一位不愿意透露姓名的研究人員劫持了大約42萬(wàn)臺(tái)采用默認(rèn)或者無(wú)需登錄密碼的在線嵌入式設(shè)備，并將其組成為一張規(guī)模龐大的僵尸網(wǎng)絡(luò)以實(shí)現(xiàn)為整個(gè)互聯(lián)網(wǎng)繪制全景地圖的目標(biāo)。

星期日，這位研究人員在一家致力于該項(xiàng)目的網(wǎng)站上進(jìn)行了說(shuō)明。在2012年3月到12月之間，這張以羅馬生命女神卡納為綽號(hào)的僵尸網(wǎng)絡(luò)一直在進(jìn)行“比互聯(lián)網(wǎng)協(xié)議版本4[IPv4]時(shí)代以往的任何時(shí)候規(guī)模都大內(nèi)容都全面的普查工作”。

該僵尸網(wǎng)絡(luò)收集到的所有數(shù)據(jù)——總體積為9TB——已經(jīng)公開(kāi)發(fā)布在網(wǎng)上，任何人都可以選擇下載并進(jìn)行分析。它包括有各種各樣的端口掃描結(jié)果，清楚地顯示出互聯(lián)網(wǎng)上最經(jīng)常使用的服務(wù)都是什么以及人們都是采用哪些軟件來(lái)運(yùn)行這些服務(wù)的，所有正在使用IPv4地址的具體信息，數(shù)以百萬(wàn)計(jì)的路由追蹤記錄以及更多的其它項(xiàng)目。

其它研究人員指出，盡管該僵尸網(wǎng)絡(luò)并沒(méi)有表現(xiàn)出惡意目的，但也充分反映出配置不當(dāng)?shù)那度胧皆O(shè)備確實(shí)存在有遭遇網(wǎng)絡(luò)犯罪分子濫用的潛力。

該僵尸網(wǎng)絡(luò)運(yùn)行在不安全設(shè)備上的客戶端軟件是采用標(biāo)準(zhǔn)C所編寫，體積僅為60KB，包含有自我傳播以及設(shè)備再感染機(jī)制。該傳播機(jī)制可以通過(guò)對(duì)公網(wǎng)IP地址進(jìn)行掃描，進(jìn)而找出不安全設(shè)備，再選擇利用telnet協(xié)議來(lái)嘗試進(jìn)行遠(yuǎn)程連接。這時(shí)間，它會(huì)利用根用戶：根用戶、管理員：管理員、不需密碼的根用戶或不需密碼的管理員等默認(rèn)登錄方式進(jìn)行多次嘗試。

盡管只要受感染設(shè)備選擇重新啟動(dòng)，卡納僵尸網(wǎng)絡(luò)客戶端就會(huì)自動(dòng)刪除。但是，其余的活動(dòng)客戶端依然會(huì)在設(shè)備再次上線后重新進(jìn)入。

這位不愿意透露姓名的研究人員聲稱，為防止給被感染設(shè)備的正常運(yùn)行造成破壞，在設(shè)計(jì)僵尸網(wǎng)絡(luò)客戶端的時(shí)間，他就已經(jīng)采取了一些預(yù)防措施。他指出：“我們的二進(jìn)制文件是在優(yōu)先級(jí)最低的情況下運(yùn)行，并且還配備有看門狗的監(jiān)控，一旦發(fā)生問(wèn)題，可執(zhí)行文件就會(huì)立即停止運(yùn)行”。此外，“我們的掃描器還將同時(shí)連接的總數(shù)限制為128個(gè)，并且運(yùn)行時(shí)間最長(zhǎng)也不會(huì)超過(guò)12秒”。

這位研究人員聲稱，該僵尸網(wǎng)絡(luò)在底層次就忽略掉了被入侵設(shè)備在內(nèi)部網(wǎng)絡(luò)中的所有活動(dòng)情況。“由于，我們僅僅希望將這些設(shè)備作為互聯(lián)網(wǎng)層次的工具來(lái)使用;因此，在使用過(guò)程中我們竭盡全力選擇出侵害性最小的控制方式，并對(duì)設(shè)備常規(guī)用戶的隱私表示出最大程度的尊重”。

在星期二的時(shí)間，安全漏洞與風(fēng)險(xiǎn)管理公司Rapid7的研究員馬克·施勒塞爾通過(guò)電子郵件指出：即便如此，在全球絕大多數(shù)國(guó)家中，這個(gè)“互聯(lián)網(wǎng)普查2012”項(xiàng)目所采用的方法都屬于嚴(yán)重違法的情況。“在使用不安全配置以及默認(rèn)密碼來(lái)訪問(wèn)的遠(yuǎn)程設(shè)備上運(yùn)行代碼本身就屬于不道德行為;即便事前采取預(yù)防措施，不會(huì)給任何使用中設(shè)備的正常運(yùn)行帶來(lái)干擾，也不等于法律問(wèn)題就此消失了。”

星期二的時(shí)間，負(fù)責(zé)該項(xiàng)目的研究人員通過(guò)電子郵件表示，自己之所以更喜歡保持匿名，正是因?yàn)椴⒉幌肱宄煞矫娴募?xì)節(jié)而被繩之以法。

