物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

IoT vs. BoT──物聯(lián)網(wǎng)刮起的安全風暴

作者:Jim Huang
來源:物聯(lián)之家網(wǎng)
日期:2017-06-23 09:12:21
摘要:萬物聯(lián)網(wǎng)已是必然的趨勢,在擔心家中該如何使用智能冰箱、智能電視之前,更需要留意它們,是否已經(jīng)被吸收,而成為殭尸網(wǎng)絡(luò)一員了。

  萬物聯(lián)網(wǎng)已是必然的趨勢,在擔心家中該如何使用智能冰箱、智能電視之前,更需要留意它們,是否已經(jīng)被吸收,而成為殭尸網(wǎng)絡(luò)一員了。

  物聯(lián)網(wǎng)(IoT)是一項被引領(lǐng)期盼的未來技術(shù)潮流,只是在人們不斷歌頌物聯(lián)網(wǎng)所帶來的美好未來時,另一個造成恐慌的“未來”(Mirai惡意軟件),則在2016年底開啟了物聯(lián)網(wǎng)安全威脅之門。

  物聯(lián)網(wǎng)并不只是一個可以連上互聯(lián)網(wǎng)的裝置而已,事實上,物聯(lián)網(wǎng)可以說是集合網(wǎng)絡(luò)、應用程序、移動化、云端等科技之大成,甚至包括大數(shù)據(jù)及AI人工智能等等;但相對的,這些科技所存在的安全問題,也同樣被移植到物聯(lián)網(wǎng),并且產(chǎn)生復合性的威脅,而Mirai則是利用物聯(lián)網(wǎng)這項科技存在的漏洞威脅,所應運而生。

  事實上,Mirai是一款惡意軟件,針對執(zhí)行Linux的系統(tǒng),使之成為被遠程操控的“殭尸”,透過殭尸網(wǎng)絡(luò)進行大規(guī)模網(wǎng)絡(luò)攻擊。一群網(wǎng)絡(luò)攻擊者利用Mirai所發(fā)動的DDoS攻擊,創(chuàng)下每秒Tb級的攻擊流量,另外,他們也成功癱瘓Dyn網(wǎng)絡(luò)服務商的DNS服務。

  同時,此次DDoS攻擊有效地擊中要害,并且造成北美各大網(wǎng)站受到影響,使用者無法瀏覽,而這些攻擊,則是來自高達10幾萬臺被Mirai所感染的物聯(lián)網(wǎng)裝置(IP Camera),作為殭尸網(wǎng)絡(luò)利用。

  更令人憂心的是,Mirai原始碼被該作者公布后,已經(jīng)促成新變種殭尸網(wǎng)絡(luò)形成。根據(jù)Level 3威脅研究中心研究估計,Mirai殭尸裝置的數(shù)量從21.3萬臺,增加到49.3萬臺,并且已演化出能感染W(wǎng)indows裝置的版本,勢必擴大Mirai殭尸網(wǎng)絡(luò)的感染范圍。

  雖然威脅越演越烈,但相對地,由于Mirai事件的爆發(fā),也同時驚醒人們對于物聯(lián)網(wǎng)安全的注意。

IoT物聯(lián)網(wǎng)是融合網(wǎng)絡(luò)、應用程序服務、移動化、云端等多種科技的集成體,也因此,各項科技技術(shù)所存在的安全問題風險,也同樣存在于物聯(lián)網(wǎng),并且更容易產(chǎn)生復合性的攻擊威脅。(圖片來源/RSA Conference 2015)

  物聯(lián)網(wǎng)設(shè)備是發(fā)動DDoS攻擊的完美平臺

  過往要實現(xiàn)一個DDoS攻擊并不容易,但隨著物聯(lián)網(wǎng)在業(yè)者的推波助瀾下,促使聯(lián)網(wǎng)的裝置系統(tǒng)大幅度增長。

  根據(jù)國際研究顧問機構(gòu)Gartner預測,2017年全球使用中的連網(wǎng)對象數(shù)量,將達到84億個,到2020年更將增至204億個。而另一知名市調(diào)機構(gòu)IDC更預估,在2020年,全球物聯(lián)網(wǎng)裝置數(shù)量將達到300億個。

