在未來(lái)幾年,數(shù)以億計(jì)的設(shè)備都有望連接到互聯(lián)網(wǎng)上,也就是這所謂的物聯(lián)網(wǎng)(IoT),它激起了一場(chǎng)數(shù)據(jù)生成和共享的革命。然而目前還比較模糊的是,那些生產(chǎn)出新的連接到網(wǎng)絡(luò)的設(shè)備廠家是否有考慮到安全性。
在2014美國(guó)黑帽大會(huì)上,各方面研究人員都談到了與物聯(lián)網(wǎng)有關(guān)事物的安全問(wèn)題,包括容易被破解的汽車、智能恒溫器和衛(wèi)星通信設(shè)備。
安全行業(yè)的大師級(jí)人物Dan Geer(In-Q-Tel公司的首席信息安全官),用一個(gè)警告為會(huì)議定下了基調(diào):由于一大波連入網(wǎng)絡(luò)的新設(shè)備來(lái)襲,互聯(lián)網(wǎng)的攻擊面正在擴(kuò)大,所以我們必須做一些準(zhǔn)備。正如Geer過(guò)去所做的那樣,他這次強(qiáng)調(diào)了那些大量推出IoT設(shè)備的公司應(yīng)該選擇是否定期對(duì)嵌入系統(tǒng)打補(bǔ)丁,而且除了補(bǔ)丁支持之外,需再為這些設(shè)備創(chuàng)建一個(gè)報(bào)廢日期,也就是他們基本停止運(yùn)作的時(shí)間,這些都是非常有必要的。
Geer還指出,當(dāng)談及對(duì)“軟件商業(yè)成功”的理解以及當(dāng)一個(gè)攻擊者想要攻擊某個(gè)產(chǎn)品,對(duì)于這些成功軟件來(lái)說(shuō)又會(huì)發(fā)生什么這樣的問(wèn)題時(shí),他寧愿聘請(qǐng)一些“更悲觀但是更聰明”的安全專家。但是即使是Geer,一位在安全行業(yè)誕生時(shí)就進(jìn)入該行業(yè)的專家都感到要被物聯(lián)網(wǎng)壓倒。
Geer說(shuō):“沒(méi)有人經(jīng)歷過(guò)我們現(xiàn)在所談到的這樣大規(guī)模的失敗。當(dāng)你將所有事物相連接時(shí),沒(méi)有人知道會(huì)發(fā)生什么。”
一切都可以被破解
從Geer的主題演講中得知,黑帽大會(huì)的研究人員幾乎可以破解我們所能想象的所有事物。
首先,Twitter公司的Charlie Miller和IOActive公司的Chris Valasek展示了如何用計(jì)算機(jī)操作系統(tǒng)控制一輛現(xiàn)代汽車上幾乎所有的操作,從剎車到方向盤到引擎。Valasek在CNN的一個(gè)采訪中表示,機(jī)動(dòng)車面板上就有一個(gè)網(wǎng)絡(luò),如果這個(gè)網(wǎng)絡(luò)被攻擊者破解,那么他們就可以“從任意程度上模擬操作車上任何一個(gè)設(shè)備”。
舉例來(lái)說(shuō),這兩人展示了如何讓一輛低速移動(dòng)的車偽裝成是機(jī)修工在修理制動(dòng)器,這是當(dāng)車的制動(dòng)器壞掉不能運(yùn)作時(shí)才能采取的操作。另一個(gè)黑客讓Valasek作為乘客,當(dāng)Miller正在以40英里/小時(shí)駕駛時(shí),Valasek突然將車的方向盤完全向左打,其實(shí)這也是車在停止或以非常低的速度運(yùn)行時(shí),才可以做到的事情。
