搞大事！13.7億數(shù)據(jù)泄露案，物聯(lián)網(wǎng)設(shè)備只能坐以待斃？

近日，著名的“數(shù)據(jù)泄露獵人”Chris Vickery在Twitter上說自己將在美國當?shù)貢r間3月6日公布一起“14億身份泄露大案。”

次日他又發(fā)了另一條推文中，Vickery 又繼續(xù)賣關(guān)子，不過將可能被泄露的數(shù)據(jù)量精確到13.7億。

而就在不久前， Vickery再次發(fā)表了一篇博文，這個13.7億數(shù)據(jù)泄露的真相如約而至：

一個叫“江城數(shù)字媒體”(River city Media)的公司，偽裝成一個合法的營銷公司，但其實背后是兩個知名的垃圾郵件制造者在提供業(yè)務(wù)支撐，每天發(fā)送10億規(guī)模的垃圾郵件，堪比一個“垃圾郵件帝國”。

一個錯誤的備份不經(jīng)意間暴露他們的整個工作數(shù)據(jù)庫，導致所有用戶的數(shù)據(jù)完全曝光，其中包含超過13億7000萬個電子郵件地址，并記錄有一些額外的細節(jié)，如姓名，真實的地址和IP地址。

這些收集來的電子郵件通過技術(shù)手段進行自動化信息關(guān)聯(lián)、數(shù)據(jù)篩選。在利益的驅(qū)使下進行數(shù)據(jù)交換、售賣，最終形成一個龐大的數(shù)據(jù)庫。

Vickery 指出：

他們12個人每天就能發(fā)送十億級別的垃圾郵件，其中顯然包含了非常多的自動化操作，成熟的技術(shù)手段，甚至不少非法的黑客技術(shù)，比如非法IP劫持、Slowloris 攻擊等等。

經(jīng)過驗證，Vickery 發(fā)現(xiàn)此次泄露的13.7億數(shù)據(jù)中，其中相當一部分是準確的。

看到網(wǎng)友對這次事件的熱烈討論和由此產(chǎn)生的擔憂，iot101君忍不住輕哼一聲，和物聯(lián)網(wǎng)時代由數(shù)據(jù)安全帶來的事故相比，這種郵箱、姓名等信息的泄露問題簡直就是小兒科嘛!

近期一個發(fā)生在臺灣的安全事件值得一提

臺灣46所學校的網(wǎng)絡(luò)打印機突然印出了一張署名為Emerson Rodrigues的恐嚇信，要求在指定時間前需支付3個比特幣的保護費，揚言若未付款就發(fā)動攻擊來癱瘓學校網(wǎng)絡(luò)。

教育部清查后證實，在這46所收到黑客威脅信的學校中，其中大專院校占59%，其次中小學校占25%，由于還有部分縣市尚未通報給主管機關(guān)，受害數(shù)量或許更多。此外，教育部同時指出，在黑客入侵的打印機中，HP打印機數(shù)量最多占73%，其次是EPSON占了7%。

根據(jù)教育機構(gòu)資安通報平臺公告解釋，因部分學校打印機和物聯(lián)網(wǎng)設(shè)備使用默認密碼，以及大部分聯(lián)機打印機使用外網(wǎng)IP，相關(guān)信息暴露在網(wǎng)絡(luò)上，造成黑客入侵打印恐嚇訊息或作為攻擊工具。

更有報道稱：卡巴斯基研究室發(fā)現(xiàn)，目前有500臺Win32環(huán)境的服務(wù)器，專門感染W(wǎng)indows裝置，成了Windows版殭尸網(wǎng)絡(luò)Mirai的散布者(所謂Mirai則專門以物聯(lián)網(wǎng)設(shè)備(IoT)為感染目標形成僵尸網(wǎng)絡(luò)而著名)。其中，有些主機是中文系統(tǒng)，服務(wù)器主機甚至設(shè)置在臺灣維護，從事竊取中國設(shè)備制造商的程序代碼簽署憑證。Windows版Mirai主要感染采用Windows操作系統(tǒng)的IP攝影機、DVR、家庭媒體、樹莓派裝置和香蕉派裝置。此外，卡巴斯基實驗室全球研究分析團隊進一步說明，多數(shù)人誤以為Windows版Mirai是最近剛出現(xiàn)的原生IoT殭尸網(wǎng)絡(luò)，但其實是既有的Windows殭尸網(wǎng)絡(luò)，利用了可以感染W(wǎng)indows裝置的Mirai變種來擴大規(guī)模。