  這樣的數(shù)量何其驚人!或許有人認為“這一切都是假的,嚇不倒我......”,但現(xiàn)實中,光是我們?nèi)粘=佑|或使用的聯(lián)網(wǎng)裝置,就已不下數(shù)十種,例如:安全監(jiān)控設(shè)備(IP Camera)、無線基地及分享器、網(wǎng)絡(luò)儲存系統(tǒng)(NAS),或是任何冠上智能聯(lián)網(wǎng)的電器設(shè)備(Smart Devices)。

  不過,目前絕大多數(shù)的物聯(lián)網(wǎng),都以能夠快速投入市場為目標,因此,長期以來,僅以最低標準來看待“安全”議題。事實上,在Mirai所引發(fā)的攻擊前,便已經(jīng)有多起物聯(lián)網(wǎng)安全事件在警告著,包括華碩(Asus)、Belkin、Cisco Linksys、友訊(D-Link)、Netgear、小米、TP-Link等知名且廣為使用的無線路由器,都傳出暴露重大的安全漏洞問題的消息,而令人擔憂的是,類似的問題發(fā)生,仍層出不窮。

  有人說:“物聯(lián)網(wǎng)設(shè)備是發(fā)動DDoS攻擊的完美平臺”?為何如此?這絕對與物聯(lián)網(wǎng)設(shè)備的特性有關(guān):

  ● 常??蛇B結(jié)性:物聯(lián)網(wǎng)設(shè)備與互聯(lián)網(wǎng)的連結(jié)幾乎是7/24不中斷,而人們也很愿意保持物聯(lián)網(wǎng)設(shè)備不斷網(wǎng)、不斷電的狀態(tài),即使設(shè)備是處于閑置的狀態(tài)。

  ● 具有不錯的運算能力:為了加速處理能力以提升服務質(zhì)量下,有越來越多的物聯(lián)網(wǎng)設(shè)備,都配置了不錯的系統(tǒng)規(guī)格,舉例來說:一片Raspberry Pi 2配備了單顆4核心頻率900MHz的ARM Cortex-A7處理器,以及1GB內(nèi)存,而這樣的硬件組態(tài),就可以運行500個Docker容器。

  ● 安全不設(shè)防的設(shè)計:由于物聯(lián)網(wǎng)設(shè)備的多樣化與復雜性,因此,幾乎都沒有內(nèi)載、安裝安全軟件。當然,沒有適合于物聯(lián)網(wǎng)型態(tài)的安全軟件,是因素之一,而另一層因素是為了避免影響效能。

  ● 嵌入式系統(tǒng):物聯(lián)網(wǎng)設(shè)備主要采用Linux或Windows嵌入式系統(tǒng)設(shè)計,但嵌入式系統(tǒng)宛如復制人大軍,雖然方便物聯(lián)網(wǎng)設(shè)備大量生產(chǎn)或改造,但是被發(fā)現(xiàn)可利用的弱點時,也將會造成通盤崩壞的局面。

  基于上述的特性,物聯(lián)網(wǎng)設(shè)備對于黑客而言,無疑是個取之不盡、用之不竭的寶地。

  以Mirai攻擊為例,受Mirai惡意軟件感染的裝置,會持續(xù)在互聯(lián)網(wǎng)上掃描物聯(lián)網(wǎng)裝置的IP地址,之后,Mirai會透過超過60種常用默認用戶名稱和密碼,辨別出易受攻擊的裝置,然后,登入這些裝置,以注入Mirai惡意軟件,而受感染的裝置將會繼續(xù)正常工作,只是成為Mirai所掌握的上萬名殭尸網(wǎng)絡(luò)軍隊中的一員,靜靜地等待攻擊者下達攻擊指令。