盡管卡納僵尸網(wǎng)絡(luò)最終獲得到大約42萬(wàn)個(gè)客戶端，但設(shè)備的實(shí)際“開(kāi)放”數(shù)量——使用默認(rèn)或者無(wú)需訪問(wèn)密碼的設(shè)備——則還要高得多。在互聯(lián)網(wǎng)普查2012網(wǎng)站上，這位研究人員指出：“在所有開(kāi)放設(shè)備中，大約有70%的屬于資源實(shí)在是太有限的情況;它們根本無(wú)法運(yùn)行Linux，或者僅配備了功能極為有限的遠(yuǎn)程登錄界面，這導(dǎo)致我們幾乎無(wú)法將一段二進(jìn)制代碼上傳進(jìn)去”。

這些不安全設(shè)備被按照CPU與RAM的情況進(jìn)行了分類，僵尸網(wǎng)絡(luò)的二進(jìn)制代碼僅僅部署在屬于更多更大群體的一部分系統(tǒng)上，至于具體原因則是它們可能代表了使用廣泛的消費(fèi)級(jí)設(shè)備與工業(yè)控制或關(guān)鍵任務(wù)系統(tǒng)。

這42萬(wàn)臺(tái)運(yùn)行僵尸網(wǎng)絡(luò)客戶端的設(shè)備大約代表了所有被找到未受保護(hù)設(shè)備的25%。這位研究人員將所有未受保護(hù)設(shè)備的MAC地址——分配給網(wǎng)絡(luò)接口的唯一硬件標(biāo)識(shí)符

——都匯總了起來(lái)，最終統(tǒng)計(jì)顯示這一數(shù)字是大約120萬(wàn)。

這位研究人員指出：“在研究過(guò)程中，我們發(fā)現(xiàn)了大量絕對(duì)不應(yīng)該連接到互聯(lián)網(wǎng)上的設(shè)備以及服務(wù)”。他進(jìn)一步解釋說(shuō)，即便人們確信某些類型設(shè)備絕對(duì)被不會(huì)用來(lái)連接互聯(lián)網(wǎng)，也可能至少有上千用戶選擇了這么做。以此類推，如果人們認(rèn)為某些設(shè)備或許不應(yīng)該被連接上互聯(lián)網(wǎng)的話，實(shí)際上網(wǎng)的數(shù)量可能就會(huì)達(dá)到幾十萬(wàn)臺(tái)。他聲稱：“光打印機(jī)就有50萬(wàn)臺(tái)，網(wǎng)絡(luò)攝像頭則有100萬(wàn)個(gè)，擁有根用戶密碼作為超級(jí)用戶口令的設(shè)備就更不用說(shuō)了”。

這位研究人員聲稱：“我們希望其它研究人員能夠從收集到的數(shù)據(jù)中找到有價(jià)值的內(nèi)容，這次公開(kāi)發(fā)布將會(huì)給公眾當(dāng)前對(duì)于網(wǎng)絡(luò)安全的錯(cuò)誤認(rèn)識(shí)敲響警鐘;盡管所有人都在熱衷于談?wù)擁敿?jí)威脅以及網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，但只要四個(gè)簡(jiǎn)單到甚至毫無(wú)智商檔次的telnet默認(rèn)遠(yuǎn)程登錄密碼就給予我們?cè)L問(wèn)幾十萬(wàn)消費(fèi)者以及世界各地成千上萬(wàn)臺(tái)工業(yè)設(shè)備的權(quán)力”。

在電子郵件中，這位研究人員還指出：這類設(shè)備被用于潛在惡意行為之上的幾率非常高。實(shí)際上，在部署卡納僵尸網(wǎng)絡(luò)的時(shí)間，他就發(fā)現(xiàn)了一種被稱作Aidra的分布式拒絕服務(wù)(DDoS)自運(yùn)行病毒已經(jīng)運(yùn)行在數(shù)千臺(tái)公共設(shè)備上了。

于是，他決定對(duì)網(wǎng)絡(luò)進(jìn)行一下調(diào)整，讓自有僵尸網(wǎng)絡(luò)客戶端控制的設(shè)備能夠避免被Aidra感染。他解釋說(shuō)：“我們并沒(méi)有對(duì)任何設(shè)備進(jìn)行徹底改變，只要選擇重新啟動(dòng)就可以清除所有調(diào)整”。也就是說(shuō)，“我們認(rèn)為這種做法帶來(lái)的附加損害會(huì)遠(yuǎn)遠(yuǎn)低于Aidra利用這些設(shè)備可以帶來(lái)的風(fēng)險(xiǎn)”。

這位研究人員聲稱，隨著時(shí)間的推移，卡納僵尸網(wǎng)絡(luò)不僅從Aidra手里獲得了越來(lái)越多的系統(tǒng)，而且也成功地將這種惡意程序清除了出去。最終，只有大約3萬(wàn)臺(tái)運(yùn)行不含互鎖機(jī)制的管線階層微處理器(MIPS)的平臺(tái)無(wú)法實(shí)現(xiàn)有效清除，原因就是Aidra早已經(jīng)在上面扎根了。

