針對智能家居產品、醫療器械、SCADA系統及其他聯網系統的攻擊標志著物聯網開始面臨新一波的攻擊。
最近不斷爆出的分布式拒絕服務(DDoS)攻擊涉及使用成千上萬中招的數字錄像機和IP攝像頭,突顯了物聯網構成的安全威脅。
調研公司Juniper Research估計,從現在到2020年年底,與互聯網連接的“物件”數量將從135億個增加到385億個,增幅超過285%。
其中數量猛增的將是無數的家用電器,比如智能冰箱、電視、娛樂系統、監控攝像頭、智能供暖和照明系統。據Juniper公司聲稱,但其中大多數還是來自工業和公共部門,具體表現為嵌入在聯網設備、農業設備、公用電網以及其他領域的聯網設備。
安全研究人員擔心,隨著越來越多的物件連接到互聯網,不法分子將會有一個幾乎無限大的攻擊面,可以趁機發動新型攻擊。
這是由于成為物聯網一部分的設備幾乎沒有什么安全保護措施可以防范通過網絡傳播的威脅,常常很容易被人鉆空子。至少眼下,沒有什么標準來規定物聯網設備的安全要求,尤其是在消費者領域。
Fastly公司的內容分發網絡安全研究主管喬斯·納扎里奧(Jose Nazario)說:“工廠紛紛生產出與互聯網連接的設備,但是以驚人的速度被惡意軟件或惡意代碼感染。”
物聯網設備為攻擊者提供了帶寬和處理器資源,幾乎就是免費提供的。他預測,在今后幾年,“由于不安全的物聯網設備越來越多,網絡犯罪分子會擁有極多的資源,可以更迅速、更大規模地發動新的攻擊。”
在過去幾年間,研究人員已演示了針對各種設備的諸多概念證明攻擊,從聯網的嬰兒監視器到聯網汽車,不一而足。這些演示表明攻擊者可以如何利用保護不力的物聯網設備破壞物理系統、窺視人員,以及發動大規模的拒絕服務攻擊。
下面列出了已經被黑客攻擊、演示證明易受攻擊,或者最有可能在未來受到攻擊的幾種物聯網設備,沒有什么特別的順序。
家庭網絡路由器
在如今家里所有與互聯網連接的設備中,網絡路由器仍然絕對是頭號攻擊目標。Avast Software公司在今年早些時候的一篇博文中說:“大多數互聯網路由器(可謂是家庭網絡的基礎)存在大量安全問題,這讓它們很容易被黑客盯上。”
該博文提到了Tripwire對653名IT專業人員和約1000名遠程員工開展的一項調查;調查顯示,80%的暢銷小型辦公室/家庭辦公(SOHO)無線路由器存在安全漏洞。在該調查提到的50款SOHO路由器中,34款路由器存在已發布的安全漏洞。
Avast特別指出,全球50%以上的路由器使用默認或基本的用戶名和密碼組合,比如“admin”和“password”,而另外的25%使用用戶的地址、生日或姓名作為密碼。“因此,所有路由器中75%以上很容易受到簡單的密碼攻擊,簡直就是在公開邀請惡意黑客下手。”
攻擊者已開始利用易受攻擊的家庭路由器來創建僵尸網絡,用于轉發垃圾郵件和發動DDoS攻擊,也就不足為奇了。KrebsOnSecruity網站受到的攻擊實際上被認為是由數以千計的中招的家庭路由器和IP攝像頭來實施的。
數字錄像機(DVR)
幾乎家家戶戶都有機頂盒,人們在家里用它來錄制電視節目,它已成為攻擊者最喜歡下手的另一個目標。研究已發現,中招的數字錄像機與最近的大規模DDoS攻擊有關聯,研究人員提醒攻擊者創建這種設備組成的龐大僵尸網絡,用于各種不當用途。
與家庭路由器一樣,數字錄像機常常隨帶不力或幾乎就沒有的安全控制機制。許多設備以硬編碼或默認的密碼和用戶名連接到互聯網。來自多家廠商的數字錄像機常常集成了來自同一家供應商的部件。因而,一個產品中的安全漏洞可能也存在于另一家廠商的產品中。
安全廠商Flashpoint最近分析了牽涉物聯網設備的DDoS攻擊中使用的惡意代碼。該公司發現,惡意軟件利用的大量數字錄像機預裝有來自某一家廠商的管理軟件。供應商將數字錄像機、網絡錄像機(NVR)和IP攝像頭板卡賣給眾多廠商,然后這些廠商又將這些部件用在各自的產品中。Flashpoint估計,由于來自這一家廠商的易受攻擊的部件,超過50萬個聯網數字錄像機、網絡錄像機和IP攝像頭很容易受到攻擊代碼的襲擊。
智能冰箱/智能家居產品
2014年1月,安全廠商Proofpoint的一名研究人員在分析垃圾郵件及通過電子郵件傳播的其他威脅時發現,至少有一臺與互聯網連接的冰箱被用于轉發垃圾郵件。
這起事件率先證明了分析師們一段時間以來所強調的事實:如今安裝在家里的許多聯網設備(比如智能冰箱、電視、數字助理、智能供暖和照明系統)極其脆弱。
Tripwire的安全研究和開發高級主管拉馬爾·貝利(Lamar Bailey)說:“冰箱、個人助理和電視有足夠強大的處理能力可用于僵尸網絡,或用作闖入網絡其余部分的入口點。”Tripwire在概念驗證攻擊中闖入了許多這樣的設備。
