去年年底，南方不少地區(qū)出現(xiàn)了 H7N9（禽流感）的疫情，搞得許多地方人心惶惶，連吃個雞顧慮半天。

如果這時有人問我：“有沒有什么辦法，能快速定位全球所有 H7N9 病毒感染者和易感人群？” 我一定覺得他瘋了 —— 如果真有這樣的辦法，病情可能早就控制住了。

可如果換個問題：“在網(wǎng)絡世界，一個高危危漏洞爆發(fā)，就像現(xiàn)實生活中的疾病那樣迅速蔓延，影響成千上萬的設備和網(wǎng)站，有沒有辦法找到這些脆弱的網(wǎng)站和設備，以快速控制危害？”

我會回答：有，而且方法很簡單。

三分鐘找到全球所有“弱雞”設備

2017年1月，一場網(wǎng)絡瘟疫席卷全球互聯(lián)網(wǎng)，廣泛使用的 Elastic Search 被曝出安全隱患，攻擊者利用該隱患可以直接遠程刪除受害者的數(shù)據(jù)。短短一個月，全球至少上萬臺設備遭遇勒索——  不給錢？先刪庫，后跑路。

然而，在勒索風波剛開始不久，雷鋒網(wǎng)編輯就收到了白帽匯發(fā)來的一份《威脅情報預警：Elasticsearch 勒索事件報告》，上面竟清晰展示了受勒索事件影響的設備在全球的分布情況：

• 全球中受影響最多的為美國4380臺，其次是中國第二944臺。法國787臺，愛爾蘭462臺，新加坡418臺。

• 其中，中國受害的有944臺。其中，浙江省受影響最嚴中，有498臺，其次是北京，186臺，上海52臺，湖南43臺，上海42臺。

甚至，連每一波勒索者留下的勒索信息以及被勒索設備的一些詳細情況都一一說明，報告的末尾還附帶了相應的防御策略。

但更令人驚訝的是，雷鋒網(wǎng)得知，這樣一份全球范圍調(diào)查、內(nèi)容詳實的安全報告，三分鐘就能做出來。

一場網(wǎng)絡世界的瘟疫爆發(fā)，幾分鐘之內(nèi)找到全球范圍了可能“感染”的設備，生成一份安全報告進行預警。這究竟是如何做到的？白帽匯COO劉宇告訴雷鋒網(wǎng)，這全都得益于他們的“佛法”——  FOFA系統(tǒng)。

FOFA 是什么？

FOFA，按照官方說明，它是個搜索引擎，但并不是一個普通搜索引擎，起碼不是普通人能用的搜索引擎。

當我們使用谷歌、百度這類常規(guī)搜索引擎時，只需要說人話 —— 輸入文字就行，但在 FOFA 搜索引擎里你卻“不能說人話”，而必須用程序化的語言，否則 FOFA 可能拒絕和你溝通。

【不說“人話”的FOFA搜索引擎】

當然，為了初次見面更愉快， FOFA 搜索引擎配備了長長的語法說明：

【FOFA系統(tǒng)的查詢語法】

當然，F(xiàn)OFA 搜索引擎檢索到的內(nèi)容并不是平常的文字、照片等內(nèi)容，而是：

• 服務器

• 數(shù)據(jù)庫

• 某個網(wǎng)站管理后臺

• 路由器

• 交換機

• 公共ip的打印機

• 網(wǎng)絡攝像頭

• 門禁系統(tǒng)

• Web服務

• ……

正因如此，F(xiàn)OFA 這類搜索引擎又有另一個名字：網(wǎng)絡空間測繪系統(tǒng)。—— 它們就像是現(xiàn)實生活中的衛(wèi)星地圖那樣，一點點勾勒出公共網(wǎng)絡空間的樣子，每一個網(wǎng)站、每一臺公共環(huán)境下的服務器……當一個高危漏洞爆發(fā)，F(xiàn)OFA系統(tǒng)便能向衛(wèi)星定位地址一樣，通過特征迅速找到全網(wǎng)的脆弱設備。

【圖片來自谷歌地球衛(wèi)星圖】

“支離破碎”的網(wǎng)絡空間

在完美主義者羅永浩的眼中，這是個支離破碎的世界；在FOFA的眼中，網(wǎng)絡空間也是支離破碎的世界。當安全人員需要用FOFA系統(tǒng)尋找某些設備時，他需要用“支離破碎”的語言來檢索。

比如要找“北京所有教育網(wǎng)站可遠程連接的數(shù)據(jù)庫”，你需要在FOFA引擎中輸入：

• City=Beijing（城市為北京）

• Host=edu.cn（教育網(wǎng)站）

• Port=3306 (MySQL數(shù)據(jù)庫常用的遠程端口）

對于普通人來說，F(xiàn)OFA搜索引擎的查詢語法或許難以上手，但劉宇卻告訴雷鋒網(wǎng)，這正是FOFA系統(tǒng)的一大特點。

劉宇說，所有搜索引擎都會利用非惡意爬蟲來采集服務器和網(wǎng)站的公開數(shù)據(jù)，F(xiàn)OFA也是如此。當它爬取到的設備和網(wǎng)站信息后，會將數(shù)據(jù)打散成一個個非常細小的特征，讓使用者可以像拼積木一樣自由組合這些特征，從而有了更大的發(fā)揮余地。

