Mirai可怕之处,在于只要任何物联网设备疏于变更帐密,就可能成为黑客囊中物,或成为DDoS攻击帮凶,或让采用该装置的企业,直接遭到入侵导致机密外泄。来源:Cyber Investigative Services
毋庸置疑,说到物联网(IoT)或万物联网(IoE),都是近年来炙手可热的议题,也成为厂商亟欲抢攻的商机滩头堡;但人们在享用物联网IoT高度连结效益,继而让工作与生活变得更具智慧便利之余,似乎也承受较以往更大的隐私与安全威胁。
在去年底(2016),一支名为Mirai的僵尸病毒,酿成多起凶猛的分布式阻断服务攻击(DDoS),无疑像是震撼教育,使大家幡然醒悟,总算明白当今被喊得震天价响的物联网,原来如此弱不禁风。
回顾Mirai历史,最早是在去年8月遭人发现,它意在攻击诸如网络路由器、打印机、摄影机或数字监视录像机(DVR)等植基于Linux固件的物联网设备,至于具体入侵手法,病毒会先选择一个随机IP地址,接着试图运用一些预设的管理用帐密,看看能否登入装置;只可惜不少物联网设备供货商、用户都太过轻忽大意,沿用预设帐号与密码的情况比比皆是,以致Mirai攻击者如入无人之境,接连攻陷各大网站,包括Twitter、Paypal、Spotify等网站都沦为苦主。
时至2017年,Mirai更优化了它的体质,不再只懂得利用殭尸程序与暴力破解来发掘潜在受害者,而进一步擅用新的Windows木马程序,帮忙搜寻潜在攻击对象,期以扩大Mirai殭尸病毒的感染范围。
这支Windows木马程序会根据C&C服务器的指示,负责扫瞄被指定的IP地址,假使成功入侵目标装置,会立即检视装置所用的作业平台为何,如果是Linux,便二话不说直接植入Mirai病毒,如果是Windows,就会将木马程序复制一份到装置上,接手搜寻其他Linux目标装置。
可怕的是,Windows木马程序比起原先的Linux版本,可扫瞄的端口数量更多、型态更广,简直把所有可能感染装置的途径,全都纳入其中,得以有效扩大Mirai活动范围。不禁让人忧心,用户在历经2016年底的Mirai震撼教育后,是否亡羊补牢,赶紧改正了采用预设帐密的坏习惯?如果不能,纵使2016年侥幸未沦为受害者,如今仍可能在搭配Windows木马程序的强大攻势下难逃劫数。
民众也许有所不知,有一个堪称是智能物联网IoT装置超大型目录的搜索引擎-Shodan,只要全球的任何用户未对装置更改默认密码,就会被Shodan网站纳入统计,迄至目前,台湾符合Default Password的物联网装置,恒常维持在逼近1万台的高水平,名列世界第一位,占全球总数的10余百分点,更始终比美国高出约3,000台。
看到这份数据,理应让不少安全专家冷汗直流,直呼人民对于物联网安全的认知程度,竟然如此之薄弱,这般“低级失误”,恐让我们蒙受极高安全风险。
值得一提的,一个声称已汇集数万支网络摄影机画面的网站-Insecam,里头也有超过340个来自台湾的监视器画面;其中最让安全专家津津乐道的,是某家艺品店,黑客已成功换置该店的系统,而且还在监视器画面上贴上一行红色,表明店家的网络摄影机已经被入侵,但几个月过去了,这行红字始终呈现于画面上,意谓店家对于自己的摄影机遭到入侵一事,依旧浑然不觉,更不论采取任何应对措施,物联网安全问题之严重,借助此例即可充分表露无遗。
有人说,展望未来,人们现在所倚靠的一切开关按键都会消失,不再需要借助遥控器来转台,也不必透过开关来关闭照明设备,这些装置都将依预先设计的情境模板来自动运作,譬如说,当家庭的所有成员都确定外出之际,假使厨房的瓦斯仍在继续运作,便会立即由系统自动关闭瓦斯。
试想如果有一天,智能借助系统遭到黑客入侵,从而搅乱了情境控制功能,本该自动关闭的瓦斯却未关闭,甚至原已关闭妥当的瓦斯又被黑客从远程唤醒,那么信息安全不只带来数字威胁,更危及实体安全,确实后患无穷。
那么终究该怎么做,才能遏止物联网安全危机?去年底由美国国土安全部所发表的《物联网安全策略准则》(Strategic Principles for Securing the Internet of Things),无疑相当值得政府与产业界参考,该准则的制定初衷,在于唤起物联网生态体系中所有成员的安全意识,不论位居产品设计、生产制造或使用等不同角色,都有义务维护物联网安全。
物联网生态系成员 皆须肩负安全责任
深究美国之所以将物联网IoT提升至国土安全等级,实为一般大众对于连网装置的倚重程度急遽增高所致,例如油、水、电等民生关键基础设施的运作,乃至于自动驾驶车应用,都与物联网息息相关,若不对此善加保护,任由相关设备商罔顾安全设计,继续缺乏安全更新与漏洞管理机制,也放任使用者便宜行事采用预设帐密,因而向黑客敞开大门,势必会造成不可逆料的巨大危害,因此必须诉诸法令规范,从根本上尽量解除物联网安全威胁。
专家指出,论及物联网安全防护,牵涉范围颇广,包括装置的实体安全、网络通讯、软件设计、固件设计等不同构面,皆需要面面俱到,此一特性,也导致物联网安全防护的难度,明显高于传统计算机安全;姑且不论制造商或使用者对于物联网风险的认知是否足够,也不管一味讲求使用便利性的消费者,是否有足够耐心来接受必要的安全检查程序,光是从物联网、计算机两类装置在于运算能力上的落差,也能显而易见知道物联网IoT设备难以支持太高阶的加密技术,能够用来挡住恶意份子入侵的武器,自然相对疲弱。
但无论如何,物联网的组成,可大致区分为终端装置(End-device)、通讯媒介(Network Media)及后端系统(Backend System)等几个关键环节,其间经由网络来交换彼此信息,因此如何把散布于不同环节的漏洞关连起来,肯定是物联网安全防护的一大关键。
总括而论,借助上述重要环节所衍生的安全议题,至少分为六大项,其中属于应用层者有三项,依序是物联网装置本身的隐私数据保护、物联网装置身份认证及访问权限控管,以及物联网装置本身的软件漏洞更新与保护机制。
此外在网络层部份,有两项值得留意的安全议题,包含了物联网装置数据传输过程的加密及保护,乃至于物联网装置之间更趋复杂的网络安全管控。至于位在IoT应用架构最底端的感知层方面,则需要防范感知设备攻击,至少需要确认工业控制系统(ICS)或SCADA所接收到的信息,确实100%与原始数据相吻合。
专家建议,有鉴于物联网装置为数众多,且偏布在不同环境,若要倚靠人工逐一管理,肯定力有未逮、缓不济急,故企业不妨援引人工智能(AI)或机器学习(Machine Learning;ML)等技术分析安全威胁情资,自动产生对应防护决策。
本文转自d1net(转载)
