IoT vs BoT──物联网刮起的安全风暴
扫描二维码
随时随地手机看文章
物联网(IoT)是一项被引领期盼的未来技术潮流,只是在人们不断歌颂物联网所带来的美好未来时,另一个造成恐慌的“未来”(Mirai恶意软件),则在2016年底开启了物联网安全威胁之门。
物联网并不只是一个可以连上互联网的装置而已,事实上,物联网可以说是集合网络、应用程序、移动化、云端等科技之大成,甚至包括大数据及AI人工智能等等;但相对的,这些科技所存在的安全问题,也同样被移植到物联网,并且产生复合性的威胁,而Mirai则是利用物联网这项科技存在的漏洞威胁,所应运而生。
事实上,Mirai是一款恶意软件,针对执行Linux的系统,使之成为被远程操控的“殭尸”,透过殭尸网络进行大规模网络攻击。一群网络攻击者利用Mirai所发动的DDoS攻击,创下每秒Tb级的攻击流量,另外,他们也成功瘫痪Dyn网络服务商的DNS服务。
同时,此次DDoS攻击有效地击中要害,并且造成北美各大网站受到影响,使用者无法浏览,而这些攻击,则是来自高达10几万台被Mirai所感染的物联网装置(IP Camera),作为殭尸网络利用。
更令人忧心的是,Mirai原始码被该作者公布后,已经促成新变种殭尸网络形成。根据Level 3威胁研究中心研究估计,Mirai殭尸装置的数量从21.3万台,增加到49.3万台,并且已演化出能感染Windows装置的版本,势必扩大Mirai殭尸网络的感染范围。
虽然威胁越演越烈,但相对地,由于Mirai事件的爆发,也同时惊醒人们对于物联网安全的注意。
物联网设备是发动DDoS攻击的完美平台
过往要实现一个DDoS攻击并不容易,但随着物联网在业者的推波助澜下,促使联网的装置系统大幅度增长。
根据国际研究顾问机构Gartner预测,2017年全球使用中的连网对象数量,将达到84亿个,到2020年更将增至204亿个。而另一知名市调机构IDC更预估,在2020年,全球物联网装置数量将达到300亿个。
这样的数量何其惊人!或许有人认为“这一切都是假的,吓不倒我......”,但现实中,光是我们日常接触或使用的联网装置,就已不下数十种,例如:安全监控设备(IP Camera)、无线基地及分享器、网络储存系统(NAS),或是任何冠上智能联网的电器设备(Smart Devices)。
不过,目前绝大多数的物联网,都以能够快速投入市场为目标,因此,长期以来,仅以最低标准来看待“安全”议题。事实上,在Mirai所引发的攻击前,便已经有多起物联网安全事件在警告着,包括华硕(Asus)、Belkin、Cisco Linksys、友讯(D-Link)、Netgear、小米、TP-Link等知名且广为使用的无线路由器,都传出暴露重大的安全漏洞问题的消息,而令人担忧的是,类似的问题发生,仍层出不穷。
有人说:“物联网设备是发动DDoS攻击的完美平台”?为何如此?这绝对与物联网设备的特性有关:
● 常保可连结性:物联网设备与互联网的连结几乎是7/24不中断,而人们也很愿意保持物联网设备不断网、不断电的状态,即使设备是处于闲置的状态。
● 具有不错的运算能力:为了加速处理能力以提升服务质量下,有越来越多的物联网设备,都配置了不错的系统规格,举例来说:一片Raspberry Pi 2配备了单颗4核心频率900MHz的ARM Cortex-A7处理器,以及1GB内存,而这样的硬件组态,就可以运行500个Docker容器。
● 安全不设防的设计:由于物联网设备的多样化与复杂性,因此,几乎都没有内载、安装安全软件。当然,没有适合于物联网型态的安全软件,是因素之一,而另一层因素是为了避免影响效能。
● 嵌入式系统:物联网设备主要采用Linux或Windows嵌入式系统设计,但嵌入式系统宛如复制人大军,虽然方便物联网设备大量生产或改造,但是被发现可利用的弱点时,也将会造成通盘崩坏的局面。
基于上述的特性,物联网设备对于黑客而言,无疑是个取之不尽、用之不竭的宝地。
以Mirai攻击为例,受Mirai恶意软件感染的装置,会持续在互联网上扫描物联网装置的IP地址,之后,Mirai会透过超过60种常用默认用户名称和密码,辨别出易受攻击的装置,然后,登入这些装置,以注入Mirai恶意软件,而受感染的装置将会继续正常工作,只是成为Mirai所掌握的上万名殭尸网络军队中的一员,静静地等待攻击者下达攻击指令。
物联网已经为全世界许多国家所使用,并且有多数遭受殭尸网络感染而被利用着,中国及美国为全球主要的物联网设备制造及使用的国家,因此分占第一、二名;而位居第三的巴西则应与2016奥运有关。
地下犯罪经济将助长物联网安全威胁
另一个物联网安全陷入重大危机的因素,则是近几年来的安全攻击,已经跟地下犯罪经济有着高度依存,而且,各类型的黑客工具,已经发展出专业化的黑客黑市交易平台,例如,提供DDoSaaS(DDoS服务)、以每小时5美元起跳的不同等级服务。
黑客也将攻击工具及服务,犹如军火演练一般,进行实际展示。以最近台湾证券业所遭受的DDoS勒索攻击事件,也是透过黑客黑市所致,先不论攻击的用意是否为了勒索或有其他目的,其结果已经反映出,我们对于DDoS攻击的应变能力及处理能量上,是不足的。