回顧2016年常用的物聯(lián)網(wǎng)設(shè)備攻擊手段

不要以為14 億身份泄露曝光事件與物聯(lián)網(wǎng)時代絲毫沒有關(guān)系，事實上黑客使用的是相同的攻擊方法，Slowloris攻擊則是最廣為人知的方法。而唯一不同的就是攻擊的對象轉(zhuǎn)為物聯(lián)網(wǎng)設(shè)備而已。

在智能化解決方案供應(yīng)商Radware ERT團隊的全年不斷地回顧并分析這些攻擊后，得出了一個結(jié)論：在2016年，攻擊者最常用的兩個攻擊是突發(fā)式攻擊，又名“打了就跑”攻擊，另一個是高級持續(xù)性拒絕服務(wù)(ApDoS)攻擊。

就拒絕服務(wù)攻擊而言，2016年應(yīng)該算是多事之秋了。在這一年里，整個行業(yè)遭遇了有史以來規(guī)模最大的攻擊，并出現(xiàn)了很多測試并挑戰(zhàn)現(xiàn)代防御措施的新攻擊方法。Radware發(fā)現(xiàn)許多攻擊者使用了隨機間隔的高容量突發(fā)式攻擊，這些攻擊可以持續(xù)數(shù)周，包含有多個可以同時攻擊所有網(wǎng)絡(luò)層的攻擊載體。這些類型的攻擊很可能引發(fā)網(wǎng)絡(luò)服務(wù)器SLA的頻繁中斷，并阻礙合法用戶訪問服務(wù)。

另一方面，黑客也在尋求可以實行網(wǎng)絡(luò)癱瘓式攻擊的新載體和方法。2016年，Radware注意到物聯(lián)網(wǎng)(IoT)被廣泛用于創(chuàng)建強大的僵尸網(wǎng)絡(luò)，以及BlackNurse、ICMP攻擊等許多新的攻擊載體。最值得注意的是某用戶在HackForum上發(fā)布的Mirai僵尸網(wǎng)絡(luò)源代碼。該僵尸網(wǎng)絡(luò)利用了在基于BusyBox的IoT設(shè)備上發(fā)現(xiàn)的60多個出廠默認憑證，創(chuàng)建了迄今為止最為強大的僵尸網(wǎng)絡(luò)。Mirai背后更令人關(guān)注的因素之一就是通用路由封裝(GRE)攻擊載體。這一相對較新的方法在數(shù)據(jù)包中封裝了包含大量的數(shù)據(jù)，試圖使接收網(wǎng)絡(luò)因解封負載時而耗盡資源。

DDOS攻擊最簡單產(chǎn)生效果，因為一般設(shè)備都會固定死服務(wù)器地址，只要源源不斷的建立連接發(fā)送數(shù)據(jù)，很快就可以耗盡服務(wù)器資源。并且絕大部分物聯(lián)網(wǎng)云平臺非常脆弱，在此非法數(shù)據(jù)攻擊之下，可以靠近CPU、內(nèi)存、帶寬，并產(chǎn)生大量錯誤日志消耗硬盤資源。所有固定指向該服務(wù)器的硬件設(shè)備，將全部無法使用網(wǎng)絡(luò)功能。

其他物聯(lián)網(wǎng)設(shè)備攻擊方法

重放攻擊RelayAttach

反復給設(shè)備上電斷電，觀察數(shù)據(jù)包變化情況。如果多次上電斷電得到的數(shù)據(jù)包相同，那么就完全具備了重放攻擊的條件。那么只需要把這個數(shù)據(jù)包內(nèi)容按照十六進制字符復制下來，然后借助工具向服務(wù)器相應(yīng)端口快速發(fā)送海量請求?；诎踩u估需要，超級碼神工具提供該功能。重放攻擊最大優(yōu)勢是不怕一切防火墻，因為發(fā)過去的數(shù)據(jù)包都是合法數(shù)據(jù)包，防火墻必須放行!