ForeScout Technologies的戰略主管佩德羅·阿布魯(Pedro Abreu)表示,這類設備在企業環境下也構成了威脅。比如說,通過辦公休息室中的聯網冰箱居然可以闖入含有企業數據的系統,許多人可能沒有料到這一點。
阿布魯說:“這倒不是為了闖入冰箱,而是為了通過冰箱獲得網絡訪問權。由于聯網冰箱連接到企業網絡上,又連接到企業應用程序上,黑客就可以鉆聯網冰箱的空子,獲得寶貴的企業數據和客戶數據。”
“我們非常關注‘不尋常的嫌疑對象’――乍一看那些設備似乎并沒有構成安全風險,但如果你仔細觀察一下,就會發現岌岌可危。”
植入式醫療設備
無線聯網的植入式醫療設備(比如胰島素泵、起搏器和除顫器)的安全漏洞讓它們成為惡意攻擊的誘人目標。近些年來,安全研究人員已表明攻擊者如何利用這些設備中未加密、通常薄弱的通信協議來遠程控制它們,并且讓它們出現可能致命的行為。
2013年,前副總統迪克·切尼的醫生甚至禁用了他體內起搏器的無線功能,唯恐攻擊者闖入起搏器。
就在今年10月,Rapid7的一名安全研究人員演示了攻擊者如何利用Animas胰島素泵的無線管理協議和配對協議存在的弱點,之后消費品巨頭強生公司被迫提醒用戶其胰島素泵可能存在隱患。這個安全漏洞會讓攻擊者得以遠程訪問Animas胰島素泵,并讓他們向設備佩戴者釋放致命劑量的胰島素。
Arxan的首席技術官薩姆·雷曼(Sam Rehman)說,實施這種攻擊相對不需要費太大的力氣。
雷曼說:“技術創新將大量產品推向市場,因而加大了攻擊面。由于越來越多的設備連接到互聯網、打開通信線路,這顯然降低了黑客獲得訪問權、破壞醫療設備所需的難度和技能。”
SCADA系統
很少有人認為用來管理工業控制設備和關鍵基礎設施的監控和數據采集(SCADA)系統是物聯網的一部分,但它們確實是物聯網的一部分。就像其他許多物聯網設備一樣,它們也易受攻擊。
就在不及前,SCADA系統還沒有連接到互聯網,因此其實不需要與互聯網連接的其他系統那樣的同一種安全控制機制。然而,由于近些年來許多SCADA系統開始聯網,相對缺乏控制(包括硬編碼的密碼和糟糕的修補流程)已成為一個大問題。
Rubicon Labs的產品副總裁羅德·舒爾茨(Rod Schultz)說:“工業控制器(已安裝到位、難以更新的SCADA系統)尤其容易受到攻擊。控制任何一種動能(水力、電力和核電)或關鍵業務信息(比如銀行和金融數據)的任何控制系統都被認為是目標。”
針對這些系統的攻擊可能會帶來嚴重后果。早在2007年,研究人員就證明了攻擊者如何通過攻擊控制電網設備的SCADA系統來破壞這類設備。但破壞物理系統不是唯一要擔心的。
舒爾茨表示,攻擊者可能將中招的SCADA系統用于DDoS攻擊或勒索軟件攻擊。他說:“物聯網攻擊將變成利潤中心。當然,金融系統是顯而易見的目標,我們將SCADA系統也視作重大的、易受攻擊的目標。”
嬰兒監視器
用于監視嬰兒的消費級產品是另一類易受攻擊和危及的物聯網設備。
安全廠商Rapid7去年檢查了多家廠商提供的幾款聯網視頻嬰兒監視器和相關的云服務,結果發現當中存在10個安全漏洞。
發現的問題包括硬編碼密碼、未加密通信、權限升級、容易猜中的密碼、后門帳戶以及讓攻擊者可以篡改設備功能的缺陷。
這些安全漏洞讓攻擊者得以劫持視頻會話,查看存儲在云端的視頻,或者全面控制嬰兒監視器。所有這些缺陷都很容易被人鉆空子,讓攻擊者對中招設備擁有程度不一的遠程控制權。
Rapid7在宣布這些安全漏洞時特別指出,這類易受攻擊的設備如何對連接到家庭網絡的任何計算機構成威脅,包括遠程辦公人員使用的那些計算機。
Rapid7警告說,被感染的物聯網設備可能“被用于通過利用典型家庭網絡的不分段、完全信任這一特性,轉而攻擊其他設備和傳統計算機。”
聯網汽車
與SCADA系統一樣,認為汽車是物聯網一部分的人可能也不多。而事實是,現代汽車里面的眾多部件通過網絡即可訪問,暴露在通過網絡傳播的威脅面前。
與其他許多物聯網威脅一樣,還沒有出現過公開已知的情況:攻擊者設法利用聯網汽車中保護不力的電子部件來搞破壞。不過安全研究人員已多次演示了這種威脅到底有多么真實。
最引人注目的例子依然來自優步(Uber)先進技術中心的兩位安全研究人員克里斯·瓦拉塞克(Chris Valasek)和查利·米勒(Charlie Miller)。在過去的兩年間,這兩位研究人員演示了他們可以如何利用吉普切諾基的控制器局域網中的漏洞,遠程控制這款車的加速器、制動系統和轉向系統。研究人員還演示了對豐田和福特車型發動的概念驗證攻擊。
京公網安備 11010502049343號