研究人員還發(fā)布了一項(xiàng)研究成果,確定了目前一些主要的汽車制造商,包括本田、道奇和寶馬,所存在的攻擊面。與此同時(shí),2014年吉普 切諾基被認(rèn)為是“最容易被破解”的車型。豐田——黑客攻擊的制造商之一,提供的一份聲明中譴責(zé)了像Miller和Valasek這樣的研究者,豐田表示這些研究者需要到汽車上去實(shí)際體驗(yàn),部分拆解汽車的面板,為黑客問(wèn)題保持一個(gè)硬性連接。福特(另一家在演示文稿中被強(qiáng)調(diào)的制造商)的一位發(fā)言人表示企業(yè)會(huì)非常重視汽車設(shè)備的黑客攻擊問(wèn)題。
Miller和Valasek強(qiáng)調(diào),他們的研究目的不是為了剝奪汽車上所提供的計(jì)算機(jī)系統(tǒng)和功能,而是想突出問(wèn)題所在,希望制造商能夠解決這些問(wèn)題。
Miller在CNN的采訪中說(shuō)到:“汽車設(shè)備網(wǎng)絡(luò)化是給我們的生活提供了便利,滿足了我們的需求,但是這些設(shè)備的漏洞都是嚴(yán)重的問(wèn)題,我們想要在這些問(wèn)題變成實(shí)際的問(wèn)題之前,解決掉這些麻煩。”
一方面,Miller和Valasek展示了地面交通可能遭受到的攻擊;另一方面,其它研究人員展示了空中交通的危險(xiǎn)性。
Qualys公司危險(xiǎn)情報(bào)的主管Billy Rios,首次透露了對(duì)于攻擊者來(lái)說(shuō),破解美國(guó)運(yùn)輸安全管理局安置在全國(guó)各地機(jī)場(chǎng)的安全設(shè)備是多么簡(jiǎn)單的事情。特別的是,Rio發(fā)現(xiàn)像Rapiscan和Morpho這樣的制造商經(jīng)常在產(chǎn)品中設(shè)置了技師賬戶和相關(guān)的硬性連接密碼。
就Morpho Itemiser這個(gè)產(chǎn)品而言,它是一臺(tái)檢測(cè)爆炸物和毒品的掃描儀。Rio發(fā)現(xiàn)該設(shè)備依賴一個(gè)技術(shù)員級(jí)別,硬編碼的密碼,如果改變了賬戶或密碼就會(huì)破壞機(jī)器的功能。Rio指出,有幾種方法可以進(jìn)入這個(gè)機(jī)器,包括通過(guò)組織接入互聯(lián)網(wǎng)的工資管理系統(tǒng)。
Rios說(shuō)根據(jù)他和Terry McCorkle的研究結(jié)果,美國(guó)國(guó)土安全部7月發(fā)表了一篇公告,警告包含了硬編碼憑據(jù)并可以被遠(yuǎn)程操控的Morpho Itemiser 3v 8.17設(shè)備。Morpho公司的一個(gè)代表在黑帽大會(huì)上表示老版本Itemiser所存在問(wèn)題,會(huì)在今年年底通過(guò)替漏洞打上補(bǔ)丁而解決,而且公司會(huì)重視產(chǎn)品的安全性。雖然Rios還是質(zhì)疑新的Itemiser DX是否能解決安全問(wèn)題,但是他沒(méi)法購(gòu)買包含類似漏洞的產(chǎn)品來(lái)進(jìn)行研究。
Rios強(qiáng)調(diào),美國(guó)運(yùn)輸安全管理局(TSA)以后需要以更嚴(yán)格的安全標(biāo)準(zhǔn)來(lái)衡量供應(yīng)商的產(chǎn)品。
Rios在黑帽大會(huì)演講時(shí)說(shuō):“美國(guó)運(yùn)輸安全管理局(TSA)有足夠權(quán)力讓事情往正確的方向發(fā)展,而且他們也有責(zé)任這么做。”他還補(bǔ)充道,他自己只是一個(gè)擁有一臺(tái)筆記本,而且沒(méi)有預(yù)算的研究者就可以做到這樣的地步,這意味著每個(gè)人都可以為物聯(lián)網(wǎng)安全作出貢獻(xiàn)。
而且編碼的憑證不僅僅只是影響地面上的安全,正如IOActive的首席安全顧問(wèn)Ruben Santamarta所指出的,飛機(jī)上的衛(wèi)星通信(SATCOM)、軍事/航空航天工業(yè)與軌道衛(wèi)星溝通時(shí)也存在類似的問(wèn)題。
