如果不出意外,今年黑帽大會上所提出的物聯網安全問題,在不久的將來會得到更多關注。
在未來幾年,數以億計的設備都有望連接到互聯網上,也就是這所謂的物聯網(IoT),它激起了一場數據生成和共享的革命。然而目前還比較模糊的是,那些生產出新的連接到網絡的設備廠家是否有考慮到安全性。
在2014美國黑帽大會上,各方面研究人員都談到了與物聯網有關事物的安全問題,包括容易被破解的汽車、智能恒溫器和衛星通信設備。
安全行業的大師級人物Dan Geer(In-Q-Tel公司的首席信息安全官),用一個警告為會議定下了基調:由于一大波連入網絡的新設備來襲,互聯網的攻擊面正在擴大,所以我們必須做一些準備。正如Geer過去所做的那樣,他這次強調了那些大量推出IoT設備的公司應該選擇是否定期對嵌入系統打補丁,而且除了補丁支持之外,需再為這些設備創建一個報廢日期,也就是他們基本停止運作的時間,這些都是非常有必要的。
Geer還指出,當談及對“軟件商業成功”的理解以及當一個攻擊者想要攻擊某個產品,對于這些成功軟件來說又會發生什么這樣的問題時,他寧愿聘請一些“更悲觀但是更聰明”的安全專家。但是即使是Geer,一位在安全行業誕生時就進入該行業的專家都感到要被物聯網壓倒。
Geer說:“沒有人經歷過我們現在所談到的這樣大規模的失敗。當你將所有事物相連接時,沒有人知道會發生什么。”
一切都可以被破解
從Geer的主題演講中得知,黑帽大會的研究人員幾乎可以破解我們所能想象的所有事物。
首先,Twitter公司的Charlie Miller和IOActive公司的Chris Valasek展示了如何用計算機操作系統控制一輛現代汽車上幾乎所有的操作,從剎車到方向盤到引擎。
Valasek在CNN的一個采訪中表示,機動車面板上就有一個網絡,如果這個網絡被攻擊者破解,那么他們就可以“從任意程度上模擬操作車上任何一個設備”。
舉例來說,這兩人展示了如何讓一輛低速移動的車偽裝成是機修工在修理制動器,這是當車的制動器壞掉不能運作時才能采取的操作。另一個黑客讓Valasek作為乘客,當Miller正在以40英里/小時駕駛時,Valasek突然將車的方向盤完全向左打,其實這也是車在停止或以非常低的速度運行時,才可以做到的事情。
研究人員還發布了一項研究成果,確定了目前一些主要的汽車制造商,包括本田、道奇和寶馬,所存在的攻擊面。與此同時,2014年吉普•切諾基被認為是“最容易被破解”的車型。豐田——黑客攻擊的制造商之一,提供的一份聲明中譴責了像Miller和Valasek這樣的研究者,豐田表示這些研究者需要到汽車上去實際體驗,部分拆解汽車的面板,為黑客問題保持一個硬性連接。福特(另一家在演示文稿中被強調的制造商)的一位發言人表示企業會非常重視汽車設備的黑客攻擊問題。
Miller和Valasek強調,他們的研究目的不是為了剝奪汽車上所提供的計算機系統和功能,而是想突出問題所在,希望制造商能夠解決這些問題。
Miller在CNN的采訪中說到:“汽車設備網絡化是給我們的生活提供了便利,滿足了我們的需求,但是這些設備的漏洞都是嚴重的問題,我們想要在這些問題變成實際的問題之前,解決掉這些麻煩。”
一方面,Miller和Valasek展示了地面交通可能遭受到的攻擊;另一方面,其它研究人員展示了空中交通的危險性。
Qualys公司危險情報的主管Billy Rios,首次透露了對于攻擊者來說,破解美國運輸安全管理局安置在全國各地機場的安全設備是多么簡單的事情。特別的是,Rio發現像Rapiscan和Morpho這樣的制造商經常在產品中設置了技師賬戶和相關的硬性連接密碼。