物聯(lián)網(wǎng)已經(jīng)為全世界許多國家所使用,并且有多數(shù)遭受殭尸網(wǎng)絡(luò)感染而被利用著,中國及美國為全球主要的物聯(lián)網(wǎng)設(shè)備制造及使用的國家,因此分占第一、二名;而位居第三的巴西則應與2016奧運有關(guān)。(圖片來源/NexusGuard)

  地下犯罪經(jīng)濟將助長物聯(lián)網(wǎng)安全威脅

  另一個物聯(lián)網(wǎng)安全陷入重大危機的因素,則是近幾年來的安全攻擊,已經(jīng)跟地下犯罪經(jīng)濟有著高度依存,而且,各類型的黑客工具,已經(jīng)發(fā)展出專業(yè)化的黑客黑市交易平臺,例如,提供DDoSaaS(DDoS服務)、以每小時5美元起跳的不同等級服務。

  黑客也將攻擊工具及服務,猶如軍火演練一般,進行實際展示。以最近臺灣證券業(yè)所遭受的DDoS勒索攻擊事件,也是透過黑客黑市所致,先不論攻擊的用意是否為了勒索或有其他目的,其結(jié)果已經(jīng)反映出,我們對于DDoS攻擊的應變能力及處理能量上,是不足的。

  同時,黑客黑市也逐步將物聯(lián)網(wǎng)IoT,轉(zhuǎn)換成殭尸網(wǎng)BoT (BotNet of Things)。而且,除了Mirai之外,還有其他各類型的惡意軟件,正悄悄運作中,不斷吸納殭尸魁儡軍團,不僅可以針對指定的目標及產(chǎn)業(yè),發(fā)起DDoS攻擊,也可以施展分隊游擊或聲東擊西,抑或是采取連續(xù)技(癱瘓安全設(shè)備->攻擊穿透->注入惡意軟件)等等不同的戰(zhàn)術(shù)。

  就以近期狀況而言,我們看到attackscape.com針對全球各國物聯(lián)網(wǎng)殭尸網(wǎng)絡(luò)行為分布,提出了2016年第四季偵測分析結(jié)果,里面談到,全球至少有426,770臺具弱點可利用的物聯(lián)網(wǎng)設(shè)備,而且,基于Mirai感染機制下,將會有更多的殭尸網(wǎng)絡(luò)設(shè)備增加。另外,從Nexusguard《DDoS Threat Report Q4 2016》報告中顯示,中國及美國所占數(shù)量最多。

  物聯(lián)網(wǎng)的安全需求

  首先,你必須先了解物聯(lián)網(wǎng)的架構(gòu),以及對應的安全管控議題,并且,避免將長期受到訓練的傳統(tǒng)安全防護概念,直接套用在物聯(lián)網(wǎng),歸零之后,再重新逐層建構(gòu)你的物聯(lián)網(wǎng)安全模型。

  如前述提到,物聯(lián)網(wǎng)可說是集合網(wǎng)絡(luò)、應用程序、移動化、云端之大成的進化體,因此,其安全上的威脅議題,也變得比我們可以想象的還要更復雜。

  對于物聯(lián)網(wǎng)的研發(fā)過程,業(yè)者必須更應著重“安全的系統(tǒng)發(fā)展生命周期 (SSDLC)”,在考慮系統(tǒng)功能性的同時,即導入安全性的思維──于系統(tǒng)開發(fā)之初,就要進行各項必要的安全防護措施。雖然這會拉長設(shè)計的時程,卻降低了系統(tǒng)后續(xù)維護的成本,以及遭受到攻擊行為的損失。

  我們可參考幾個近期實際案例,像是中國廠商“雄邁”所打造的機板,是Mirai殭尸網(wǎng)絡(luò)的重要組成份子,而最近則再次被公布用于閉路監(jiān)視設(shè)備(CCTV)的超級權(quán)限密鑰,這些信息已然泄露于網(wǎng)絡(luò)上,令人憂慮。

