當我們正忙于對抗 Mirai 和 BrickerBot 等惡意軟件時,另一種新的惡意軟件 Hajime 可能正在攻擊物聯(lián)網(wǎng)設備,使其失效。好的防御手段就是實施基本的系統(tǒng)安全加固策略。
那些沒有安全性保障的基于 Linux 的物聯(lián)網(wǎng)(IoT)設備可能被攻擊。BrickerBot (參見“ 當心BrickerBot - IoT 殺手”)是一個近期出現(xiàn)的惡意軟件,它通過攻擊聯(lián)網(wǎng)設備導致被攻擊的設備變成“磚頭”,并使電子設備永久拒絕服務(PDoS)。這可能源于灰帽黑客攻擊,是對 Mirai 的正面回應,Mirai 通過分布式拒絕服務(DDoS)攻擊控制 IoT 設備。
Mirai 攻擊對象包括聯(lián)網(wǎng)的打印機、IP 攝像機、家庭網(wǎng)關和使用 DNS 服務器的嬰兒監(jiān)護儀。2016年10月,Mirai 發(fā)起了大面積的 DDoS 攻擊,估計吞吐量為1.2兆比特每秒。它通過非法控制設備造成了大部分的互聯(lián)網(wǎng)服務和網(wǎng)站癱瘓,包括 Netflix、GitHub、HBO、Amazon、Reddit、Twitter 和 DIRECTV。相比 Mirai,BrickerBot 則采用了另外一種策略:它通過將不安全的 Linux 設備變成“磚頭”以免像 Mirai 這樣的惡意軟件非法掌握設備的控制權并且進行 DDoS 攻擊。
這場惡意攻擊造成了南加州的互聯(lián)網(wǎng)服務提供商 Sierra Tel 大面積的服務中斷。它的Zyxel 調(diào)制解調(diào)器就是 BrickerBot 或者另一個惡意軟件(或許是 Mirai)的受害者。Sierra Tel 花費了將近兩個星期來替換所有客戶的調(diào)制解調(diào)器。Mirai 還攻擊了德國 ISP網(wǎng)絡的調(diào)制解調(diào)器,受影響的用戶數(shù)量比舊金山還多。
Hajime 是另外一個類似 Mirai 的蠕蟲病毒,在過去幾個月里快速傳播,它的作用和 BrickerBot 比較相似:阻止 Mirai 這樣的惡意軟件攻擊不安全的 IoT 設備。Hajime 通過網(wǎng)絡掃描然后嘗試使用默認賬號攻破設備,然后注入惡意程序。
Hajime 通過禁用 Mirai 攻擊的四個端口(23,754,5555,5358)來加強這些設備的安全性,以防止進一步的 DDoS 攻擊甚至 Bitcoin 采礦行為。不幸的是,一旦 Hajime 感染的設備重新啟動,它將恢復到易受攻擊的狀態(tài),這些端口將被重新打開。因此,Hajime 只是一個臨時的解決方案,從根源上提升安全性的方法是使用新的認證手段部署軟件更新。
計算機安全專家 Gene Spafford 表示:“真正的安全系統(tǒng)是將其斷電,使用混泥土密封,然后封鎖在武裝警衛(wèi)把守的鉛化密室里。即便這樣做了我依然還是擔心。”基本的安全性加強手段有助于防止許多針對 Linux 設備的惡意軟件的攻擊。我們將在這些攻擊的背景下涵蓋一些基本的系統(tǒng)強化概念,包括關閉未使用的網(wǎng)絡端口,使用入侵檢測系統(tǒng),提升密碼復雜性和驗證策略,消除不必要的服務,以及通過頻繁的軟件更新來修復錯誤和安全漏洞。
惡意軟件 Mirai 通過攻擊 DNS 提供商 Dyn 的服務器導致互聯(lián)網(wǎng)的重大中斷。惡意軟件通過使用開放的 Telnet 端口來攻擊運行 Linux 的ARM、MIPS、PPC和x86等易受攻擊的設備。它掃描互聯(lián)網(wǎng)上的 IoT 設備的 IP 地址,并通過使用超過60個通用的出廠賬號來識別易受攻擊的設備。由于惡意軟件存儲在內(nèi)存中,設備就會一直被感染,除非重新啟動。但是即使設備重新啟動,它可能在幾分鐘內(nèi)又重新感染,除非立即更改登錄賬號。
