昨天下午自己的一个小数据库被某位仁兄给黑了。在上网寻找恢复方法的时偶然间发现了这个被喻为“最可怕”的搜索引擎——Shodan
玩了两天,感觉百度与Google与它相比就像两只乖乖的小绵羊。因为在Shodan上搜索出来的可不是单纯的信息,而是所有接入互联网的设备!比如你的电脑、手机、摄像头甚至打印机。
简单举个我正在体验的例子,如果感兴趣你也可以试试,我想这会让你对“网络安全”这四个字更加刻骨铭心。你可以打开www.shodan.io,然后搜索"JAWS/1.0"。然后从搜索结果中随意选择一个,并点击右上角的小箭头(如下图)
然后你应该会看到一个类似下图的登录页面。你可以尝试使用用户名为“admin”,使用空密码,或者111111,88888888,12345678等来进行登录。
然后大多数情况下你会看到下图这样的画面:
我现在告诉你,你正在看的,是某个私人摄像头的事实画面。你之所以能够看到它,是因为shodan帮你发现了它,而它的主人显然忘记了设定密码或者只是设定了简单的密码。上面的那张图片是我刚刚截的,看起来房子的主人正在装修。
这是远在希腊的一个摄像头画面,看起来像是一个工厂的门口,一群人正在准备上车离去。
这是土耳其的一个摄像头,应该也是工厂。显然这个主人为了更方便地监控使用了多个摄像头。而且每一个摄像头你都可以观看。
从搜索结果上看,这是一个从英国私人住宅门口的摄像头传来的画面。经常有路人从旁边路过。
这是美国私人住宅的多摄像头画面,包括门口、车库、花园、与后门。
如果你希望筛选出国内的结果,只需要在搜索时加入"country:'CN'"。或者跟精准的地理坐标信息,比如你家附近......Shodan支持很多更为精准的搜索维度,感兴趣的可以自行百度。昨天我就搜索到一位同城的,正对着卧室鱼缸的摄像头。国内的截屏就不放了,内容太刺激。
就像刚才讲的,Shodan能够搜到的不仅仅是摄像头。曾经有位仁兄搜得到了本国的核电站控制系统;还有通过Shodan控制别人家里智能音响的......如果你上网搜索‘Shodan’会发现很多有趣的新闻。
准备对Shodan持续关注一段时间。而且发现国内已经有了类似的模仿者,研究下它们的使用情况。