搞大事!13.7億數(shù)據(jù)泄露案,物聯(lián)網(wǎng)設(shè)備只能坐以待斃?
掃描二維碼
隨時(shí)隨地手機(jī)看文章
近日,著名的“數(shù)據(jù)泄露獵人”Chris Vickery在Twitter上說(shuō)自己將在美國(guó)當(dāng)?shù)貢r(shí)間3月6日公布一起“14億身份泄露大案。”
次日他又發(fā)了另一條推文中,Vickery 又繼續(xù)賣(mài)關(guān)子,不過(guò)將可能被泄露的數(shù)據(jù)量精確到13.7億。
而就在不久前, Vickery再次發(fā)表了一篇博文,這個(gè)13.7億數(shù)據(jù)泄露的真相如約而至:
一個(gè)叫“江城數(shù)字媒體”(River city Media)的公司,偽裝成一個(gè)合法的營(yíng)銷(xiāo)公司,但其實(shí)背后是兩個(gè)知名的垃圾郵件制造者在提供業(yè)務(wù)支撐,每天發(fā)送10億規(guī)模的垃圾郵件,堪比一個(gè)“垃圾郵件帝國(guó)”。
一個(gè)錯(cuò)誤的備份不經(jīng)意間暴露他們的整個(gè)工作數(shù)據(jù)庫(kù),導(dǎo)致所有用戶(hù)的數(shù)據(jù)完全曝光,其中包含超過(guò)13億7000萬(wàn)個(gè)電子郵件地址,并記錄有一些額外的細(xì)節(jié),如姓名,真實(shí)的地址和IP地址。
這些收集來(lái)的電子郵件通過(guò)技術(shù)手段進(jìn)行自動(dòng)化信息關(guān)聯(lián)、數(shù)據(jù)篩選。在利益的驅(qū)使下進(jìn)行數(shù)據(jù)交換、售賣(mài),最終形成一個(gè)龐大的數(shù)據(jù)庫(kù)。
Vickery 指出:
他們12個(gè)人每天就能發(fā)送十億級(jí)別的垃圾郵件,其中顯然包含了非常多的自動(dòng)化操作,成熟的技術(shù)手段,甚至不少非法的黑客技術(shù),比如非法IP劫持、Slowloris 攻擊等等。
經(jīng)過(guò)驗(yàn)證,Vickery 發(fā)現(xiàn)此次泄露的13.7億數(shù)據(jù)中,其中相當(dāng)一部分是準(zhǔn)確的。
看到網(wǎng)友對(duì)這次事件的熱烈討論和由此產(chǎn)生的擔(dān)憂(yōu),iot101君忍不住輕哼一聲,和物聯(lián)網(wǎng)時(shí)代由數(shù)據(jù)安全帶來(lái)的事故相比,這種郵箱、姓名等信息的泄露問(wèn)題簡(jiǎn)直就是小兒科嘛!