一旦設備被 Mirai 感染,它會嘗試刪除其他的惡意軟件,并且閑置一段時間以避免安全工具的檢測。經(jīng)過一段時間后,它將聯(lián)系其命令和控制服務器采取下一步的行動。
執(zhí)行復雜的密碼策略,而不是使用工廠發(fā)布的默認密碼,這將有助于防止 Mirai 非法控制這些設備。確保面向消費者的 IoT 設備安全性的挑戰(zhàn)是:制造商依靠消費者通過出廠默賬號登陸后更改密碼,通常需要登錄管理終端并手動更改密碼。
CERT協(xié)調(diào)中心的高級漏洞分析師 Dormann 表示:“硬件制造商應該在安裝設備時要求用戶選擇強密碼,而不是硬編碼憑據(jù)或設置許多用戶永遠都不會更改的默認用戶名和密碼。”
部署軟件更新的能力是修復錯誤和修補已知安全漏洞的另一個強制性功能。在 Code Complete 一書中,作者 Steve McConnell 指出,每1000行代碼中有1-25個錯誤和漏洞,具體數(shù)值根據(jù)團隊技術能力的不同有所差異。
Krebs 列出了一些消費電子產(chǎn)品(見下圖),由于對功能和上市時間的關注度較高,幾乎沒有安全監(jiān)督,因此具有很高的安全風險。許多這樣的設備都運行在具有高度安全風險的懸崖邊,因此制造商需要重點考慮提供一個空中升級(OTA)的功能。
Dormann 說:“談到軟件更新,自動升級當然是好的。 通知用戶并需要用戶簡單的確認也是不錯的方案。需要用戶到處尋找安裝包然后手動安裝的更新則意義不大。完全不提供升級的設備則是一無是處。”
鑒于許多安全方面考慮,軟件更新過程本身是非常復雜的,還需要防止中間人(MitM)的攻擊。在軟件升級的中途,如果出現(xiàn)斷電或者網(wǎng)絡故障,設備都有變成“磚頭”的風險。因此,軟件更新需要是一次原子操作,這意味著要么實現(xiàn)完整更新要么就完全不開始更新(沒有部分更新),即使在更新過程中出現(xiàn)掉電的情況。
制造商有可用于部署軟件更新到設備的開源策略。SWUpdate 就是一個非常和靈活的開源 Linux 更新代理,而Mender.io(我參與的開源項目)提供在所有設備上部署 OTA 升級的端到端解決方案(包括代理和管理服務器)。物聯(lián)網(wǎng)的軟件更新已成為一個熱門話題,甚至引起美國政府和國會的關注。來自大西洋理事會國際智囊團的 Bill Woods 指出,目前有20億個物聯(lián)網(wǎng)設備有超過12年的 SSH 缺陷,存在成為僵尸網(wǎng)絡的風險。
在二十世紀初,Blaster 蠕蟲在運行 Windows XP 和 Windows 2000 操作系統(tǒng)的計算機上傳播。DDoS 攻擊始于2003年,造成了數(shù)億美元的損失。Welchia 蠕蟲是對 Blaster 的回應,像 Blaster 一樣利用微軟遠程過程調(diào)用(RPC)服務中的一個漏洞。但是,在感染系統(tǒng)之后,如果存在 Blaster 它會立即將其刪除,然后嘗試從 Microsoft 下載并安裝安全修補程序以防止進一步的感染。
與 Welchia 類似,Hajime 將與 Mirai 進行正面較量,以盡量減少可能造成的傷害。Hajime 似乎是一個更加先進的僵尸網(wǎng)絡,它會偽裝流程和文件,使其更加難以檢測。通過掃描、分析憑據(jù)信息以識別設備制造商,再使用默認賬號,這樣的組合操作會提提升安全性。例如,當它攻擊 MikroTik 路由器時,Hajime 試圖根據(jù) MikroTik 文檔提供的初始出廠憑據(jù)進行登錄,并減少無效密碼的數(shù)量,從而降低被列入黑名單的概率。
Hajime 通過關閉 Mirai 利用的已知網(wǎng)絡端口來保護這些設備 - 設備制造商可以效仿這個策略:關閉不必要的端口以減少其攻擊面。入侵檢測系統(tǒng)(IDS)也有助于監(jiān)測異常網(wǎng)絡活動。網(wǎng)絡 IDS 有兩種類型:簽名檢測和異常檢測。有許多開源解決方案可用, 其中Snort 和 Suricata 是受歡迎的方案。
