只要知道往哪儿找,互联网上满是个人和公司敏感信息。黑客常常将盗取的信息发布在公开网站上,通过“刮取”这些帖子内容,应用“开源情报(OSINT)”收集的方法,往往可以获得匿名贴出的邮箱/口令组合(去年有150万对邮箱/口令组合贴出)。
这些凭证的公布,为受影响用户和公司带来了严重的潜在风险。然而,凭证还不是这些网站上贴出的唯一一类敏感信息。
IP地址用于标识互联网上的特定资源,很像是标定个人的街道地址。去年,超过380万个IP地址在Pastebin.com之类网站公开。
对个人而言,这不是什么太严重的风险源。但公司企业就会想知道,为什么自家公司防火墙、VPN、Web应用的IP地址会出现在黑客常访问的网站上。
对去年收集到的庞大IP地址数据集的进一步分析揭示,IP地址的发布既有恶意原因,也有善意的。比如说,OCD Tech 就曾捕捉过包含脆弱主机IP地址的“目标列表”。
“
对某IP地址所标识资源的漏洞利用和入侵尝试,往往也会被公开,包括对Web服务器和防火墙的攻击。另外,被入侵并托管着恶意软件的IP地址列表,也在网络内容刮取器监视网站上被标识了出来。
虽然Pastebin及类似网站上发布的大多数IP地址或许不代表着活跃威胁,也有其他原因需要监视你的公司、客户和供应商IP地址。举个例子,IT支持人员可能会将系统日志贴到这些公开网站上,共享日志是协作解决问题时的常用操作。另外,开发人员也会贴出专利脚本或应用代码,因为代码共享本就是此类网站最初的设计目的。
这些情况可导致公司所用系统敏感信息或知识产权的非授权或非故意泄露。
如果你公司的IP地址出现在这些网站上,你会想要知道这情况。然后,你就可以评估上下文,确定你面对的威胁种类和风险等级,采取相应的缓解措施。
为将这大量数据可视化,OCD Tech的瑞秋·伯曼开发了一款互动地图(http://ocd-tech.com/ip-leaks/),展示Pastebin.com及类似网站上出现的IP地址子集的地理位置。
该站点显示的是美国东部时间2017年7月19日下午3-4点间1小时内发现的1.8万个IP地址。这是随机挑选的一个时间段,为了限制展示的数据量,好合理呈现在地图上。
对每个找到的IP,都会执行DNS的‘whois’查询,找出该IP注册人信息及相关联的域名。然后,应用MaxMind的GeoLiteCity数据库大体确定经纬度。所有位置再添加到定制谷歌地图上。任意位置点的IP地址鼠标悬停可见。
经纬度信息未必准确。私人IP通常标定在其互联网服务提供商总部所在地。所有标记都放在给定最小区域的地理中心位置。
例如,很多IP都显示位于美国,除此之外再无其他信息。它们都被放在该国中心位置(具体讲,堪萨斯州的一个水库)。这造成了很多数据点都在同一个地理位置。
为使单个数据点可见,所有位置都随机微微偏移了一点点,只要放得足够大,即便同个位置有数百IP,依然可以看到大多数独立的数据点。
你的IP不是隐私信息,任何人都可以从你的网站上查到,被公开放到黑客常访问的网站上,未必就意味着你被黑了,但这也绝对也不是什么好事。
如果你发现自己的IP出现在这里,这可能指示着某个活跃或新兴威胁。IP地址是公司互联网身份的一部分,所以,不妨查看一下这个网站,看看你公司附近有没有公布什么IP,并记得这仅仅是整个数据集里极微小的一部分。