由蜜罐引發的物聯網安全小談
最近幾年,“物聯網”正以迅雷不及掩耳之勢四處圈地,“凡聯網之物都能被黑”的惡名也如影隨形。僅2015年,安全研究人員就發現了嬰兒監控器、滑板、來復槍和吉普車等物聯網設備中的漏洞,一名研究者甚至在一架飛機的飛行過程中對其進行了短暫地控制。
《紐約時報》曾發表評論文:
“依靠便捷和更加安全的賣點,物聯網產品廣受熱捧。而現實卻相反,這是一輛在隱私及安全的軌道上頻繁失事的高速列車。”
對于物聯網設備的擔憂其實并非剛剛開始,安全研究人員一直在警告數百萬的物聯網設備存在安全隱患、易受到攻擊。而根據美國國土安全部網絡攻擊防御分支統計結果顯示,去年被報道的安全事故近245件。
那些設備究竟是如何被黑的呢?
為了深入研究,研究者建立了“物聯網蜜罐”——用于尋找針對聯網加油站和醫療設備發動攻擊的黑客,并研究他們的攻擊行為。
TrendMicro公司6個月內在7個國家建立了一批防護措施“不佳”的聯網加油站,看看會發生什么情況?今年早些時候,研究者HD Moore透露,超過5000個連接到網絡上的加油站沒有密碼設置,這就意味著攻擊者可以直接訪問它們并進行破壞,通過變更設置來讓原本滿滿的泵顯示為空的,而最終導致溢出。
該項目最終一共發現20起攻擊:
趨勢科技:一些攻擊只是簡單探測加油站的位置。而美國加油站是最“受歡迎”的目標。
其中,有兩個針對美國加油站的拒絕服務攻擊被認為與敘利亞電子軍隊有關,這是一個親敘利亞的黑客組織,盡管研究者尚不能肯定地說攻擊絕對就是他們干的。
約旦的雪佛龍和英國石油公司加油站似乎被一個與“伊朗黑客組織”有關的黑客訪問過,而他們只是把泵的名稱從“無鉛”和“柴油”變更成了“IDC組織到此一游”和“Ahaad在這里”這樣而已。當然,這也是一種攻擊類型,但是大多沒什么實際攻擊性。
盡管研究者不能確定,但是目前還未有攻擊者嘗試變更能源水平設置,而這樣的行為會造成非常嚴重的損害。
“不久之后,會有更為嚴重的攻擊出現”
Kyle Wilhoit在2015BlackHat黑帽大會如是說道。
無獨有偶,在另一個黑客大會Defcon上,研究者說他們已經研究了包括胰島素泵、起搏器、MRI機器和其他醫療控制設備系統的物聯網。在蜜罐測試中,僅通過來自制造商網站的通用用戶名和密碼便能獲得這些設備的控制權。當然,也有一些廠商天真地把密碼和用戶名放進一個Pastebin文件中,實質上就是說“這里有一些醫療設備的用戶名和密碼,如果有人想攻擊他們,快看這里”。
這些作為“蜜罐”的醫療設備被登錄超過55000次,被裝惡意軟件超過300次,里面有24個指令以及8個使用特殊憑證的登錄憑記——也就是說,有人打開Pastebin文件就可以濫用里面的信息了。
攻擊者進入醫療設備的蜜罐
上面數據顯示,大部分的攻擊源于荷蘭、中國和韓國
Protibiti首席研究院Scott Erven說:“這些基本都是些小打小鬧,而非針對性攻擊。”
大多數攻擊者只是在做簡單的“探究”,測繪物聯網的版圖。然而Erven說如此輕松便可以進入醫院的藥物設備,攻擊者還能獲得這些設備中的信息;只要你進入了一個心電圖機,理論上你就能得到使用這臺設備的病人的信息,例如他們的姓名、社保號碼和出生日期。
在現實生活中,惡意軟件同樣也可以干擾醫療設備的運行。 “如果大規模的攻擊造成了設備故障,我們是沒有辦法立刻知道這一點。”
但是通過這些“蜜罐”,醫療設備安全研究者并沒有發現任何明顯的惡意攻擊,比如讓起搏器不正常工作或者給病人注射過量胰島素等等。
“他們(黑客)有系統管理權限,但是他們并不發送指令,可能他們沒有意識到自己已經獲得了一臺MRI機器的root權限。”
因此,我們是否應該重視這樣的情況呢?攻擊者能夠進入這些系統,但是可能只是一次,他們似乎對攻擊這些設備或者加害于人沒什么興趣。
物聯網安全:一顆定時炸彈?
來自IBM的Andy Thurai表示,科技的發展遠遠超出了企業自身安全維護能力的提升,物聯網則匯集了網絡中各種各樣的傳感器和部件。公司卻沒有為安全業務支付適合的費用,盡管已經開始所有增長,但還遠遠不夠,而物聯網則把一切弄得更糟了。所以說,物聯網是一個定時炸彈。
據OF物聯網報道,作為連接上述設備所廣泛使用的重要無線互聯標準之一,ZigBee技術也于近期召開的2015黑帽大會上被曝出存在嚴重的安全漏洞,引發了業內的廣泛關注。
FreeBuf之前也有文章討論過物聯網安全藍海戰略。ZigBee是一種低成本、低功耗、近距離的無線組網通訊技術,目前已廣泛存在于諸如智能燈泡、智能門鎖、運動傳感器、溫度傳感器等大量新興的物聯網設備中。然而,研究人員卻發現在ZigBee技術的實施方法中存在一個嚴重缺陷,涉及到多種類型的設備中,黑客有可能以此危害ZigBee網絡,并“接管該網絡內所有互聯設備的控制權”。由此,可能帶來大量物聯網產品安全的安全風險。
近日一份研究報告顯示,針對物聯網安全的小型技術解決方案和服務市場將會出現井噴,物聯網安全市場將在2020年的時候增長至289億美元。
當然針對層出不窮的物聯網安全事故,也不是人人都愁眉以對的。
安全研究者Dan Tentler認為,
“研究物聯網設備漏洞是很困難的。為了攻擊吉普車,研究者不得不買一輛,然后花一年時間研究代碼。當攻擊者進入這些‘蜜罐’時候,他們可能仍不知道可以做些什么壞事。”