近期一個(gè)發(fā)生在臺(tái)灣的安全事件值得一提
臺(tái)灣46所學(xué)校的網(wǎng)絡(luò)打印機(jī)突然印出了一張署名為Emerson Rodrigues的恐嚇信,要求在指定時(shí)間前需支付3個(gè)比特幣的保護(hù)費(fèi),揚(yáng)言若未付款就發(fā)動(dòng)攻擊來(lái)癱瘓學(xué)校網(wǎng)絡(luò)。
教育部清查后證實(shí),在這46所收到黑客威脅信的學(xué)校中,其中大專(zhuān)院校占59%,其次中小學(xué)校占25%,由于還有部分縣市尚未通報(bào)給主管機(jī)關(guān),受害數(shù)量或許更多。此外,教育部同時(shí)指出,在黑客入侵的打印機(jī)中,HP打印機(jī)數(shù)量最多占73%,其次是EPSON占了7%。
根據(jù)教育機(jī)構(gòu)資安通報(bào)平臺(tái)公告解釋?zhuān)虿糠謱W(xué)校打印機(jī)和物聯(lián)網(wǎng)設(shè)備使用默認(rèn)密碼,以及大部分聯(lián)機(jī)打印機(jī)使用外網(wǎng)IP,相關(guān)信息暴露在網(wǎng)絡(luò)上,造成黑客入侵打印恐嚇訊息或作為攻擊工具。
更有報(bào)道稱(chēng):卡巴斯基研究室發(fā)現(xiàn),目前有500臺(tái)Win32環(huán)境的服務(wù)器,專(zhuān)門(mén)感染W(wǎng)indows裝置,成了Windows版殭尸網(wǎng)絡(luò)Mirai的散布者(所謂Mirai則專(zhuān)門(mén)以物聯(lián)網(wǎng)設(shè)備(IoT)為感染目標(biāo)形成僵尸網(wǎng)絡(luò)而著名)。其中,有些主機(jī)是中文系統(tǒng),服務(wù)器主機(jī)甚至設(shè)置在臺(tái)灣維護(hù),從事竊取中國(guó)設(shè)備制造商的程序代碼簽署憑證。Windows版Mirai主要感染采用Windows操作系統(tǒng)的IP攝影機(jī)、DVR、家庭媒體、樹(shù)莓派裝置和香蕉派裝置。此外,卡巴斯基實(shí)驗(yàn)室全球研究分析團(tuán)隊(duì)進(jìn)一步說(shuō)明,多數(shù)人誤以為Windows版Mirai是最近剛出現(xiàn)的原生IoT殭尸網(wǎng)絡(luò),但其實(shí)是既有的Windows殭尸網(wǎng)絡(luò),利用了可以感染W(wǎng)indows裝置的Mirai變種來(lái)擴(kuò)大規(guī)模。
回顧2016年常用的物聯(lián)網(wǎng)設(shè)備攻擊手段
不要以為14 億身份泄露曝光事件與物聯(lián)網(wǎng)時(shí)代絲毫沒(méi)有關(guān)系,事實(shí)上黑客使用的是相同的攻擊方法,Slowloris攻擊則是最廣為人知的方法。而唯一不同的就是攻擊的對(duì)象轉(zhuǎn)為物聯(lián)網(wǎng)設(shè)備而已。
在智能化解決方案供應(yīng)商Radware ERT團(tuán)隊(duì)的全年不斷地回顧并分析這些攻擊后,得出了一個(gè)結(jié)論:在2016年,攻擊者最常用的兩個(gè)攻擊是突發(fā)式攻擊,又名“打了就跑”攻擊,另一個(gè)是高級(jí)持續(xù)性拒絕服務(wù)(ApDoS)攻擊。
就拒絕服務(wù)攻擊而言,2016年應(yīng)該算是多事之秋了。在這一年里,整個(gè)行業(yè)遭遇了有史以來(lái)規(guī)模最大的攻擊,并出現(xiàn)了很多測(cè)試并挑戰(zhàn)現(xiàn)代防御措施的新攻擊方法。Radware發(fā)現(xiàn)許多攻擊者使用了隨機(jī)間隔的高容量突發(fā)式攻擊,這些攻擊可以持續(xù)數(shù)周,包含有多個(gè)可以同時(shí)攻擊所有網(wǎng)絡(luò)層的攻擊載體。這些類(lèi)型的攻擊很可能引發(fā)網(wǎng)絡(luò)服務(wù)器SLA的頻繁中斷,并阻礙合法用戶(hù)訪(fǎng)問(wèn)服務(wù)。