就Morpho Itemiser這個產品而言,它是一臺檢測爆炸物和毒品的掃描儀。Rio發現該設備依賴一個技術員級別,硬編碼的密碼,如果改變了賬戶或密碼就會破壞機器的功能。Rio指出,有幾種方法可以進入這個機器,包括通過組織接入互聯網的工資管理系統。
Rios說根據他和Terry McCorkle的研究結果,美國國土安全部7月發表了一篇公告,警告包含了硬編碼憑據并可以被遠程操控的Morpho Itemiser 3v 8.17設備。Morpho公司的一個代表在黑帽大會上表示老版本Itemiser所存在問題,會在今年年底通過替漏洞打上補丁而解決,而且公司會重視產品的安全性。雖然Rios還是質疑新的Itemiser DX是否能解決安全問題,但是他沒法購買包含類似漏洞的產品來進行研究。
Rios強調,美國運輸安全管理局(TSA)以后需要以更嚴格的安全標準來衡量供應商的產品。
Rios在黑帽大會演講時說:“美國運輸安全管理局(TSA)有足夠權力讓事情往正確的方向發展,而且他們也有責任這么做。”他還補充道,他自己只是一個擁有一臺筆記本,而且沒有預算的研究者就可以做到這樣的地步,這意味著每個人都可以為物聯網安全作出貢獻。
而且編碼的憑證不僅僅只是影響地面上的安全,正如IOActive的首席安全顧問Ruben Santamarta所指出的,飛機上的衛星通信(SATCOM)、軍事/航空航天工業與軌道衛星溝通時也存在類似的問題。
事實上,Santamarta以前還就這個問題發布了白皮書,發現他所研究的五個制造商的產品中都存在硬編碼憑證,包括Cobham Plc.、Harris公司、EchoStar公司的Hughes網絡系統, Iridium Communications公司和日本無線株式會社。硬編碼憑證將讓衛星通信裝置給惡意攻擊者提供潛在的操控可能性,如Cobham AVIATOR 700設備,其用于飛機上的通信、乘客在飛機上使用的wifi。Santamarta說Cobham公司的一個代表告訴他,他們的設備只有可能在兩種情況下受到攻擊,一種是有人物理訪問該設備,一種是網絡沒有正確安裝。
然而,Santamarta還是提出警示,他認為雖然不能肯定黑客會真正攻擊這些設備,但是他仍舊希望看到生產商能夠解決這個問題。
Santamarta說:“事實上漏洞還在這里,所以有可能被攻擊,也可能不被攻擊,但是歸根究底有些東西還是應該被完善。”
呼吁采取行動
雖然黑帽大會的黑客行為有時被描述為華而不實,但是惠普近期發布的一項研究提供了一些關于物聯網安全問題的數據。根據調查結果,物聯網70%的設備都存在易受攻擊的漏洞;使用用戶界面的60%設的備都存在如跨站點腳本和弱憑證這樣的漏洞;只有70%的設備都使用了加密的網絡服務。
這些數據都已經明確地將安全行業放在了準備進攻的位置。而安全行業的領導人物之一就是Sonatype公司的首席技術官,也是I Am The Cavalry組織的共同創辦人Josh Corman。I Am The Cavalry組織專門保護可能影響公共安全或人類健康的設備和系統。
不久之前,I Am the Cavalry組織給汽車制造商,還有Miller和Valasek這些研究者發了一封公開信,呼吁汽車行業和安全研究員之間的合作。信中還提出了五點安全最佳實踐清單——Five Star Automotive Cyber Safety Program,供生產商去完善。這封信作為一份請愿書被張貼在Change.org,至今收到的簽名超過300個。
Corman說他希望安全行業可以繼續和各廠商還有華盛頓的政客合作,以確保物聯網的安全。
Corman在接受卡達爾半島電視臺(Al-Jazeera America)的一個采訪中講到:
“我們正在試圖達到一個目標:讓設計、構建和部署數字基礎設施的人們都能夠更加自覺地考慮到目前所做的事情對人類生活會造成的影響。”