物聯網 IoT 的金手指 Shodan

恐佈分子攻擊基建設施，向來只是電影中的橋段，但 IoT (Internet of Things) 和 Shodan 的出現，卻間接令這些威脅成為現實。
攻擊基建設施其實並非新事，過去美國和以色列就被揭發曾開發名為Stuxnet的蠕蟲，破壞「邪悪帝國」伊朗的核電廠離心機。當年開發Stuxnet的花費是天文數字，原因是要取得攻擊目標的資料十分困難，加上核電廠的離心機沒有直接連線到Internet，令Stuxnet不得不採用USB隨身碟的感染方法。 IoT 被形容為IT界的工業革命，但很少人會關注它的安全性，令它更容易成為攻擊其他設施的跳板。

話雖如此，但要怎樣才可以找到有漏洞的 IoT 裝置？答案便是使用 IoT 搜尋引擎 Shodan 。早在2012年的DefCon資訊安全大會上，獨立資訊安全測試人員Dan Tentler就演示了如何利用 Shodan ，找出蒸發冷卻器、高壓熱水器和車庫大門的控制系統。他發現了一個在丹麥的冰球場，只要在網上點擊一個按鈕，即可進行除冰。一座城市的整個交通控制系統都連接至互聯網，只要輸入一個命令，即可讓其進入測試模式。他甚至找到了法國一個水電站的控制系統，該水電站配備兩個渦輪，每個能產生3兆瓦電力。

Shodan 不像Google等傳統的搜尋引擎，利用Web爬蟲去遍歷你整個網站，而是對各類設備埠號產生的系統旗標資訊(Banners)進行審計，從而找出所有何連線到Internet的設備。每個月 Shodan 都會在約4.8億台聯網設備上蒐集資訊，在 Shodan 上除了找得到在特定國家、地區、經緯度、IP位址範圍的伺服器、視像鏡頭、印表機和路由器外，還可找到家居自動化設備、水上樂園和加油站的控制系統、飯店的冰箱，甚至火葬場設備。有資訊安全研究人員甚至從中發現了核電站控制系統，以及粒子加速器。

但如何入侵這些找到的設備？只要在 Shodan 上以default password作為關鍵詞搜尋，便可以看到無數以admin為用戶名稱，123456為密碼的印表機、伺服器和系統控制設備。許多系統甚至完全沒有密碼，只要使用瀏覽器即可建立連線。在2014年日本政府的資訊安全部門IPA，就曾對其國內的IoT裝置實況進行調查，發現超過1,400萬台的裝置可在 Shodan 上找到，當中包括大量具影印和傳真功能的多功能複合機、路由器、NAS和視像會議設備。

這些多功能複合機為方便用戶，很多時候都儲存了影印和傳真的備份，極可能成為盜取商業機密的對象。部分NAS等設備亦具備郵件轉發、甚至DNS和NTP等功能，不但有可能被用作傳送垃圾郵件，更有可能成為攻擊其他設備的跳板。看似很可怕的漏洞，要防範其實很簡單，只要在 Shodan 上找出在我們控制範圍內的IoT設備，將不安全的用戶名稱密碼改回來就可以了，此舉已經足夠防範一般水平的黑客攻擊。正如 Shodan 創辦人John Matherly所說，Shodan只是一件工具，要為善還是作惡，往往只在一念之差。
主筆
麥經倫
2015年2月