IoT vs. BoT──物聯(lián)網(wǎng)刮起的安全風暴
萬物聯(lián)網(wǎng)已是必然的趨勢,在擔心家中該如何使用智能冰箱、智能電視之前,更需要留意它們,是否已經(jīng)被吸收,而成為殭尸網(wǎng)絡(luò)一員了。
物聯(lián)網(wǎng)(IoT)是一項被引領(lǐng)期盼的未來技術(shù)潮流,只是在人們不斷歌頌物聯(lián)網(wǎng)所帶來的美好未來時,另一個造成恐慌的“未來”(Mirai惡意軟件),則在2016年底開啟了物聯(lián)網(wǎng)安全威脅之門。
物聯(lián)網(wǎng)并不只是一個可以連上互聯(lián)網(wǎng)的裝置而已,事實上,物聯(lián)網(wǎng)可以說是集合網(wǎng)絡(luò)、應用程序、移動化、云端等科技之大成,甚至包括大數(shù)據(jù)及AI人工智能等等;但相對的,這些科技所存在的安全問題,也同樣被移植到物聯(lián)網(wǎng),并且產(chǎn)生復合性的威脅,而Mirai則是利用物聯(lián)網(wǎng)這項科技存在的漏洞威脅,所應運而生。
事實上,Mirai是一款惡意軟件,針對執(zhí)行Linux的系統(tǒng),使之成為被遠程操控的“殭尸”,透過殭尸網(wǎng)絡(luò)進行大規(guī)模網(wǎng)絡(luò)攻擊。一群網(wǎng)絡(luò)攻擊者利用Mirai所發(fā)動的DDoS攻擊,創(chuàng)下每秒Tb級的攻擊流量,另外,他們也成功癱瘓Dyn網(wǎng)絡(luò)服務商的DNS服務。
同時,此次DDoS攻擊有效地擊中要害,并且造成北美各大網(wǎng)站受到影響,使用者無法瀏覽,而這些攻擊,則是來自高達10幾萬臺被Mirai所感染的物聯(lián)網(wǎng)裝置(IP Camera),作為殭尸網(wǎng)絡(luò)利用。
更令人憂心的是,Mirai原始碼被該作者公布后,已經(jīng)促成新變種殭尸網(wǎng)絡(luò)形成。根據(jù)Level 3威脅研究中心研究估計,Mirai殭尸裝置的數(shù)量從21.3萬臺,增加到49.3萬臺,并且已演化出能感染W(wǎng)indows裝置的版本,勢必擴大Mirai殭尸網(wǎng)絡(luò)的感染范圍。
雖然威脅越演越烈,但相對地,由于Mirai事件的爆發(fā),也同時驚醒人們對于物聯(lián)網(wǎng)安全的注意。
IoT物聯(lián)網(wǎng)是融合網(wǎng)絡(luò)、應用程序服務、移動化、云端等多種科技的集成體,也因此,各項科技技術(shù)所存在的安全問題風險,也同樣存在于物聯(lián)網(wǎng),并且更容易產(chǎn)生復合性的攻擊威脅。(圖片來源/RSA Conference 2015)
物聯(lián)網(wǎng)設(shè)備是發(fā)動DDoS攻擊的完美平臺
過往要實現(xiàn)一個DDoS攻擊并不容易,但隨著物聯(lián)網(wǎng)在業(yè)者的推波助瀾下,促使聯(lián)網(wǎng)的裝置系統(tǒng)大幅度增長。
根據(jù)國際研究顧問機構(gòu)Gartner預測,2017年全球使用中的連網(wǎng)對象數(shù)量,將達到84億個,到2020年更將增至204億個。而另一知名市調(diào)機構(gòu)IDC更預估,在2020年,全球物聯(lián)網(wǎng)裝置數(shù)量將達到300億個。