業(yè)務(wù)數(shù)據(jù)干擾

一般硬件跟服務(wù)端通信指令分為三種：登錄驗證、心跳、業(yè)務(wù)數(shù)據(jù)傳輸。目前國內(nèi)小公司生產(chǎn)的聯(lián)網(wǎng)設(shè)備，約有90%根本沒有登錄驗證，這就為業(yè)務(wù)數(shù)據(jù)干擾攻擊提供了可能。這些小公司幾乎沒有互聯(lián)網(wǎng)系統(tǒng)開發(fā)經(jīng)驗，大多數(shù)從串口設(shè)備控制轉(zhuǎn)化而來，熟悉Modbus(沒有驗證)，直接進行業(yè)務(wù)數(shù)據(jù)透傳，根本沒有驗證和心跳。更多的公司沒有能力去做聯(lián)網(wǎng)通信模塊，直接采購其它小公司的聯(lián)網(wǎng)模塊，最多的就是串口透傳模塊。而模塊提供商為了降低模塊使用復雜度以及提升兼容性，更不會去做驗證。

如果多個數(shù)據(jù)包格式完全一樣，只有局部數(shù)據(jù)變化，很有可能就是直接透傳的數(shù)據(jù)。這個時候，安全評估人員不僅可以解碼得到設(shè)備出來的數(shù)據(jù)，還可以偽造數(shù)據(jù)發(fā)給服務(wù)端。

WiFi攻擊

最近兩年WiFi在智能硬件中的應(yīng)用非常流行。一般WiFi模塊有3種用法：

模塊自身帶有一些IO口，可以實現(xiàn)簡單的開關(guān)控制。模塊廠商會開放控制協(xié)議。

串口透傳，單片機發(fā)給模塊的任何數(shù)據(jù)，模塊都會發(fā)給對應(yīng)的云平臺，云平臺下發(fā)的數(shù)據(jù)也可以通過串口收到

SoC片上開發(fā)，自定義協(xié)議

很顯然，前面兩點簡單易用，但正是這個原因，通信協(xié)議根本沒有加密，也沒有設(shè)備的身份驗證。目前在市場上99%模塊都是這樣，比如最流行的ESP8266。至今為止，尚未見到過做了安全處理的WiFi模塊。

Zigbee攻擊

Zigbee宣稱很安全，但是進入國內(nèi)以后，所有廠商基于商業(yè)壁壘需要，都會修改Zigbee協(xié)議，或者加上不同的密碼。Zigbee模塊跟WiFi模塊類似，前面兩點同樣非常容易攻擊。不管Zigbee協(xié)議是多么的安全，同一家模塊廠商生產(chǎn)的Zigbee模塊通信密碼都是完全一樣的，除非客戶特別要求。也就是說，如果安全評估人員想攻擊Zigbee設(shè)備或Zigbee網(wǎng)關(guān)，只需要去同一個Zigbee模塊廠家購買一個模塊即可。

RF射頻攻擊

RF設(shè)備一般工作在433M/315M，作為第一代智能家居核心無線技術(shù)，它只能傳輸幾個數(shù)據(jù)位，根本沒有加密，也根本沒有能力加密。常見攻擊方法是設(shè)計一塊在該頻段的接收設(shè)備，監(jiān)聽無線空間的控制信號，只需要重發(fā)即可達到同樣的控制效果

面對各種攻擊，我們并非束手無策

進入2017年之后，隨著物聯(lián)網(wǎng)設(shè)備的使用和部署變得越來越廣泛，Radware預計，因為物聯(lián)網(wǎng)設(shè)備糟糕的安全性，攻擊者將會找到物聯(lián)網(wǎng)設(shè)備更多的漏洞，并將這些漏洞與Bashlite等其他僵尸網(wǎng)絡(luò)結(jié)合起來進行攻擊，很可能實現(xiàn)攻擊規(guī)模記錄。

但是，盡管攻擊手法多種多樣，并這并不意味著我們就束手無策了。其實無論是個人或者是企業(yè)都可以采取一定的措施來預防：

就個人來說，用戶應(yīng)該把物聯(lián)網(wǎng)設(shè)備當成個人電腦來對待，立刻更改默認密碼并定期檢查安全補丁，并堅持使用HTTPS界面。在沒有使用的情況下，可以選擇關(guān)閉設(shè)備。如果這個設(shè)備還有其他不使用的連接協(xié)議，也可以立刻禁用。

企業(yè)而言，企業(yè)可以通過許多方法來防御攻擊，包括啟動網(wǎng)絡(luò)基礎(chǔ)設(shè)施，確保進出網(wǎng)絡(luò)的數(shù)據(jù)都完全可視。這可以幫助檢測攻擊，并確保他們有足夠的止損容量和能力。最后，預備一個防御計劃，保持更新并定期演練。同時，留心那些遠程登陸服務(wù)器，千萬不要把遠程登陸服務(wù)器和面向公眾的設(shè)備連接。

【文章轉(zhuǎn)載自網(wǎng)絡(luò)，版權(quán)歸原作者所有，若有侵權(quán)請聯(lián)系刪除】