智能硬件安全防线何时不再“形同虚设”
Twitter、Netflix、Spotify、Airbnb、Reddit、Etsy、SoundCloud……这些平日里美国用户经常上的网站居然访问不了,这让大洋彼岸的网民们情何以堪?北京时间21日晚,美国遭遇了史上最大DDoS攻击,据媒体报道,在这次事件中,黑客们使用了一种被称作“物联网破坏者”的Mirai病毒来进行“肉鸡”搜索,而导致大规模断网事件背后暴露出的则是物联网设备的一直存在的安全隐患。
摄像头搞瘫美国网络、智能插座发微博、机器人知道了你的密码……
Twitter、Netflix、Spotify、Airbnb、Reddit、Etsy、SoundCloud……这些平日里美国用户经常上的网站居然访问不了,这让大洋彼岸的网民们情何以堪?北京时间21日晚,美国遭遇了史上最大DDoS攻击,据媒体报道,在这次事件中,黑客们使用了一种被称作“物联网破坏者”的Mirai病毒来进行“肉鸡”搜索,而导致大规模断网事件背后暴露出的则是物联网设备的一直存在的安全隐患。
模组密码通用被黑客利用
此次受到影响的Twitter、Netflix、Airbnb等公司的网站服务商为Dyn,根据Dyn的公告,黑客最早在美国时间10月21日早上7点开始DDoS攻击,这让Dyn的服务瘫痪了两小时。几小时后,Dyn服务器又遭受了第二次攻击,造成进一步感染,下午Dyn又遭到了第三次攻击。
所谓DDoS攻击,其原理就是通过大量数据请求让服务器瘫痪,使其他用户无法通过域名查询IP地址。但由于单个计算机的攻击能力有限,而且服务器都有IP限制,因此黑客一般会使用其它被控制的终端设备同时访问一个服务器来实现攻击。
Dyn还在声明中表示,其中大量攻击来自智能物联网设备,例如路由器、智能摄像头等。也就是说,相对于以前被当作“肉鸡”的PC机和本地服务器,现在黑客已经控制了更多的智能联网设备。
一位安全界人士告诉记者,现在有的智能硬件公司开发摄像模组,模组中的密码被写入到固件中,还没有工具可以修改这个模组的密码,黑客可以套用通用的账户名和密码,控制联网的智能硬件。
事情发酵后,一家中国技术公司躺枪,因为这些智能物联网设备被指由中国的雄迈信息制造。这家位于杭州的公司10月25日表示,在美国发生大面积网络瘫痪、导致全球最大的几家网站无法访问事件过后,拟召回至多一万个网络摄像头。但雄迈也表示,这并不意味着他们应该为全美的网络瘫痪担全责。“出厂设备默认的是相同的用户名、没有设密码,说明书中要求用户使用前自行设置更改,但很多客户不会这样去做。而且美国的网络瘫痪牵涉的厂家也不只我们一家。”杭州雄迈销售负责人陈赟这样对媒体表示。
小心机器人的“背叛”
大洋彼岸发生了一场网络劫难,而在三天之后的中国上海,一场黑客大赛上演了。在去年的GeekPwn嘉年华上,众多智能软硬件被安全极客们攻破,长亭科技的参赛选手一次性攻破7款智能摄像头,原本用于实时监控,承担安全防护作用的智能摄像头遭破解,并被黑客远程控制,进而变成偷窥隐私的犯罪工具。
今年的GeekPwn嘉年华上,智能硬件依然是白帽子的“攻击焦点”。如果有一天,你家的智能插座自己发了一条微博,或者你家的机器人“反叛”,偷偷地替别人监视你,你是不是被吓住了?
实际上,这两种情况离现实生活已经很近了。在极棒现场,白泽安全团队破解及控制的Nao机器人迈着小碎步,到黑板前,看到之前观众写下的字“极棒无极”。这意味着,这个机器人乖乖听命于黑客,日后在主人进行网上支付时偷偷记录下密码。这是因为黑客通过网络安全漏洞,远程入侵并操控了Nao机器人,做出指定动作,说出指定语句。
凤凰解码安全团队则通过伪装攻击目标Edimax智能插座,触发漏洞,获取App控制端发出的认证信息,通过该认证信息远程控制该智能插座。他们还利用协议漏洞篡改固件,把智能插座变成被黑客任意操控的“肉鸡”,成功突破插座安全限制之后,控制其发送了一条微博。
在碁震KEEN创始人兼CEO王琦看来,智能插座既然能发微博,也能被黑客控制做更具危害性的事。截止到目前,整个智能硬件行业的产品里,没有一个没被GeekPwn的选手黑过。
一个漏洞或涉及百万智能硬件
无论是美国网络大瘫痪,还是GeekPwn嘉年华上被攻破的智能硬件,都昭示着同一个问题:作为日渐普及的智能硬件,其安全问题也在日益突出。
黑客老鹰有一个别墅级智能硬件专区,可以研究智能硬件的安全性。有一次,黑客老鹰发现他挂在公网上的一个Broadlink插座突然被关机了。这也说明,Broadlink的这款插座已经被黑客破解。根据Broadlink的数据显示,仅2015年,其Wi-Fi智能模块的出货量就超过500万片,其服务超过200家企业,包括家电、电工以及智能硬件行业,真实联网设备超过800万台。
凤凰解码安全团队成员、东南大学计算机科学与工程学院教师凌振告诉记者,智能硬件厂商在安全方面所做的研究非常有限,以至于相当数量的智能硬件携带非常多的漏洞,这些漏洞往往是低级的,甚至有些漏洞还是通用的,这次美国断网事件就是很好的例证。不少智能硬件厂商只求功能正常运行,而忽视了背后的安全建设。
安全情报公司Flashpoint此前就美国网络瘫痪事件表示,此次事件暴露出物联网设备存在严重的安全门槛过低的问题,可能对物联网相关产业形成冲击。