這樣的數(shù)量何其驚人!或許有人認為“這一切都是假的,嚇不倒我......”,但現(xiàn)實中,光是我們?nèi)粘=佑|或使用的聯(lián)網(wǎng)裝置,就已不下數(shù)十種,例如:安全監(jiān)控設(shè)備(IP Camera)、無線基地及分享器、網(wǎng)絡(luò)儲存系統(tǒng)(NAS),或是任何冠上智能聯(lián)網(wǎng)的電器設(shè)備(Smart Devices)。
不過,目前絕大多數(shù)的物聯(lián)網(wǎng),都以能夠快速投入市場為目標,因此,長期以來,僅以最低標準來看待“安全”議題。事實上,在Mirai所引發(fā)的攻擊前,便已經(jīng)有多起物聯(lián)網(wǎng)安全事件在警告著,包括華碩(Asus)、Belkin、Cisco Linksys、友訊(D-Link)、Netgear、小米、TP-Link等知名且廣為使用的無線路由器,都傳出暴露重大的安全漏洞問題的消息,而令人擔憂的是,類似的問題發(fā)生,仍層出不窮。
有人說:“物聯(lián)網(wǎng)設(shè)備是發(fā)動DDoS攻擊的完美平臺”?為何如此?這絕對與物聯(lián)網(wǎng)設(shè)備的特性有關(guān):
● 常??蛇B結(jié)性:物聯(lián)網(wǎng)設(shè)備與互聯(lián)網(wǎng)的連結(jié)幾乎是7/24不中斷,而人們也很愿意保持物聯(lián)網(wǎng)設(shè)備不斷網(wǎng)、不斷電的狀態(tài),即使設(shè)備是處于閑置的狀態(tài)。
● 具有不錯的運算能力:為了加速處理能力以提升服務質(zhì)量下,有越來越多的物聯(lián)網(wǎng)設(shè)備,都配置了不錯的系統(tǒng)規(guī)格,舉例來說:一片Raspberry Pi 2配備了單顆4核心頻率900MHz的ARM Cortex-A7處理器,以及1GB內(nèi)存,而這樣的硬件組態(tài),就可以運行500個Docker容器。
● 安全不設(shè)防的設(shè)計:由于物聯(lián)網(wǎng)設(shè)備的多樣化與復雜性,因此,幾乎都沒有內(nèi)載、安裝安全軟件。當然,沒有適合于物聯(lián)網(wǎng)型態(tài)的安全軟件,是因素之一,而另一層因素是為了避免影響效能。
● 嵌入式系統(tǒng):物聯(lián)網(wǎng)設(shè)備主要采用Linux或Windows嵌入式系統(tǒng)設(shè)計,但嵌入式系統(tǒng)宛如復制人大軍,雖然方便物聯(lián)網(wǎng)設(shè)備大量生產(chǎn)或改造,但是被發(fā)現(xiàn)可利用的弱點時,也將會造成通盤崩壞的局面。
基于上述的特性,物聯(lián)網(wǎng)設(shè)備對于黑客而言,無疑是個取之不盡、用之不竭的寶地。
以Mirai攻擊為例,受Mirai惡意軟件感染的裝置,會持續(xù)在互聯(lián)網(wǎng)上掃描物聯(lián)網(wǎng)裝置的IP地址,之后,Mirai會透過超過60種常用默認用戶名稱和密碼,辨別出易受攻擊的裝置,然后,登入這些裝置,以注入Mirai惡意軟件,而受感染的裝置將會繼續(xù)正常工作,只是成為Mirai所掌握的上萬名殭尸網(wǎng)絡(luò)軍隊中的一員,靜靜地等待攻擊者下達攻擊指令。
物聯(lián)網(wǎng)已經(jīng)為全世界許多國家所使用,并且有多數(shù)遭受殭尸網(wǎng)絡(luò)感染而被利用著,中國及美國為全球主要的物聯(lián)網(wǎng)設(shè)備制造及使用的國家,因此分占第一、二名;而位居第三的巴西則應與2016奧運有關(guān)。(圖片來源/NexusGuard)
地下犯罪經(jīng)濟將助長物聯(lián)網(wǎng)安全威脅