另一方面,黑客也在尋求可以實(shí)行網(wǎng)絡(luò)癱瘓式攻擊的新載體和方法。2016年,Radware注意到物聯(lián)網(wǎng)(IoT)被廣泛用于創(chuàng)建強(qiáng)大的僵尸網(wǎng)絡(luò),以及BlackNurse、ICMP攻擊等許多新的攻擊載體。最值得注意的是某用戶(hù)在HackForum上發(fā)布的Mirai僵尸網(wǎng)絡(luò)源代碼。該僵尸網(wǎng)絡(luò)利用了在基于BusyBox的IoT設(shè)備上發(fā)現(xiàn)的60多個(gè)出廠默認(rèn)憑證,創(chuàng)建了迄今為止最為強(qiáng)大的僵尸網(wǎng)絡(luò)。Mirai背后更令人關(guān)注的因素之一就是通用路由封裝(GRE)攻擊載體。這一相對(duì)較新的方法在數(shù)據(jù)包中封裝了包含大量的數(shù)據(jù),試圖使接收網(wǎng)絡(luò)因解封負(fù)載時(shí)而耗盡資源。
DDOS攻擊最簡(jiǎn)單產(chǎn)生效果,因?yàn)橐话阍O(shè)備都會(huì)固定死服務(wù)器地址,只要源源不斷的建立連接發(fā)送數(shù)據(jù),很快就可以耗盡服務(wù)器資源。并且絕大部分物聯(lián)網(wǎng)云平臺(tái)非常脆弱,在此非法數(shù)據(jù)攻擊之下,可以靠近CPU、內(nèi)存、帶寬,并產(chǎn)生大量錯(cuò)誤日志消耗硬盤(pán)資源。所有固定指向該服務(wù)器的硬件設(shè)備,將全部無(wú)法使用網(wǎng)絡(luò)功能。
其他物聯(lián)網(wǎng)設(shè)備攻擊方法
重放攻擊RelayAttach
反復(fù)給設(shè)備上電斷電,觀察數(shù)據(jù)包變化情況。如果多次上電斷電得到的數(shù)據(jù)包相同,那么就完全具備了重放攻擊的條件。那么只需要把這個(gè)數(shù)據(jù)包內(nèi)容按照十六進(jìn)制字符復(fù)制下來(lái),然后借助工具向服務(wù)器相應(yīng)端口快速發(fā)送海量請(qǐng)求?;诎踩u(píng)估需要,超級(jí)碼神工具提供該功能。重放攻擊最大優(yōu)勢(shì)是不怕一切防火墻,因?yàn)榘l(fā)過(guò)去的數(shù)據(jù)包都是合法數(shù)據(jù)包,防火墻必須放行!
業(yè)務(wù)數(shù)據(jù)干擾
一般硬件跟服務(wù)端通信指令分為三種:登錄驗(yàn)證、心跳、業(yè)務(wù)數(shù)據(jù)傳輸。目前國(guó)內(nèi)小公司生產(chǎn)的聯(lián)網(wǎng)設(shè)備,約有90%根本沒(méi)有登錄驗(yàn)證,這就為業(yè)務(wù)數(shù)據(jù)干擾攻擊提供了可能。這些小公司幾乎沒(méi)有互聯(lián)網(wǎng)系統(tǒng)開(kāi)發(fā)經(jīng)驗(yàn),大多數(shù)從串口設(shè)備控制轉(zhuǎn)化而來(lái),熟悉Modbus(沒(méi)有驗(yàn)證),直接進(jìn)行業(yè)務(wù)數(shù)據(jù)透?jìng)?,根本沒(méi)有驗(yàn)證和心跳。更多的公司沒(méi)有能力去做聯(lián)網(wǎng)通信模塊,直接采購(gòu)其它小公司的聯(lián)網(wǎng)模塊,最多的就是串口透?jìng)髂K。而模塊提供商為了降低模塊使用復(fù)雜度以及提升兼容性,更不會(huì)去做驗(yàn)證。
如果多個(gè)數(shù)據(jù)包格式完全一樣,只有局部數(shù)據(jù)變化,很有可能就是直接透?jìng)鞯臄?shù)據(jù)。這個(gè)時(shí)候,安全評(píng)估人員不僅可以解碼得到設(shè)備出來(lái)的數(shù)據(jù),還可以偽造數(shù)據(jù)發(fā)給服務(wù)端。
WiFi攻擊
最近兩年WiFi在智能硬件中的應(yīng)用非常流行。一般WiFi模塊有3種用法:
模塊自身帶有一些IO口,可以實(shí)現(xiàn)簡(jiǎn)單的開(kāi)關(guān)控制。模塊廠商會(huì)開(kāi)放控制協(xié)議。
串口透?jìng)鳎瑔纹瑱C(jī)發(fā)給模塊的任何數(shù)據(jù),模塊都會(huì)發(fā)給對(duì)應(yīng)的云平臺(tái),云平臺(tái)下發(fā)的數(shù)據(jù)也可以通過(guò)串口收到
SoC片上開(kāi)發(fā),自定義協(xié)議
很顯然,前面兩點(diǎn)簡(jiǎn)單易用,但正是這個(gè)原因,通信協(xié)議根本沒(méi)有加密,也沒(méi)有設(shè)備的身份驗(yàn)證。目前在市場(chǎng)上99%模塊都是這樣,比如最流行的ESP8266。至今為止,尚未見(jiàn)到過(guò)做了安全處理的WiFi模塊。
Zigbee攻擊
Zigbee宣稱(chēng)很安全,但是進(jìn)入國(guó)內(nèi)以后,所有廠商基于商業(yè)壁壘需要,都會(huì)修改Zigbee協(xié)議,或者加上不同的密碼。Zigbee模塊跟WiFi模塊類(lèi)似,前面兩點(diǎn)同樣非常容易攻擊。不管Zigbee協(xié)議是多么的安全,同一家模塊廠商生產(chǎn)的Zigbee模塊通信密碼都是完全一樣的,除非客戶(hù)特別要求。也就是說(shuō),如果安全評(píng)估人員想攻擊Zigbee設(shè)備或Zigbee網(wǎng)關(guān),只需要去同一個(gè)Zigbee模塊廠家購(gòu)買(mǎi)一個(gè)模塊即可。
RF射頻攻擊
RF設(shè)備一般工作在433M/315M,作為第一代智能家居核心無(wú)線(xiàn)技術(shù),它只能傳輸幾個(gè)數(shù)據(jù)位,根本沒(méi)有加密,也根本沒(méi)有能力加密。常見(jiàn)攻擊方法是設(shè)計(jì)一塊在該頻段的接收設(shè)備,監(jiān)聽(tīng)無(wú)線(xiàn)空間的控制信號(hào),只需要重發(fā)即可達(dá)到同樣的控制效果
面對(duì)各種攻擊,我們并非束手無(wú)策
進(jìn)入2017年之后,隨著物聯(lián)網(wǎng)設(shè)備的使用和部署變得越來(lái)越廣泛,Radware預(yù)計(jì),因?yàn)槲锫?lián)網(wǎng)設(shè)備糟糕的安全性,攻擊者將會(huì)找到物聯(lián)網(wǎng)設(shè)備更多的漏洞,并將這些漏洞與Bashlite等其他僵尸網(wǎng)絡(luò)結(jié)合起來(lái)進(jìn)行攻擊,很可能實(shí)現(xiàn)攻擊規(guī)模記錄。
但是,盡管攻擊手法多種多樣,并這并不意味著我們就束手無(wú)策了。其實(shí)無(wú)論是個(gè)人或者是企業(yè)都可以采取一定的措施來(lái)預(yù)防:
就個(gè)人來(lái)說(shuō),用戶(hù)應(yīng)該把物聯(lián)網(wǎng)設(shè)備當(dāng)成個(gè)人電腦來(lái)對(duì)待,立刻更改默認(rèn)密碼并定期檢查安全補(bǔ)丁,并堅(jiān)持使用HTTPS界面。在沒(méi)有使用的情況下,可以選擇關(guān)閉設(shè)備。如果這個(gè)設(shè)備還有其他不使用的連接協(xié)議,也可以立刻禁用。
企業(yè)而言,企業(yè)可以通過(guò)許多方法來(lái)防御攻擊,包括啟動(dòng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,確保進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都完全可視。這可以幫助檢測(cè)攻擊,并確保他們有足夠的止損容量和能力。最后,預(yù)備一個(gè)防御計(jì)劃,保持更新并定期演練。同時(shí),留心那些遠(yuǎn)程登陸服務(wù)器,千萬(wàn)不要把遠(yuǎn)程登陸服務(wù)器和面向公眾的設(shè)備連接。
【文章轉(zhuǎn)載自網(wǎng)絡(luò),版權(quán)歸原作者所有,若有侵權(quán)請(qǐng)聯(lián)系刪除】