事實(shí)上,Santamarta以前還就這個(gè)問(wèn)題發(fā)布了白皮書(shū),發(fā)現(xiàn)他所研究的五個(gè)制造商的產(chǎn)品中都存在硬編碼憑證,包括CobhamPlc.、Harris公司、EchoStar公司的Hughes網(wǎng)絡(luò)系統(tǒng), Iridium Communications公司和日本無(wú)線株式會(huì)社。硬編碼憑證將讓衛(wèi)星通信裝置給惡意攻擊者提供潛在的操控可能性,如Cobham AVIATOR 700設(shè)備,其用于飛機(jī)上的通信、乘客在飛機(jī)上使用的wifi。Santamarta說(shuō)Cobham公司的一個(gè)代表告訴他,他們的設(shè)備只有可能在兩種情況下受到攻擊,一種是有人物理訪問(wèn)該設(shè)備,一種是網(wǎng)絡(luò)沒(méi)有正確安裝。
然而,Santamarta還是提出警示,他認(rèn)為雖然不能肯定黑客會(huì)真正攻擊這些設(shè)備,但是他仍舊希望看到生產(chǎn)商能夠解決這個(gè)問(wèn)題。
Santamarta說(shuō):“事實(shí)上漏洞還在這里,所以有可能被攻擊,也可能不被攻擊,但是歸根究底有些東西還是應(yīng)該被完善。”
呼吁采取行動(dòng)
雖然黑帽大會(huì)的黑客行為有時(shí)被描述為華而不實(shí),但是惠普近期發(fā)布的一項(xiàng)研究提供了一些關(guān)于物聯(lián)網(wǎng)安全問(wèn)題的數(shù)據(jù)。根據(jù)調(diào)查結(jié)果,物聯(lián)網(wǎng)70%的設(shè)備都存在易受攻擊的漏洞;使用用戶界面的60%設(shè)的備都存在如跨站點(diǎn)腳本和弱憑證這樣的漏洞;只有70%的設(shè)備都使用了加密的網(wǎng)絡(luò)服務(wù)。
這些數(shù)據(jù)都已經(jīng)明確地將安全行業(yè)放在了準(zhǔn)備進(jìn)攻的位置。而安全行業(yè)的領(lǐng)導(dǎo)人物之一就是Sonatype公司的首席技術(shù)官,也是I Am The Cavalry組織的共同創(chuàng)辦人Josh Corman。I Am The Cavalry組織專門保護(hù)可能影響公共安全或人類健康的設(shè)備和系統(tǒng)。
不久之前,I Am the Cavalry組織給汽車制造商,還有Miller和Valasek這些研究者發(fā)了一封公開(kāi)信,呼吁汽車行業(yè)和安全研究員之間的合作。信中還提出了五點(diǎn)安全最佳實(shí)踐清單——Five Star Automotive Cyber Safety Program,供生產(chǎn)商去完善。這封信作為一份請(qǐng)?jiān)笗?shū)被張貼在Change.org,至今收到的簽名超過(guò)300個(gè)。
Corman說(shuō)他希望安全行業(yè)可以繼續(xù)和各廠商還有華盛頓的政客合作,以確保物聯(lián)網(wǎng)的安全。
Corman在接受卡達(dá)爾半島電視臺(tái)(Al-Jazeera America)的一個(gè)采訪中講到:“我們正在試圖達(dá)到一個(gè)目標(biāo):讓設(shè)計(jì)、構(gòu)建和部署數(shù)字基礎(chǔ)設(shè)施的人們都能夠更加自覺(jué)地考慮到目前所做的事情對(duì)人類生活會(huì)造成的影響。”
京公網(wǎng)安備 11010502049343號(hào)