另一個物聯(lián)網(wǎng)安全陷入重大危機的因素,則是近幾年來的安全攻擊,已經(jīng)跟地下犯罪經(jīng)濟有著高度依存,而且,各類型的黑客工具,已經(jīng)發(fā)展出專業(yè)化的黑客黑市交易平臺,例如,提供DDoSaaS(DDoS服務)、以每小時5美元起跳的不同等級服務。
黑客也將攻擊工具及服務,猶如軍火演練一般,進行實際展示。以最近臺灣證券業(yè)所遭受的DDoS勒索攻擊事件,也是透過黑客黑市所致,先不論攻擊的用意是否為了勒索或有其他目的,其結(jié)果已經(jīng)反映出,我們對于DDoS攻擊的應變能力及處理能量上,是不足的。
同時,黑客黑市也逐步將物聯(lián)網(wǎng)IoT,轉(zhuǎn)換成殭尸網(wǎng)BoT (BotNet of Things)。而且,除了Mirai之外,還有其他各類型的惡意軟件,正悄悄運作中,不斷吸納殭尸魁儡軍團,不僅可以針對指定的目標及產(chǎn)業(yè),發(fā)起DDoS攻擊,也可以施展分隊游擊或聲東擊西,抑或是采取連續(xù)技(癱瘓安全設(shè)備->攻擊穿透->注入惡意軟件)等等不同的戰(zhàn)術(shù)。
就以近期狀況而言,我們看到attackscape.com針對全球各國物聯(lián)網(wǎng)殭尸網(wǎng)絡(luò)行為分布,提出了2016年第四季偵測分析結(jié)果,里面談到,全球至少有426,770臺具弱點可利用的物聯(lián)網(wǎng)設(shè)備,而且,基于Mirai感染機制下,將會有更多的殭尸網(wǎng)絡(luò)設(shè)備增加。另外,從Nexusguard《DDoS Threat Report Q4 2016》報告中顯示,中國及美國所占數(shù)量最多。
物聯(lián)網(wǎng)的安全需求
首先,你必須先了解物聯(lián)網(wǎng)的架構(gòu),以及對應的安全管控議題,并且,避免將長期受到訓練的傳統(tǒng)安全防護概念,直接套用在物聯(lián)網(wǎng),歸零之后,再重新逐層建構(gòu)你的物聯(lián)網(wǎng)安全模型。
如前述提到,物聯(lián)網(wǎng)可說是集合網(wǎng)絡(luò)、應用程序、移動化、云端之大成的進化體,因此,其安全上的威脅議題,也變得比我們可以想象的還要更復雜。
對于物聯(lián)網(wǎng)的研發(fā)過程,業(yè)者必須更應著重“安全的系統(tǒng)發(fā)展生命周期 (SSDLC)”,在考慮系統(tǒng)功能性的同時,即導入安全性的思維──于系統(tǒng)開發(fā)之初,就要進行各項必要的安全防護措施。雖然這會拉長設(shè)計的時程,卻降低了系統(tǒng)后續(xù)維護的成本,以及遭受到攻擊行為的損失。
我們可參考幾個近期實際案例,像是中國廠商“雄邁”所打造的機板,是Mirai殭尸網(wǎng)絡(luò)的重要組成份子,而最近則再次被公布用于閉路監(jiān)視設(shè)備(CCTV)的超級權(quán)限密鑰,這些信息已然泄露于網(wǎng)絡(luò)上,令人憂慮。
此外,于2017年初,美國聯(lián)邦貿(mào)易委員會(FTC)也提出指控,認為臺灣網(wǎng)絡(luò)設(shè)備商友訊科技與其美國子公司,未能采取適當?shù)陌踩胧?,導致其無線路由器與網(wǎng)絡(luò)攝影機易遭黑客攻擊,進而危及美國消費者的隱私權(quán);先前,F(xiàn)TC也曾對華碩提告,而華碩則已于2016年2月和FTC達成和解。
就產(chǎn)業(yè)的發(fā)展而言,對于物聯(lián)網(wǎng)的安全規(guī)范及對策,也開始受到重視,目前已有相關(guān)的組織機構(gòu)投入,并且著手制訂。