【基于特征檢索-亂入的表情包】

劉宇打了個比方，當人們?nèi)ベI電腦，不了解電腦配置的人一般傾向于買整機，而極客、發(fā)燒友則傾向于單獨買來處理器、主板、顯卡……然后自己攢機。FOFA就是這樣，它將采集到的所有信息用非常細粒度的形式呈現(xiàn)給使用者，讓他們自己來自定義檢索規(guī)則。—— 極客們都喜歡自己動手、愛折騰，而FOFA就是給極客們用的。

“撒旦”和“佛法”

其實這類“黑客專用”的搜索引擎并非 FOFA 首創(chuàng)，早在 2009 年的世界黑客大會 DEFCON 上，一個名為“Shodan”的網(wǎng)絡空間搜索引擎一經(jīng)公布就掀起了軒然大波。當時人們驚奇地發(fā)現(xiàn)，透過一塊小小的電腦屏幕，竟能瞬間找到世界另一端的脆弱設備、攝像頭、打印機……

于是，一種全新的黑客攻擊手法誕生了：

原本攻擊者需要利用漏洞掃描器對一個個服務器、網(wǎng)站進行掃描，如今只需要利用 Shodan 搜索引擎，瞬間就能找到成千上萬存在同樣漏洞的設備，然后在極短的時間內(nèi)拿下他們。

 步槍變成了機關(guān)槍，單體攻擊變成了AOE（群體傷害），世界范圍的地圖炮。

很快，Shodan 在輿論導向之下成了邪惡的代名詞，媒體驚呼它為“世界上最可怕的搜索引擎”、“黑暗搜索引擎”，甚至連中文名都被譯作“撒旦”。

FOFA系統(tǒng)的創(chuàng)造者，白帽匯CEO趙武告訴雷鋒網(wǎng)：

Shodan出現(xiàn)之后，許多攻擊者不再挨個掃網(wǎng)站漏洞，那樣效率太低，他們更喜歡“打時間差”—— 當國外曝出一個高危漏洞后，他們迅速利用  Shodan 找到大量存在漏洞的服務，然后在企業(yè)反應過來之前就完成滲透。

在趙武看來，既然攻擊者利用網(wǎng)絡空間搜索引擎來發(fā)現(xiàn)脆弱設備，那么防御者同樣能利用它來發(fā)現(xiàn)脆弱設備并及時修補，這便促成了FOFA系統(tǒng)的誕生。就像古代行軍打仗，地圖就在那里，哪一方能運用得當，哪一方就在更容易取得優(yōu)勢。在網(wǎng)絡世界里，白帽匯的趙武希望FOFA能成為幫助人們避開網(wǎng)絡攻擊的那張“地圖”。

“ 目前現(xiàn)實情況有些糟糕。”趙武說，“對于許多稍大一些的企業(yè)，他們可能有數(shù)以千計的設備、服務。具體哪里有臺什么樣的服務器，裝了哪些服務，開了什么端口，這些網(wǎng)絡空間資產(chǎn)通常很難梳理清楚。有時一個大企業(yè)修補一個漏洞就花好幾天，就是因為對自己的網(wǎng)絡空間資產(chǎn)梳理不清楚導致的?！?/p>

世界總是趨于混亂，就像我們電腦里的文件系統(tǒng)一樣，當文件夾層級越來越多，即使文件結(jié)構(gòu)再清晰，也會經(jīng)常找不到想要的文件。這時就該換個思路，需要通過做標簽，搜索的方式來查找。而 FOFA 就可以充當這么一個資產(chǎn)檢索和梳理的角色。

當一個漏洞爆發(fā)時，在一個企業(yè)中，如果防御者能最短的時間內(nèi)檢索到自己的脆弱設備并保護起來，就能最大限度地讓自己免遭攻擊；在全網(wǎng)范圍內(nèi)，如果能盡快找到這些脆弱設備并聯(lián)合國家相關(guān)安全機構(gòu)作出預警，就能最快地控制住“網(wǎng)絡疫情”，這便是趙武希望完成的事情。

如今每次出現(xiàn)大的漏洞情況，白帽匯總會第一時間出具相關(guān)的漏洞情況報道，提醒企業(yè)進行安全防范。而他們也告訴雷鋒網(wǎng)編輯，F(xiàn)OFA企業(yè)版已經(jīng)積累了數(shù)千條規(guī)則，幫助不少公司提高了安全防范能力。

在趙武看來，Shodan 之所以被稱之為“最可怕的搜索引擎”，一部分原因在于太多人缺乏網(wǎng)絡安全意識，讓許多私有的服務器、數(shù)據(jù)庫、攝像頭被毫不設防地暴露在四通八達的互聯(lián)網(wǎng)中。

一個搜索引擎本不具有任何破壞力，它的意義在于為網(wǎng)絡世界建立了新的連接方式，讓原本混沌的網(wǎng)絡世界更透明、陽光，這種陽光、透明最初坑讓沒準備好的人感到不適，但最終它將推動整個行業(yè)的正向發(fā)展。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。