騰訊科技訊（林靖東）北京時間4月10日消息，《財富》網(wǎng)站今日刊登了一篇關(guān)于Shodan搜索引擎的評論文章，聲稱Shodan實(shí)際上是一種比谷歌(微博)更強(qiáng)大和更可怕的搜索引擎。

文章主要內(nèi)容如下：

很多人可能認(rèn)為谷歌的搜索引擎已經(jīng)非常強(qiáng)大了，但是實(shí)際上還有一種比谷歌更可怕的搜索引擎，那就是Shodan。

Shodan的開發(fā)者約翰馬瑟利（John Matherly）稱：“人們在谷歌上找不到某些內(nèi)容時，他們就認(rèn)為沒有人能夠找到它。但那是不對的。”

與谷歌通過網(wǎng)址來搜索互聯(lián)網(wǎng)的方式不同，Shodan通過互聯(lián)網(wǎng)背后的通道來搜索信息。它就象是一種“黑暗”的谷歌，不斷在尋找服務(wù)器、網(wǎng)絡(luò)攝像頭、打印機(jī)、路由器和其他與互聯(lián)網(wǎng)連接及構(gòu)成互聯(lián)網(wǎng)的一切東西。

Shodan日夜不停地在運(yùn)行著，每月可在互聯(lián)網(wǎng)上搜索到大約5億個連網(wǎng)設(shè)備和服務(wù)。

Shodan的搜索能力是極其驚人的。無數(shù)交通燈、安全攝像頭、家庭自動化設(shè)備和加熱系統(tǒng)都連接著互聯(lián)網(wǎng)，Shodan可以很輕松地找到它們。

曾經(jīng)有人利用Shodan找到某個水上公園、某個加油站、某家酒店的葡萄酒冷庫甚至某個火葬場的控制系統(tǒng)。網(wǎng)絡(luò)安全研究員們還曾經(jīng)利用Shodan找到過核電廠的指揮和控制系統(tǒng)和一個離子回旋加速器。

Shodan能夠找到任何東西，這也正是它的可怕之處。關(guān)于Shodan的這種能力，有一點(diǎn)值得注意，那就是那些連網(wǎng)的設(shè)備幾乎都沒有安裝任何安全防護(hù)工具。

Rapid 7的首席安全官HD摩爾（HD Moore）稱：“這是安全上的一個重大失敗。”出于研究的目的，摩爾運(yùn)行著一個私有版本的、類似于Shodan數(shù)據(jù)庫。

搜索“默認(rèn)密碼”可以發(fā)現(xiàn)無數(shù)打印機(jī)、服務(wù)器和系統(tǒng)控制設(shè)備都將“admin”作為它們的管理員用戶名，將“1234”作為密碼。還有很多連網(wǎng)系統(tǒng)根本就不要認(rèn)證。你只需要一個網(wǎng)絡(luò)瀏覽器就可以與它們連網(wǎng)了。

在去年的Defcon網(wǎng)絡(luò)安全大會上，獨(dú)立安全滲透測試員丹滕特勒（Dan Tentler）演示了他如何利用Shodan發(fā)現(xiàn)蒸發(fā)冷卻器、加壓熱水器和汽車庫門的控制系統(tǒng)。

他發(fā)現(xiàn)了一個可以開啟和關(guān)閉的洗車處和丹麥的一家可以一鍵除霜的冰球場。一個城市的整個交通控制網(wǎng)絡(luò)都被連接在互聯(lián)網(wǎng)上，只要一條簡單的指令就可以將該系統(tǒng)轉(zhuǎn)變成“測試模式”。他還發(fā)現(xiàn)了法國一家雙渦輪、總功率為6兆瓦的水力發(fā)電廠的控制系統(tǒng)。

如果Shodan被壞人掌握和利用的話，情況就糟糕了。這簡直太可怕了。

滕特勒說：“你可以利用它進(jìn)行一些非常嚴(yán)重的破壞。”

為什么這些連網(wǎng)設(shè)備都不設(shè)防呢？有些設(shè)備是必須與互聯(lián)網(wǎng)連接在一起的，比如可以利用iPhone控制的門鎖，人們通常相信那些設(shè)備是很難被發(fā)現(xiàn)的。只有當(dāng)事情發(fā)生之后，人們才開始認(rèn)識到安全的重要性。

還有一個更大的問題是，這些設(shè)備中的許多設(shè)備根本就無需連網(wǎng)。企業(yè)經(jīng)常會購買一些他們能夠掌控的系統(tǒng)，比如配備計算機(jī)的加熱系統(tǒng)。他們?nèi)绾螌⒂嬎銠C(jī)與加熱系統(tǒng)連接在一起呢？并不是直接相連，很多IT部門會將它們都插在一個網(wǎng)絡(luò)服務(wù)器上，然后進(jìn)行共享。但是，它們同時也與外網(wǎng)連接在了一起。

馬瑟利稱：“當(dāng)然，這些設(shè)備不存在安全問題。首先，它們并不屬于互聯(lián)網(wǎng)。”

好消息是Shodan幾乎都被用到了合理的解決方案之中。

馬瑟利在3年前完成了Shodan的研發(fā)工作。如果沒有帳戶的話，Shodan的搜索結(jié)果頁面只會顯示10個條目，而有帳戶的話，搜索結(jié)果頁面可以顯示50個條目。如果想要看到所有的結(jié)果，則需提交更多的信息以及付費(fèi)。

滲透測試員、安全專家、學(xué)術(shù)研究者以及執(zhí)法機(jī)關(guān)是Shodan的主要用戶。馬瑟利承認(rèn)，壞人也可以利用Shodan。但他同時也補(bǔ)充說，網(wǎng)絡(luò)罪犯通常都可以訪問傀儡網(wǎng)絡(luò)。傀儡網(wǎng)絡(luò)是由大量被攻破的計算機(jī)組成，它可以在不影響性能的條件下完成相同的任務(wù)。

迄今為止，大多數(shù)網(wǎng)絡(luò)攻擊的歐集中在竊取金錢和知識產(chǎn)權(quán)等上面。壞人還沒有嘗試過摧毀某一個城市里的大樓或關(guān)閉某個城市所有的交通燈。

安全專家們希望這有助于避免基于Shodan的連網(wǎng)設(shè)備和服務(wù)被發(fā)現(xiàn)，并且向系統(tǒng)管理員發(fā)出警告。與此同時，互聯(lián)網(wǎng)上本來就有很多可怕的東西，它們沒有任何安全防護(hù)措施，只等著被攻擊。