騰訊科技訊（林靖東）北京時間4月10日消息，《財富》網站今日刊登了一篇關于Shodan搜索引擎的評論文章，聲稱Shodan實際上是一種比谷歌(微博)更強(qiang)大和(he)更可怕的(de)搜索(suo)引擎。

文章主要內容如下：

很多人(ren)可能(neng)認為谷歌的搜(sou)索(suo)引擎(qing)已經非常(chang)強(qiang)大(da)了(le)，但是實(shi)際上還有(you)一(yi)種比谷歌更可怕的搜(sou)索(suo)引擎(qing)，那就是Shodan。

Shodan的開發者約翰(han)馬瑟利（John Matherly）稱：“人們在谷歌上找不(bu)到(dao)(dao)某些內容時，他們就認為沒(mei)有人能夠找到(dao)(dao)它。但那是不(bu)對的。”

與谷歌通(tong)(tong)過網址來(lai)搜索(suo)互(hu)(hu)聯(lian)網的方式不同，Shodan通(tong)(tong)過互(hu)(hu)聯(lian)網背后的通(tong)(tong)道來(lai)搜索(suo)信(xin)息(xi)。它就象是一種“黑暗”的谷歌，不斷在尋找服務器(qi)、網絡攝像頭、打印機、路由器(qi)和其他與互(hu)(hu)聯(lian)網連接及(ji)構成互(hu)(hu)聯(lian)網的一切東西。

Shodan日夜不(bu)停(ting)地在運行著，每(mei)月可在互聯網上搜索到大約5億個連網設(she)備(bei)和(he)服務。

Shodan的搜索能力是極其驚人的。無數交通燈、安(an)全攝像頭、家庭(ting)自(zi)動化設(she)備和加熱系統都(dou)連接著互聯網，Shodan可以很輕松地找到它們。

曾(ceng)經有人(ren)利(li)用Shodan找到某(mou)(mou)個(ge)水上(shang)公(gong)園(yuan)、某(mou)(mou)個(ge)加(jia)油站、某(mou)(mou)家酒店(dian)的葡萄酒冷庫甚至某(mou)(mou)個(ge)火(huo)葬(zang)場的控制(zhi)(zhi)系統(tong)。網絡安全研究員們還(huan)曾(ceng)經利(li)用Shodan找到過(guo)核電廠的指揮和控制(zhi)(zhi)系統(tong)和一(yi)個(ge)離子回旋加(jia)速器。

Shodan能夠找到任(ren)何(he)東西，這也正(zheng)是它的可(ke)怕之處(chu)。關于Shodan的這種能力，有一(yi)點值得注意，那就是那些(xie)連網的設備幾(ji)乎(hu)都沒有安(an)(an)裝任(ren)何(he)安(an)(an)全防護工(gong)具(ju)。

Rapid 7的(de)首(shou)席(xi)安全官HD摩(mo)爾（HD Moore）稱：“這是(shi)安全上(shang)的(de)一(yi)個(ge)重大失敗。”出于(yu)研究的(de)目的(de)，摩(mo)爾運行著(zhu)一(yi)個(ge)私(si)有版本(ben)的(de)、類似于(yu)Shodan數(shu)據庫(ku)。

搜索“默(mo)認密碼(ma)”可以發現(xian)無數打印機、服務器和系統(tong)控(kong)制設備(bei)都(dou)將“admin”作(zuo)(zuo)為它們的管理(li)員(yuan)用(yong)戶名，將“1234”作(zuo)(zuo)為密碼(ma)。還有很多連網系統(tong)根本就(jiu)(jiu)不要認證。你只需(xu)要一個網絡瀏覽(lan)器就(jiu)(jiu)可以與它們連網了。

在去年的(de)(de)Defcon網絡(luo)安全大(da)會上(shang)，獨立安全滲透測試員丹滕特勒（Dan Tentler）演(yan)示了(le)他如何利用Shodan發現蒸(zheng)發冷卻器(qi)、加壓熱水(shui)器(qi)和汽車庫門(men)的(de)(de)控(kong)制系統。