  此外,于2017年初,美國聯(lián)邦貿(mào)易委員會(FTC)也提出指控,認為臺灣網(wǎng)絡(luò)設(shè)備商友訊科技與其美國子公司,未能采取適當?shù)陌踩胧?,導致其無線路由器與網(wǎng)絡(luò)攝影機易遭黑客攻擊,進而危及美國消費者的隱私權(quán);先前,F(xiàn)TC也曾對華碩提告,而華碩則已于2016年2月和FTC達成和解。

  就產(chǎn)業(yè)的發(fā)展而言,對于物聯(lián)網(wǎng)的安全規(guī)范及對策,也開始受到重視,目前已有相關(guān)的組織機構(gòu)投入,并且著手制訂。

  例如,由英國國家微電子研究所主導,于近期成立的物聯(lián)網(wǎng)安全基金會(IoTSF),已經(jīng)獲得了30家以上的廠商與機構(gòu)的支持,其中,包括:Broadcom、Freescale、Imagination Technologies、Inside Secure,以及Tokyo Electron、Vodafone、u-blox等公司,同時,還有一些學術(shù)單位。

  除此之外,OWASP組織也推動了“OWASP Internet of Things Project”。而這項計劃的主要宗旨,在于幫助制造商、開發(fā)人員和使用者,能夠更為了解物聯(lián)網(wǎng)相關(guān)安全問題,并促使任何環(huán)境中的用戶,在構(gòu)建、部署或評估物聯(lián)網(wǎng)技術(shù)時,能夠做出更好的安全決策。

  與其擔心DDoS攻擊,更應關(guān)注未來更多的勒索威脅

  在臺灣,我們?nèi)耘f習慣于消極被動的安全應對方式,如近期所發(fā)生的多家證券業(yè)者遭受DDoS勒索攻擊的事件下,即引發(fā)一波DDoS防護方案的熱潮,但也總是抱持尋求萬靈丹的心態(tài),不愿意正視檢驗自身不足之處,從“APT熱潮”到去年“加密勒索熱潮”都可見一班。

  其實,安全防護能否健全的根基,始終來自于你對自身的弱點風險掌握,畢竟,黑客將施展的攻擊手法,是不可預知的。

  就以“破窗效應(Broken Windows Theory)”來比擬,環(huán)境中的不良現(xiàn)象,如果被放任存在,就可能會誘使人們仿效,甚至變本加厲,而所要采取的解決之道,除了“要有好窗”之外,還要“經(jīng)常護窗”,并且“及時補窗”。

  因此,當前的安全保護方法就是“比快”,快速掌握趨勢、快速檢測找出可趁之處、快速建立應變對策。

  物聯(lián)網(wǎng)架構(gòu)主要包括:感測層、網(wǎng)絡(luò)層,以及應用層,各層的設(shè)備系統(tǒng)擔負不同的角色功能,并涵蓋不同的維運者,因此,在安全評量上,不能僅從單一維度思考,圖中的安全需求模型所列出的基礎(chǔ)項目,可做為參考。

  OWASP前十大物聯(lián)網(wǎng)弱點項目

  早在2014年,OWASP組織針對物聯(lián)網(wǎng)安全,提出了“OWASP Internet of Things Project”,目的在協(xié)助制造商、開發(fā)人員及使用者,都能更清楚了解物聯(lián)網(wǎng)相關(guān)的安全議題,表中為物聯(lián)網(wǎng)前十大弱點項目。數(shù)據(jù)源:OWASP

  1. 不安全的網(wǎng)頁接口(Insecure Web Interface)

  2. 驗證或授權(quán)不足(Insufficient Authentication/Authorization)

  3. 不安全的網(wǎng)絡(luò)服務(Insecure Network Services)

  4. 欠缺傳輸加密或完整性驗證(Lack of Transport Encryption/Integrity Verification)

  5. 隱私考慮(Privacy Concerns)

  6. 不安全的云端服務接口(Insecure Cloud Interface)

  7. 不安全的移動應用界面(Insecure Mobile Interface)

  8. 安全組態(tài)的不足(Insufficient Security Configurability)

  9. 不安全的軟件或韌體(Insecure Software/Firmware)

  10. 貧乏的實體安全措施(Poor Physical Security)

人物訪談