是:

  • 服务器

  • 数据库

  • 某个网站管理后台

  • 路由器

  • 交换机

  • 公共ip的打印机

  • 网络摄像头

  • 门禁系统

  • Web服务

  • ……

正因如此,FOFA 这类搜索引擎又有另一个名字:网络空间测绘系统。—— 它们就像是现实生活中的卫星地图那样,一点点勾勒出公共网络空间的样子,每一个网站、每一台公共环境下的服务器……当一个高危漏洞爆发,FOFA系统便能向卫星定位地址一样,通过特征迅速找到全网的脆弱设备。

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【图片来自谷歌地球卫星图】

“支离破碎”的网络空间

在完美主义者罗永浩的眼中,这是个支离破碎的世界;在FOFA的眼中,网络空间也是支离破碎的世界。当安全人员需要用FOFA系统寻找某些设备时,他需要用“支离破碎”的语言来检索。

比如要找“北京所有教育网站可远程连接的数据库”,你需要在FOFA引擎中输入:

  • City=Beijing(城市为北京)

  • Host=edu.cn(教育网站)

  • Port=3306 (MySQL数据库常用的远程端口)

对于普通人来说,FOFA搜索引擎的查询语法或许难以上手,但刘宇却告诉雷锋网,这正是FOFA系统的一大特点。

刘宇说,所有搜索引擎都会利用非恶意爬虫来采集服务器和网站的公开数据,FOFA也是如此。当它爬取到的设备和网站信息后,会将数据打散成一个个非常细小的特征,让使用者可以像拼积木一样自由组合这些特征,从而有了更大的发挥余地。

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

【基于特征检索-乱入的表情包】

刘宇打了个比方,当人们去买电脑,不了解电脑配置的人一般倾向于买整机,而极客、发烧友则倾向于单独买来处理器、主板、显卡……然后自己攒机。FOFA就是这样,它将采集到的所有信息用非常细粒度的形式呈现给使用者,让他们自己来自定义检索规则。—— 极客们都喜欢自己动手、爱折腾,而FOFA就是给极客们用的。

“撒旦”和“佛法”

其实这类“黑客专用”的搜索引擎并非 FOFA 首创,早在 2009 年的世界黑客大会 DEFCON 上,一个名为“Shodan”的网络空间搜索引擎一经公布就掀起了轩然大波。当时人们惊奇地发现,透过一块小小的电脑屏幕,竟能瞬间找到世界另一端的脆弱设备、摄像头、打印机……

于是,一种全新的黑客攻击手法诞生了:

原本攻击者需要利用漏洞扫描器对一个个服务器、网站进行扫描,如今只需要利用 Shodan 搜索引擎,瞬间就能找到成千上万存在同样漏洞的设备,然后在极短的时间内拿下他们。


 步枪变成了机关枪,单体攻击变成了AOE(群体伤害),世界范围的地图炮。

很快,Shodan 在舆论导向之下成了邪恶的代名词,媒体惊呼它为“世界上最可怕的搜索引擎”、“黑暗搜索引擎”,甚至连中文名都被译作“撒旦”。

FOFA系统的创造者,白帽汇CEO赵武告诉雷锋网:

Shodan出现之后,许多攻击者不再挨个扫网站漏洞,那样效率太低,他们更喜欢“打时间差”—— 当国外曝出一个高危漏洞后,他们迅速利用  Shodan 找到大量存在漏洞的服务,然后在企业反应过来之前就完成渗透。

在赵武看来,既然攻击者利用网络空间搜索引擎来发现脆弱设备,那么防御者同样能利用它来发现脆弱设备并及时修补,这便促成了FOFA系统的诞生。就像古代行军打仗,地图就在那里,哪一方能运用得当,哪一方就在更容易取得优势。在网络世界里,白帽汇的赵武希望FOFA能成为帮助人们避开网络攻击的那张“地图”。

“ 目前现实情况有些糟糕。”赵武说,“对于许多稍大一些的企业,他们可能有数以千计的设备、服务。具体哪里有台什么样的服务器,装了哪些服务,开了什么端口,这些网络空间资产通常很难梳理清楚。有时一个大企业修补一个漏洞就花好几天,就是因为对自己的网络空间资产梳理不清楚导致的。”

世界总是趋于混乱,就像我们电脑里的文件系统一样,当文件夹层级越来越多,即使文件结构再清晰,也会经常找不到想要的文件。这时就该换个思路,需要通过做标签,搜索的方式来查找。而 FOFA 就可以充当这么一个资产检索和梳理的角色。

当一个漏洞爆发时,在一个企业中,如果防御者能最短的时间内检索到自己的脆弱设备并保护起来,就能最大限度地让自己免遭攻击;在全网范围内,如果能尽快找到这些脆弱设备并联合国家相关安全机构作出预警,就能最快地控制住“网络疫情”,这便是赵武希望完成的事情。

如今每次出现大的漏洞情况,白帽汇总会第一时间出具相关的漏洞情况报道,提醒企业进行安全防范。而他们也告诉雷锋网编辑,FOFA企业版已经积累了数千条规则,帮助不少公司提高了安全防范能力。

在赵武看来,Shodan 之所以被称之为“最可怕的搜索引擎”,一部分原因在于太多人缺乏网络安全意识,让许多私有的服务器、数据库、摄像头被毫不设防地暴露在四通八达的互联网中。

一个搜索引擎本不具有任何破坏力,它的意义在于为网络世界建立了新的连接方式,让原本混沌的网络世界更透明、阳光,这种阳光、透明最初坑让没准备好的人感到不适,但最终它将推动整个行业的正向发展。

长按图片保存图片,分享给好友或朋友圈

三分钟内找出全网所有“弱鸡”设备?这不是魔法而是FOFA

扫码查看文章

正在生成分享图...

取消
相关文章