同时,黑客黑市也逐步将物联网IoT,转换成殭尸网BoT (BotNet of Things)。而且,除了Mirai之外,还有其他各类型的恶意软件,正悄悄运作中,不断吸纳殭尸魁儡军团,不仅可以针对指定的目标及产业,发起DDoS攻击,也可以施展分队游击或声东击西,抑或是采取连续技(瘫痪安全设备->攻击穿透->注入恶意软件)等等不同的战术。
就以近期状况而言,我们看到attackscape.com针对全球各国物联网殭尸网络行为分布,提出了2016年第四季侦测分析结果,里面谈到,全球至少有426,770台具弱点可利用的物联网设备,而且,基于Mirai感染机制下,将会有更多的殭尸网络设备增加。另外,从Nexusguard《DDoS Threat Report Q4 2016》报告中显示,中国及美国所占数量最多。
物联网的安全需求
首先,你必须先了解物联网的架构,以及对应的安全管控议题,并且,避免将长期受到训练的传统安全防护概念,直接套用在物联网,归零之后,再重新逐层建构你的物联网安全模型。
如前述提到,物联网可说是集合网络、应用程序、移动化、云端之大成的进化体,因此,其安全上的威胁议题,也变得比我们可以想象的还要更复杂。
对于物联网的研发过程,业者必须更应着重“安全的系统发展生命周期 (SSDLC)”,在考虑系统功能性的同时,即导入安全性的思维──于系统开发之初,就要进行各项必要的安全防护措施。虽然这会拉长设计的时程,却降低了系统后续维护的成本,以及遭受到攻击行为的损失。
我们可参考几个近期实际案例,像是中国厂商“雄迈”所打造的机板,是Mirai殭尸网络的重要组成份子,而最近则再次被公布用于闭路监视设备(CCTV)的超级权限密钥,这些信息已然泄露于网络上,令人忧虑。
此外,于2017年初,美国联邦贸易委员会(FTC)也提出指控,认为台湾网络设备商友讯科技与其美国子公司,未能采取适当的安全措施,导致其无线路由器与网络摄影机易遭黑客攻击,进而危及美国消费者的隐私权;先前,FTC也曾对华硕提告,而华硕则已于2016年2月和FTC达成和解。
就产业的发展而言,对于物联网的安全规范及对策,也开始受到重视,目前已有相关的组织机构投入,并且着手制订。
例如,由英国国家微电子研究所主导,于近期成立的物联网安全基金会(IoTSF),已经获得了30家以上的厂商与机构的支持,其中,包括:Broadcom、Freescale、Imagination Technologies、Inside Secure,以及Tokyo Electron、Vodafone、u-blox等公司,同时,还有一些学术单位。
除此之外,OWASP组织也推动了“OWASP Internet of Things Project”。而这项计划的主要宗旨,在于帮助制造商、开发人员和使用者,能够更为了解物联网相关安全问题,并促使任何环境中的用户,在构建、部署或评估物联网技术时,能够做出更好的安全决策。
与其担心DDoS攻击,更应关注未来更多的勒索威胁
在台湾,我们仍旧习惯于消极被动的安全应对方式,如近期所发生的多家证券业者遭受DDoS勒索攻击的事件下,即引发一波DDoS防护方案的热潮,但也总是抱持寻求万灵丹的心态,不愿意正视检验自身不足之处,从“APT热潮”到去年“加密勒索热潮”都可见一班。
其实,安全防护能否健全的根基,始终来自于你对自身的弱点风险掌握,毕竟,黑客将施展的攻击手法,是不可预知的。
就以“破窗效应(Broken Windows Theory)”来比拟,环境中的不良现象,如果被放任存在,就可能会诱使人们仿效,甚至变本加厉,而所要采取的解决之道,除了“要有好窗”之外,还要“经常护窗”,并且“及时补窗”。
因此,当前的安全保护方法就是“比快”,快速掌握趋势、快速检测找出可趁之处、快速建立应变对策。
物联网架构主要包括:感测层、网络层,以及应用层,各层的设备系统担负不同的角色功能,并涵盖不同的维运者,因此,在安全评量上,不能仅从单一维度思考,图中的安全需求模型所列出的基础项目,可做为参考。
OWASP前十大物联网弱点项目
早在2014年,OWASP组织针对物联网安全,提出了“OWASP Internet of Things Project”,目的在协助制造商、开发人员及使用者,都能更清楚了解物联网相关的安全议题,表中为物联网前十大弱点项目。数据源:OWASP
1. 不安全的网页接口(Insecure Web Interface)
2. 验证或授权不足(Insufficient Authentication/Authorization)
3. 不安全的网络服务(Insecure Network Services)
4. 欠缺传输加密或完整性验证(Lack of Transport Encryption/Integrity Verification)
5. 隐私考虑(Privacy Concerns)
6. 不安全的云端服务接口(Insecure Cloud Interface)
7. 不安全的移动应用界面(Insecure Mobile Interface)
8. 安全组态的不足(Insufficient Security Configurability)
9. 不安全的软件或韧体(Insecure Software/Firmware)
10. 贫乏的实体安全措施(Poor Physical Security)