他發(fa)現了一(yi)個可以開(kai)啟和關閉的(de)(de)(de)洗(xi)車處(chu)和丹(dan)麥的(de)(de)(de)一(yi)家(jia)可以一(yi)鍵除霜的(de)(de)(de)冰球場(chang)。一(yi)個城市的(de)(de)(de)整(zheng)個交通控(kong)制(zhi)網(wang)絡都被連接在互聯網(wang)上，只要一(yi)條簡單的(de)(de)(de)指(zhi)令就可以將該系統轉變成(cheng)“測試模式”。他還發(fa)現了法國一(yi)家(jia)雙渦輪、總功率為(wei)6兆瓦的(de)(de)(de)水力發(fa)電廠的(de)(de)(de)控(kong)制(zhi)系統。

如果(guo)Shodan被(bei)壞人(ren)掌握和利用的話，情況就糟糕了。這簡直太可(ke)怕了。

滕(teng)特(te)勒說(shuo)：“你可以(yi)利用它(ta)進行一些(xie)非常(chang)嚴重的破壞。”

為什么這些(xie)連網設(she)(she)備都不設(she)(she)防(fang)呢？有(you)(you)些(xie)設(she)(she)備是必須與(yu)互聯網連接在一起的(de)，比如可以利(li)用iPhone控制(zhi)的(de)門(men)鎖(suo)，人們通(tong)常(chang)相信那些(xie)設(she)(she)備是很難被發現的(de)。只有(you)(you)當事情(qing)發生之后(hou)，人們才開始(shi)認識到(dao)安全的(de)重要性(xing)。

還有一個更大的問題是(shi)，這些設備(bei)中的許多(duo)(duo)設備(bei)根本就無(wu)需(xu)連(lian)網。企業經常會(hui)購買一些他們能夠掌控的系(xi)統，比如配(pei)備(bei)計算機(ji)的加熱系(xi)統。他們如何將計算機(ji)與加熱系(xi)統連(lian)接(jie)(jie)在(zai)一起呢？并不是(shi)直(zhi)接(jie)(jie)相連(lian)，很多(duo)(duo)IT部門會(hui)將它們都插在(zai)一個網絡服(fu)務器(qi)上，然后進行共享。但是(shi)，它們同時也與外網連(lian)接(jie)(jie)在(zai)了(le)一起。

馬瑟利(li)稱：“當然，這些設(she)備(bei)不存在安全問題。首先，它們并不屬于互(hu)聯網。”

好(hao)消息是(shi)Shodan幾乎(hu)都(dou)被(bei)用到(dao)了合(he)理的(de)解決方案之中。

馬瑟利在3年前完成了Shodan的研發(fa)工作(zuo)。如果(guo)沒(mei)有帳戶的話，Shodan的搜(sou)(sou)索結(jie)果(guo)頁(ye)面只會(hui)顯示10個(ge)條(tiao)目(mu)，而有帳戶的話，搜(sou)(sou)索結(jie)果(guo)頁(ye)面可以顯示50個(ge)條(tiao)目(mu)。如果(guo)想(xiang)要看到(dao)所有的結(jie)果(guo)，則(ze)需(xu)提交更多(duo)的信息以及(ji)付費。

滲(shen)透測試(shi)員、安全專家、學術研(yan)究者以(yi)(yi)及執(zhi)法機(ji)關是(shi)Shodan的(de)主要用戶。馬瑟利承認，壞人也可(ke)(ke)以(yi)(yi)利用Shodan。但他(ta)同時也補充說，網絡罪犯通常都(dou)可(ke)(ke)以(yi)(yi)訪問傀儡(lei)網絡。傀儡(lei)網絡是(shi)由大量被攻(gong)破的(de)計算機(ji)組成(cheng)，它(ta)可(ke)(ke)以(yi)(yi)在不影響性能的(de)條件下(xia)完成(cheng)相同的(de)任務。

迄今為止，大多數網絡攻(gong)擊的歐集中在竊(qie)取金錢和知識(shi)產權(quan)等上面。壞(huai)人還沒有(you)嘗試過摧毀某(mou)一個城(cheng)(cheng)市(shi)里的大樓或(huo)關閉某(mou)個城(cheng)(cheng)市(shi)所有(you)的交通(tong)燈。

安全(quan)專家們(men)(men)希望這(zhe)有(you)助于(yu)避(bi)免基于(yu)Shodan的連網(wang)設備和服務被發(fa)現，并且向系統管理員發(fa)出警告。與此同時，互聯網(wang)上(shang)本來就有(you)很多可怕(pa)的東西，它們(men)(men)沒(mei)有(you)任何安全(quan)防護措施，只(zhi)等著被攻擊。