9月4日消息,在今年的拉斯维加斯黑帽大会上,微软披露称,俄罗斯恶意黑客组织利用常见物联网设备对企业网络执行大规模攻击。消息一出,四野具惊。微软宣称 ,黑客通过入侵多种联网设备获得企业网络访问权限,被利用的设备包括 VoIP 电话、WiFi 办公打印机、视频解码器等。该黑客组织名为 “锶” (Strontium),也被其他安全公司命名为奇幻熊 (Fancy Bear) 或 APT28,据称与俄罗斯军事情报机构格鲁乌 (GRU) 有关。
Gartner 预计,到 2020 年,家用和商用物联网设备数量将超 140 亿台。考虑到微软近期曝出的物联网攻击新闻,现在是时候审视固件安全风险了,毕竟固件正是提供物联网设备硬件底层控制的那类特殊软件。作为公认的急迫网络安全问题,固件堪称不设防攻击界面,常被黑客用于在网络中建立立足点。未受保护的物联网设备基本相当于一扇未上锁的大门,意味着攻击者一旦拿下该物联网设备,就可以在整个公司网络中横行无忌。
黑客主动利用物联网安全漏洞并非为了攻击设备本身,而是将其作为各种恶意行为的跳板,为后续展开分布式拒绝服务 (DDoS) 攻击、恶意软件分发、垃圾邮件和网络钓鱼邮件投放、点击欺诈、信用卡盗窃等攻击活动铺路。所以,在设备入侵尚未导致收益损失、诉讼、公司声誉伤害等恶劣情况之前,有必要关注下列八种常见固件漏洞,确保自家网络大门不向无关人士敞开。
1. 未经身份验证的访问
最常见的固件漏洞之一,可使攻击者获取物联网设备访问权,便于攻击者利用设备数据及其提供的任何控制功能。
2. 弱身份验证
如果固件身份验证机制薄弱,黑客便容易获得设备访问权。弱身份验证机制形式多样,例如基于密码的单因子身份验证、基于弱密码算法的系统等。此类验证机制容易被暴力破解攻击攻克。
3. 隐藏后门
说到固件,隐藏后门当属黑客最喜爱的漏洞利用方式了。后门即有意植入嵌入式设备中的漏洞,任何人只要持有 “秘密” 身份验证信息就能远程访问设备。尽管后门可能有利于客户支持,但一旦被恶意黑客发现,所造成的后果也是相当严重的。而黑客正是非常善于发现后门的那一类人。
4. 密码散列值
大多数固件含有用户无法修改的硬编码密码,或者用户极少修改的默认密码。这两种情况均造成设备相对容易遭到黑客利用。2016 年,感染了全球超过 250 万台物联网设备的 Mirai 僵尸网络,正是利用了物联网设备默认密码执行 DDoS 攻击,令 Netflix、亚马逊和《纽约时报》等媒体大面积掉线。
5. 加密密钥
当以容易被黑的形式存储,比如 1970 年代开始引入的各版本数据加密标准 (DES),加密密钥可对互联网安全造成极大威胁。但即使被证明不足以保护秘密,DES 依然沿用至今。黑客可利用加密密钥窃听通信、获得设备访问权,甚至创建流氓设备执行恶意操作。
6. 缓冲区溢出
编码固件的时候,如果程序员使用不安全的字符串处理函数,就很容易引发问题,导致缓冲区溢出。攻击者花费大量时间查看设备软件中的代码,试图找出引发不规则应用行为或造成应用崩溃的方法,打通入侵的道路。缓冲区溢出可供黑客远程访问设备,也可被武器化以供进行拒绝服务和代码注入攻击。
7. 开源代码
开源平台和开源代码库驱动了复杂物联网产品的快速发展。然而,由于物联网设备常使用第三方开源组件,而这些组件通常采用了未知或未记录源,固件也就往往沦为了未受保护的攻击界面,无法抵御黑客攻击。将开源平台更新至最新版本就可轻易解决该问题,但很多设备仍在包含已知漏洞的情况下就发布了。
8. 调试服务
物联网设备测试版中的调试信息,可使设备开发人员知悉设备内部系统相关情况。但不幸的是,调试系统常被放到了生产设备中,让黑客也获悉了同一份设备内部信息。
公司往市场中快速投放新物联网产品,企业也随之尽快从物联网部署中获得诸多好处,但速度优先未必要以牺牲安全为代价。
值得欣喜的是,上述常见物联网漏洞利用是可以避免的,且缓解方式无需制造商投入额外开销。物联网安全最佳实践可以从以下几条开始:
1. 升级物联网设备固件,修改默认密码。
2. 盘点自身网络上的物联网设备,做到对自己的风险暴露面有全面的了解。
3. 联系所部属物联网设备的制造商,询问他们是否为上述常见漏洞负责。如果不负责,要求他们在其固件和物联网设备中实现安全编码操作。
Gartner 物联网设备技术与趋势报告:https://www.gartner.com/en/newsroom/press-releases/2018-11-07-gartner-identifies-top-10-strategic-iot-technologies-and-trends