物聯網 IoT 的金手指 Shodan

恐佈分子攻擊基建設施,向來只是電影中的橋段,但 IoT (Internet of Things) 和 Shodan 的出現,卻間接令這些威脅成為現實。2015031001shodan
攻擊基建設施其實並非新事,過去美國和以色列就被揭發曾開發名為Stuxnet的蠕蟲,破壞「邪悪帝國」伊朗的核電廠離心機。當年開發Stuxnet的花費是天文數字,原因是要取得攻擊目標的資料十分困難,加上核電廠的離心機沒有直接連線到Internet,令Stuxnet不得不採用USB隨身碟的感染方法。 IoT 被形容為IT界的工業革命,但很少人會關注它的安全性,令它更容易成為攻擊其他設施的跳板。

話雖如此,但要怎樣才可以找到有漏洞的 IoT 裝置?答案便是使用 IoT 搜尋引擎 Shodan 。早在2012年的DefCon資訊安全大會上,獨立資訊安全測試人員Dan Tentler就演示了如何利用 Shodan ,找出蒸發冷卻器、高壓熱水器和車庫大門的控制系統。他發現了一個在丹麥的冰球場,只要在網上點擊一個按鈕,即可進行除冰。一座城市的整個交通控制系統都連接至互聯網,只要輸入一個命令,即可讓其進入測試模式。他甚至找到了法國一個水電站的控制系統,該水電站配備兩個渦輪,每個能產生3兆瓦電力。

Shodan 不像Google等傳統的搜尋引擎,利用Web爬蟲去遍歷你整個網站,而是對各類設備埠號產生的系統旗標資訊(Banners)進行審計,從而找出所有何連線到Internet的設備。每個月 Shodan 都會在約4.8億台聯網設備上蒐集資訊,在 Shodan 上除了找得到在特定國家、地區、經緯度、IP位址範圍的伺服器、視像鏡頭、印表機和路由器外,還可找到家居自動化設備、水上樂園和加油站的控制系統、飯店的冰箱,甚至火葬場設備。有資訊安全研究人員甚至從中發現了核電站控制系統,以及粒子加速器。

但如何入侵這些找到的設備?只要在 Shodan 上以default password作為關鍵詞搜尋,便可以看到無數以admin為用戶名稱,123456為密碼的印表機、伺服器和系統控制設備。許多系統甚至完全沒有密碼,只要使用瀏覽器即可建立連線。在2014年日本政府的資訊安全部門IPA,就曾對其國內的IoT裝置實況進行調查,發現超過1,400萬台的裝置可在 Shodan 上找到,當中包括大量具影印和傳真功能的多功能複合機、路由器、NAS和視像會議設備。

這些多功能複合機為方便用戶,很多時候都儲存了影印和傳真的備份,極可能成為盜取商業機密的對象。部分NAS等設備亦具備郵件轉發、甚至DNS和NTP等功能,不但有可能被用作傳送垃圾郵件,更有可能成為攻擊其他設備的跳板。看似很可怕的漏洞,要防範其實很簡單,只要在 Shodan 上找出在我們控制範圍內的IoT設備,將不安全的用戶名稱密碼改回來就可以了,此舉已經足夠防範一般水平的黑客攻擊。正如 Shodan 創辦人John Matherly所說,Shodan只是一件工具,要為善還是作惡,往往只在一念之差。
主筆
麥經倫
2015年2月

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *