去年年底，南方不少地區(qū)出現(xiàn)了 H7N9（禽流感）的疫情，搞得許多地方人心惶惶，連吃個(gè)雞顧慮半天。

如果這時(shí)有人問我：“有沒有什么辦法，能快速定位全球所有 H7N9 病毒感染者和易感人群？” 我一定覺得他瘋了 —— 如果真有這樣的辦法，病情可能早就控制住了。

可如果換個(gè)問題：“在網(wǎng)絡(luò)世界，一個(gè)高危危漏洞爆發(fā)，就像現(xiàn)實(shí)生活中的疾病那樣迅速蔓延，影響成千上萬的設(shè)備和網(wǎng)站，有沒有辦法找到這些脆弱的網(wǎng)站和設(shè)備，以快速控制危害？”

我會(huì)回答：有，而且方法很簡單。

三分鐘找到全球所有“弱雞”設(shè)備

2017年1月，一場網(wǎng)絡(luò)瘟疫席卷全球互聯(lián)網(wǎng)，廣泛使用的 Elastic Search 被曝出安全隱患，攻擊者利用該隱患可以直接遠(yuǎn)程刪除受害者的數(shù)據(jù)。短短一個(gè)月，全球至少上萬臺(tái)設(shè)備遭遇勒索——  不給錢？先刪庫，后跑路。

然而，在勒索風(fēng)波剛開始不久，雷鋒網(wǎng)編輯就收到了白帽匯發(fā)來的一份《威脅情報(bào)預(yù)警：Elasticsearch 勒索事件報(bào)告》，上面竟清晰展示了受勒索事件影響的設(shè)備在全球的分布情況：

• 全球中受影響最多的為美國4380臺(tái)，其次是中國第二944臺(tái)。法國787臺(tái)，愛爾蘭462臺(tái)，新加坡418臺(tái)。

• 其中，中國受害的有944臺(tái)。其中，浙江省受影響最嚴(yán)中，有498臺(tái)，其次是北京，186臺(tái)，上海52臺(tái)，湖南43臺(tái)，上海42臺(tái)。

甚至，連每一波勒索者留下的勒索信息以及被勒索設(shè)備的一些詳細(xì)情況都一一說明，報(bào)告的末尾還附帶了相應(yīng)的防御策略。

但更令人驚訝的是，雷鋒網(wǎng)得知，這樣一份全球范圍調(diào)查、內(nèi)容詳實(shí)的安全報(bào)告，三分鐘就能做出來。

一場網(wǎng)絡(luò)世界的瘟疫爆發(fā)，幾分鐘之內(nèi)找到全球范圍了可能“感染”的設(shè)備，生成一份安全報(bào)告進(jìn)行預(yù)警。這究竟是如何做到的？白帽匯COO劉宇告訴雷鋒網(wǎng)，這全都得益于他們的“佛法”——  FOFA系統(tǒng)。

FOFA 是什么？

FOFA，按照官方說明，它是個(gè)搜索引擎，但并不是一個(gè)普通搜索引擎，起碼不是普通人能用的搜索引擎。

當(dāng)我們使用谷歌、百度這類常規(guī)搜索引擎時(shí)，只需要說人話 —— 輸入文字就行，但在 FOFA 搜索引擎里你卻“不能說人話”，而必須用程序化的語言，否則 FOFA 可能拒絕和你溝通。

【不說“人話”的FOFA搜索引擎】

當(dāng)然，為了初次見面更愉快， FOFA 搜索引擎配備了長長的語法說明：

【FOFA系統(tǒng)的查詢語法】

當(dāng)然，F(xiàn)OFA 搜索引擎檢索到的內(nèi)容并不是平常的文字、照片等內(nèi)容，而是：

• 服務(wù)器

• 數(shù)據(jù)庫

• 某個(gè)網(wǎng)站管理后臺(tái)

• 路由器

• 交換機(jī)

• 公共ip的打印機(jī)

• 網(wǎng)絡(luò)攝像頭

• 門禁系統(tǒng)

• Web服務(wù)

• ……

正因如此，F(xiàn)OFA 這類搜索引擎又有另一個(gè)名字：網(wǎng)絡(luò)空間測繪系統(tǒng)?！?它們就像是現(xiàn)實(shí)生活中的衛(wèi)星地圖那樣，一點(diǎn)點(diǎn)勾勒出公共網(wǎng)絡(luò)空間的樣子，每一個(gè)網(wǎng)站、每一臺(tái)公共環(huán)境下的服務(wù)器……當(dāng)一個(gè)高危漏洞爆發(fā)，F(xiàn)OFA系統(tǒng)便能向衛(wèi)星定位地址一樣，通過特征迅速找到全網(wǎng)的脆弱設(shè)備。

【圖片來自谷歌地球衛(wèi)星圖】

“支離破碎”的網(wǎng)絡(luò)空間

在完美主義者羅永浩的眼中，這是個(gè)支離破碎的世界；在FOFA的眼中，網(wǎng)絡(luò)空間也是支離破碎的世界。當(dāng)安全人員需要用FOFA系統(tǒng)尋找某些設(shè)備時(shí)，他需要用“支離破碎”的語言來檢索。

比如要找“北京所有教育網(wǎng)站可遠(yuǎn)程連接的數(shù)據(jù)庫”，你需要在FOFA引擎中輸入：

• City=Beijing（城市為北京）

• Host=edu.cn（教育網(wǎng)站）

• Port=3306 (MySQL數(shù)據(jù)庫常用的遠(yuǎn)程端口）

對(duì)于普通人來說，F(xiàn)OFA搜索引擎的查詢語法或許難以上手，但劉宇卻告訴雷鋒網(wǎng)，這正是FOFA系統(tǒng)的一大特點(diǎn)。

劉宇說，所有搜索引擎都會(huì)利用非惡意爬蟲來采集服務(wù)器和網(wǎng)站的公開數(shù)據(jù)，F(xiàn)OFA也是如此。當(dāng)它爬取到的設(shè)備和網(wǎng)站信息后，會(huì)將數(shù)據(jù)打散成一個(gè)個(gè)非常細(xì)小的特征，讓使用者可以像拼積木一樣自由組合這些特征，從而有了更大的發(fā)揮余地。

【基于特征檢索-亂入的表情包】

劉宇打了個(gè)比方，當(dāng)人們?nèi)ベI電腦，不了解電腦配置的人一般傾向于買整機(jī)，而極客、發(fā)燒友則傾向于單獨(dú)買來處理器、主板、顯卡……然后自己攢機(jī)。FOFA就是這樣，它將采集到的所有信息用非常細(xì)粒度的形式呈現(xiàn)給使用者，讓他們自己來自定義檢索規(guī)則?！?nbsp;極客們都喜歡自己動(dòng)手、愛折騰，而FOFA就是給極客們用的。

“撒旦”和“佛法”

其實(shí)這類“黑客專用”的搜索引擎并非 FOFA 首創(chuàng)，早在 2009 年的世界黑客大會(huì) DEFCON 上，一個(gè)名為“Shodan”的網(wǎng)絡(luò)空間搜索引擎一經(jīng)公布就掀起了軒然大波。當(dāng)時(shí)人們驚奇地發(fā)現(xiàn)，透過一塊小小的電腦屏幕，竟能瞬間找到世界另一端的脆弱設(shè)備、攝像頭、打印機(jī)……

于是，一種全新的黑客攻擊手法誕生了：

原本攻擊者需要利用漏洞掃描器對(duì)一個(gè)個(gè)服務(wù)器、網(wǎng)站進(jìn)行掃描，如今只需要利用 Shodan 搜索引擎，瞬間就能找到成千上萬存在同樣漏洞的設(shè)備，然后在極短的時(shí)間內(nèi)拿下他們。

 步槍變成了機(jī)關(guān)槍，單體攻擊變成了AOE（群體傷害），世界范圍的地圖炮。

很快，Shodan 在輿論導(dǎo)向之下成了邪惡的代名詞，媒體驚呼它為“世界上最可怕的搜索引擎”、“黑暗搜索引擎”，甚至連中文名都被譯作“撒旦”。

FOFA系統(tǒng)的創(chuàng)造者，白帽匯CEO趙武告訴雷鋒網(wǎng)：

Shodan出現(xiàn)之后，許多攻擊者不再挨個(gè)掃網(wǎng)站漏洞，那樣效率太低，他們更喜歡“打時(shí)間差”—— 當(dāng)國外曝出一個(gè)高危漏洞后，他們迅速利用  Shodan 找到大量存在漏洞的服務(wù)，然后在企業(yè)反應(yīng)過來之前就完成滲透。

在趙武看來，既然攻擊者利用網(wǎng)絡(luò)空間搜索引擎來發(fā)現(xiàn)脆弱設(shè)備，那么防御者同樣能利用它來發(fā)現(xiàn)脆弱設(shè)備并及時(shí)修補(bǔ)，這便促成了FOFA系統(tǒng)的誕生。就像古代行軍打仗，地圖就在那里，哪一方能運(yùn)用得當(dāng)，哪一方就在更容易取得優(yōu)勢(shì)。在網(wǎng)絡(luò)世界里，白帽匯的趙武希望FOFA能成為幫助人們避開網(wǎng)絡(luò)攻擊的那張“地圖”。

“ 目前現(xiàn)實(shí)情況有些糟糕?！壁w武說，“對(duì)于許多稍大一些的企業(yè)，他們可能有數(shù)以千計(jì)的設(shè)備、服務(wù)。具體哪里有臺(tái)什么樣的服務(wù)器，裝了哪些服務(wù)，開了什么端口，這些網(wǎng)絡(luò)空間資產(chǎn)通常很難梳理清楚。有時(shí)一個(gè)大企業(yè)修補(bǔ)一個(gè)漏洞就花好幾天，就是因?yàn)閷?duì)自己的網(wǎng)絡(luò)空間資產(chǎn)梳理不清楚導(dǎo)致的?！?/p>

世界總是趨于混亂，就像我們電腦里的文件系統(tǒng)一樣，當(dāng)文件夾層級(jí)越來越多，即使文件結(jié)構(gòu)再清晰，也會(huì)經(jīng)常找不到想要的文件。這時(shí)就該換個(gè)思路，需要通過做標(biāo)簽，搜索的方式來查找。而 FOFA 就可以充當(dāng)這么一個(gè)資產(chǎn)檢索和梳理的角色。

當(dāng)一個(gè)漏洞爆發(fā)時(shí)，在一個(gè)企業(yè)中，如果防御者能最短的時(shí)間內(nèi)檢索到自己的脆弱設(shè)備并保護(hù)起來，就能最大限度地讓自己免遭攻擊；在全網(wǎng)范圍內(nèi)，如果能盡快找到這些脆弱設(shè)備并聯(lián)合國家相關(guān)安全機(jī)構(gòu)作出預(yù)警，就能最快地控制住“網(wǎng)絡(luò)疫情”，這便是趙武希望完成的事情。

如今每次出現(xiàn)大的漏洞情況，白帽匯總會(huì)第一時(shí)間出具相關(guān)的漏洞情況報(bào)道，提醒企業(yè)進(jìn)行安全防范。而他們也告訴雷鋒網(wǎng)編輯，F(xiàn)OFA企業(yè)版已經(jīng)積累了數(shù)千條規(guī)則，幫助不少公司提高了安全防范能力。

在趙武看來，Shodan 之所以被稱之為“最可怕的搜索引擎”，一部分原因在于太多人缺乏網(wǎng)絡(luò)安全意識(shí)，讓許多私有的服務(wù)器、數(shù)據(jù)庫、攝像頭被毫不設(shè)防地暴露在四通八達(dá)的互聯(lián)網(wǎng)中。

一個(gè)搜索引擎本不具有任何破壞力，它的意義在于為網(wǎng)絡(luò)世界建立了新的連接方式，讓原本混沌的網(wǎng)絡(luò)世界更透明、陽光，這種陽光、透明最初坑讓沒準(zhǔn)備好的人感到不適，但最終它將推動(dòng)整個(gè)行業(yè)的正向發(fā)展。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。