防病毒軟件廠商比特梵德的一位高級(jí)電子威脅分析師波格丹·博泰扎圖在電子郵件中指出，運(yùn)行嵌入式操作系統(tǒng)的設(shè)備為網(wǎng)絡(luò)犯罪行為提供了一片潛力巨大的沃土。“盡管這些設(shè)備有能力運(yùn)行惡意軟件，但它們依然很少會(huì)使用入侵檢測(cè)模式。事實(shí)上，這些高度專業(yè)化的設(shè)備本身就屬于計(jì)算機(jī);唯一的差別之處就是運(yùn)行的軟件不同而已”。

博泰扎圖指出，這位研究人員發(fā)現(xiàn)有僵尸網(wǎng)絡(luò)客戶端運(yùn)行在這些設(shè)備之上，已經(jīng)證明了嵌入式領(lǐng)域也會(huì)發(fā)生類似問(wèn)題，但由于目前并不存在相應(yīng)的檢測(cè)機(jī)制，這樣的觀點(diǎn)往往就會(huì)被忽視。

施勒塞爾聲稱：“當(dāng)前的現(xiàn)實(shí)情況就是，成千上萬(wàn)臺(tái)連接到互聯(lián)網(wǎng)上的設(shè)備在安全方面的問(wèn)題比人們通常預(yù)計(jì)到的情況糟糕得多”。并且，“在這些設(shè)備里的一種上找到另一張僵尸網(wǎng)絡(luò)也不會(huì)是什么大新聞——在過(guò)去的時(shí)間，其它研究已經(jīng)證實(shí)了公共互聯(lián)網(wǎng)上的安全狀況屬于非常令人擔(dān)憂的情況”。

一月份，一項(xiàng)來(lái)自Rapid7的安全研究人員公布的研究結(jié)果就已經(jīng)顯示出，由于通用即插即用(UPnP)協(xié)議標(biāo)準(zhǔn)在部署過(guò)程中存在有危險(xiǎn)漏洞，從而導(dǎo)致包括路由器、打印機(jī)、媒體服務(wù)器、IP攝像機(jī)、智能電視以及更多其它類型在內(nèi)數(shù)以千萬(wàn)計(jì)擁有網(wǎng)絡(luò)功能的設(shè)備都可以被攻擊者通過(guò)互聯(lián)網(wǎng)入侵。

施勒塞爾進(jìn)一步指出，不幸的是，這個(gè)普遍存在的問(wèn)題是無(wú)法利用一種簡(jiǎn)單解決方案來(lái)予以徹底消除的。“只有設(shè)備制造商在處理安全方面出現(xiàn)的問(wèn)題時(shí)保持更為認(rèn)真的態(tài)度，并與學(xué)術(shù)界共同努力確認(rèn)并清除掉潛藏的漏洞，嵌入式設(shè)備的安全性才能獲得真正意義上的提高”。

施勒塞爾介紹說(shuō)，市面上已經(jīng)出現(xiàn)了針對(duì)其中一些問(wèn)題的技術(shù)解決方案，供應(yīng)商也已經(jīng)選擇使用。“舉例來(lái)說(shuō)，供應(yīng)商可以預(yù)先就為設(shè)備設(shè)置好隨機(jī)密碼，并將包含具體信息的口令貼在機(jī)身上。盡管這種做法會(huì)導(dǎo)致成本上升一點(diǎn)，但卻屬于物有所值的解決方案。此外，利用二維條碼來(lái)提供“初始安裝網(wǎng)址”也屬于一種可行選擇。實(shí)際上，任何解決方案都比脆弱的默認(rèn)初始密碼強(qiáng)得多”。

這位不愿意透露姓名的研究人員通過(guò)電子郵件指出：“這屬于供應(yīng)商的責(zé)任”。關(guān)鍵的問(wèn)題就在于，“它們絕不能指望用戶利用遠(yuǎn)程方式進(jìn)行登錄并修改密碼”。

博泰扎圖同意供應(yīng)商存在更喜歡默認(rèn)密碼而忽視安全方面問(wèn)題，并且不愿意逼迫用戶進(jìn)行調(diào)整的觀點(diǎn)。不過(guò)，他也指出，對(duì)用戶進(jìn)行基本培訓(xùn)也是非常有必要的。他認(rèn)為，只有所有者才能決定如何使用設(shè)備，將什么服務(wù)暴露在互聯(lián)網(wǎng)上，以及部署哪些安全控件。

他認(rèn)為：“用戶之所以需要獲得連接上互聯(lián)網(wǎng)的設(shè)備應(yīng)該采取什么最佳措施的說(shuō)明，就在于確保能夠安全接入網(wǎng)絡(luò)就屬于供應(yīng)商的責(zé)任”。

否則的話，隨著從汽車到冰箱，以及咖啡壺在內(nèi)越來(lái)越多的設(shè)備都被連接到互聯(lián)網(wǎng)上，安全方面的問(wèn)題只會(huì)變得更加糟糕。

博泰扎圖指出：“就如同任何其它計(jì)算機(jī)一樣，這些設(shè)備也很容易遭遇攻擊并被利用”。