例如,由英國國家微電子研究所主導,于近期成立的物聯(lián)網(wǎng)安全基金會(IoTSF),已經(jīng)獲得了30家以上的廠商與機構(gòu)的支持,其中,包括:Broadcom、Freescale、Imagination Technologies、Inside Secure,以及Tokyo Electron、Vodafone、u-blox等公司,同時,還有一些學術(shù)單位。
除此之外,OWASP組織也推動了“OWASP Internet of Things Project”。而這項計劃的主要宗旨,在于幫助制造商、開發(fā)人員和使用者,能夠更為了解物聯(lián)網(wǎng)相關(guān)安全問題,并促使任何環(huán)境中的用戶,在構(gòu)建、部署或評估物聯(lián)網(wǎng)技術(shù)時,能夠做出更好的安全決策。
與其擔心DDoS攻擊,更應關(guān)注未來更多的勒索威脅
在臺灣,我們?nèi)耘f習慣于消極被動的安全應對方式,如近期所發(fā)生的多家證券業(yè)者遭受DDoS勒索攻擊的事件下,即引發(fā)一波DDoS防護方案的熱潮,但也總是抱持尋求萬靈丹的心態(tài),不愿意正視檢驗自身不足之處,從“APT熱潮”到去年“加密勒索熱潮”都可見一班。
其實,安全防護能否健全的根基,始終來自于你對自身的弱點風險掌握,畢竟,黑客將施展的攻擊手法,是不可預知的。
就以“破窗效應(Broken Windows Theory)”來比擬,環(huán)境中的不良現(xiàn)象,如果被放任存在,就可能會誘使人們仿效,甚至變本加厲,而所要采取的解決之道,除了“要有好窗”之外,還要“經(jīng)常護窗”,并且“及時補窗”。
因此,當前的安全保護方法就是“比快”,快速掌握趨勢、快速檢測找出可趁之處、快速建立應變對策。
物聯(lián)網(wǎng)架構(gòu)主要包括:感測層、網(wǎng)絡(luò)層,以及應用層,各層的設(shè)備系統(tǒng)擔負不同的角色功能,并涵蓋不同的維運者,因此,在安全評量上,不能僅從單一維度思考,圖中的安全需求模型所列出的基礎(chǔ)項目,可做為參考。
OWASP前十大物聯(lián)網(wǎng)弱點項目
早在2014年,OWASP組織針對物聯(lián)網(wǎng)安全,提出了“OWASP Internet of Things Project”,目的在協(xié)助制造商、開發(fā)人員及使用者,都能更清楚了解物聯(lián)網(wǎng)相關(guān)的安全議題,表中為物聯(lián)網(wǎng)前十大弱點項目。數(shù)據(jù)源:OWASP
1. 不安全的網(wǎng)頁接口(Insecure Web Interface)
2. 驗證或授權(quán)不足(Insufficient Authentication/Authorization)
3. 不安全的網(wǎng)絡(luò)服務(Insecure Network Services)
4. 欠缺傳輸加密或完整性驗證(Lack of Transport Encryption/Integrity Verification)
5. 隱私考慮(Privacy Concerns)
6. 不安全的云端服務接口(Insecure Cloud Interface)
7. 不安全的移動應用界面(Insecure Mobile Interface)
8. 安全組態(tài)的不足(Insufficient Security Configurability)
9. 不安全的軟件或韌體(Insecure Software/Firmware)
10. 貧乏的實體安全措施(Poor Physical Security)