BrickerBot 是同類產(chǎn)品的個惡意軟件,它通過將設備變?yōu)椤按u頭”的方式達到 PDoS的效果,同時移除潛在的惡意軟件以免被 DDoS 攻擊。目前已經(jīng)有多個版本的 BrickerBot,而該惡意軟件的嫌疑人聲稱他已經(jīng)攻破了超過200萬臺設備。BrickerBot 1將那些運行 Linux 與 BusyBox 并且暴露了 Telnet 服務的設備視為攻擊對象。它們通常有一個舊版本的 Dropbear SSH,大多數(shù)被識別為運行過期固件的 Ubiquiti 網(wǎng)絡設備。BrickerBot 2使用類似的策略,使用默認或硬編碼密碼通過 Telnet登錄,更廣泛地攻擊基于 Linux 的設備。
安全的軟件是沒有安裝的軟件。你設備上運行的所有服務和應用程序可定有它存在的必要原因。添加不必要的功能會增加設備被攻擊的概率,安全性顯然更低。
一些基本的系統(tǒng)防御措施對于設備是否將受到 DDoS 攻擊或被“磚頭化”起到?jīng)Q定性了作用。反病毒黑客對用來對抗 Mirai 的Hajime 和 BrickerBot 充滿了爭議。許多人堅持認為,對于制造商和消費者來說,缺乏物聯(lián)網(wǎng)安全的警告力度不夠。他們認為,像BrickerBot 這樣的惡意軟件是一個具有激烈性質(zhì)并且必要的措施,可以讓它們受到一定傷害,但是在此過程中使不安全的設備免受其他 DDoS 攻擊。
曾經(jīng)有一個線上討論指出,如果消費者的設備受到攻擊變成“磚頭”,那么制造商需要負責保修。制造商替換設備的成本太高,因此他們無法忽視安全性,才能迫使他們更加認真地采取安全措施。
反病毒黑客有一個普遍的爭論:“為什么受傷的總是消費者?消費者何時才能維護自己的權益?” BrickerBot 或 Hajime 的作者完全沒有義務和責任做好人,如果已經(jīng)存在其他的惡意軟件。他們還使用與黑帽子相同的技術,可能導致更多惡意黑客的擴散。
另一個潛在的情況是,反惡意軟件將設備“磚頭化”可能會殺死某人,盡管這并不是它原本的意圖。像 IoT 冰箱這樣的日常設備被黑客入侵,而使用者并未意識到它已經(jīng)被破解。隨后,一個人不知不覺地吃了冰箱里變質(zhì)的食物,可能導致疾病甚至死亡。而且,我們知道,與聯(lián)網(wǎng)的冰箱相比,有更多的和人體健康息息相關的設備,如聯(lián)網(wǎng)的汽車、胰島素泵、心臟植入裝置等等。
事實上,食品及藥物管理局(FDA)近已經(jīng)與Abbott Labs及其新收購的 St. Jude Medical合作。St. Jude Medical 設備有易受攻擊的軟件,允許未經(jīng)授權的外部控制,這可能會導致電池耗盡或在錯誤的時間發(fā)生一連串的沖擊(這些設備包括除顫器和起搏器)。FDA近期對母公司Abbott Labs對該問題的回應表達了不滿,盡管 St. Jude Medical聲稱他們已經(jīng)開發(fā)了可用于消除漏洞的軟件補丁。
雖然我們簡要介紹了一些基本的安全防御概念,但并不全面。但這些應該是確保 IoT 系統(tǒng)安全性的業(yè)界佳實踐的開始。這些手段將有助于保護或至少減輕所討論的惡意軟件的影響。雖然沒有新技術,安全性方面永遠無法做到“完美”,但是很明顯,實施現(xiàn)有解決方案可以通過憑證、開放端口和啟用自動化軟件更新的基本安全性手段提示一定的物聯(lián)網(wǎng)安全性。
本站文章版權歸原作者及原出處所有 。內(nèi)容為作者個人觀點, 并不代表本站贊同其觀點和對其真實性負責,本站只提供參考并不構成任何投資及應用建議。本站是一個個人學習交流的平臺,網(wǎng)站上部分文章為轉(zhuǎn)載,并不用于任何商業(yè)目的,我們已經(jīng)盡可能的對作者和來源進行了通告,但是能力有限或疏忽,造成漏登,請及時聯(lián)系我們,我們將根據(jù)著作權人的要求,立即更正或者刪除有關內(nèi)容。本站擁有對此聲明的最終解釋權。
