针对智能家居产品、医疗器械、SCADA系统及其他联网系统的攻击标志着物联网开始面临新一波的攻击。
最近不断爆出的分布式拒绝服务(DDoS)攻击涉及使用成千上万中招的数字录像机和IP摄像头,突显了物联网构成的安全威胁。
调研公司Juniper Research估计,从现在到2020年年底,与互联网连接的“物件”数量将从135亿个增加到385亿个,增幅超过285%。
其中数量猛增的将是无数的家用电器,比如智能冰箱、电视、娱乐系统、监控摄像头、智能供暖和照明系统。据Juniper公司声称,但其中大多数还是来自工业和公共部门,具体表现为嵌入在联网设备、农业设备、公用电网以及其他领域的联网设备。
安全研究人员担心,随着越来越多的物件连接到互联网,不法分子将会有一个几乎无限大的攻击面,可以趁机发动新型攻击。
这是由于成为物联网一部分的设备几乎没有什么安全保护措施可以防范通过网络传播的威胁,常常很容易被人钻空子。至少眼下,没有什么标准来规定物联网设备的安全要求,尤其是在消费者领域。
Fastly公司的内容分发网络安全研究主管乔斯·纳扎里奥(Jose Nazario)说:“工厂纷纷生产出与互联网连接的设备,但是以惊人的速度被恶意软件或恶意代码感染。”
物联网设备为攻击者提供了带宽和处理器资源,几乎就是免费提供的。他预测,在今后几年,“由于不安全的物联网设备越来越多,网络犯罪分子会拥有极多的资源,可以更迅速、更大规模地发动新的攻击。”
在过去几年间,研究人员已演示了针对各种设备的诸多概念证明攻击,从联网的婴儿监视器到联网汽车,不一而足。这些演示表明攻击者可以如何利用保护不力的物联网设备破坏物理系统、窥视人员,以及发动大规模的拒绝服务攻击。
下面列出了已经被黑客攻击、演示证明易受攻击,或者最有可能在未来受到攻击的几种物联网设备,没有什么特别的顺序。
家庭网络路由器
在如今家里所有与互联网连接的设备中,网络路由器仍然绝对是头号攻击目标。Avast Software公司在今年早些时候的一篇博文中说:“大多数互联网路由器(可谓是家庭网络的基础)存在大量安全问题,这让它们很容易被黑客盯上。”
该博文提到了Tripwire对653名IT专业人员和约1000名远程员工开展的一项调查;调查显示,80%的畅销小型办公室/家庭办公(SOHO)无线路由器存在安全漏洞。在该调查提到的50款SOHO路由器中,34款路由器存在已发布的安全漏洞。
Avast特别指出,全球50%以上的路由器使用默认或基本的用户名和密码组合,比如“admin”和“password”,而另外的25%使用用户的地址、生日或姓名作为密码。“因此,所有路由器中75%以上很容易受到简单的密码攻击,简直就是在公开邀请恶意黑客下手。”
攻击者已开始利用易受攻击的家庭路由器来创建僵尸网络,用于转发垃圾邮件和发动DDoS攻击,也就不足为奇了。KrebsOnSecruity网站受到的攻击实际上被认为是由数以千计的中招的家庭路由器和IP摄像头来实施的。
数字录像机(DVR)
几乎家家户户都有机顶盒,人们在家里用它来录制电视节目,它已成为攻击者最喜欢下手的另一个目标。研究已发现,中招的数字录像机与最近的大规模DDoS攻击有关联,研究人员提醒攻击者创建这种设备组成的庞大僵尸网络,用于各种不当用途。
与家庭路由器一样,数字录像机常常随带不力或几乎就没有的安全控制机制。许多设备以硬编码或默认的密码和用户名连接到互联网。来自多家厂商的数字录像机常常集成了来自同一家供应商的部件。因而,一个产品中的安全漏洞可能也存在于另一家厂商的产品中。
安全厂商Flashpoint最近分析了牵涉物联网设备的DDoS攻击中使用的恶意代码。该公司发现,恶意软件利用的大量数字录像机预装有来自某一家厂商的管理软件。供应商将数字录像机、网络录像机(NVR)和IP摄像头板卡卖给众多厂商,然后这些厂商又将这些部件用在各自的产品中。Flashpoint估计,由于来自这一家厂商的易受攻击的部件,超过50万个联网数字录像机、网络录像机和IP摄像头很容易受到攻击代码的袭击。
智能冰箱/智能家居产品
2014年1月,安全厂商Proofpoint的一名研究人员在分析垃圾邮件及通过电子邮件传播的其他威胁时发现,至少有一台与互联网连接的冰箱被用于转发垃圾邮件。
这起事件率先证明了分析师们一段时间以来所强调的事实:如今安装在家里的许多联网设备(比如智能冰箱、电视、数字助理、智能供暖和照明系统)极其脆弱。
Tripwire的安全研究和开发高级主管拉马尔·贝利(Lamar Bailey)说:“冰箱、个人助理和电视有足够强大的处理能力可用于僵尸网络,或用作闯入网络其余部分的入口点。”Tripwire在概念验证攻击中闯入了许多这样的设备。
ForeScout Technologies的战略主管佩德罗·阿布鲁(Pedro Abreu)表示,这类设备在企业环境下也构成了威胁。比如说,通过办公休息室中的联网冰箱居然可以闯入含有企业数据的系统,许多人可能没有料到这一点。
阿布鲁说:“这倒不是为了闯入冰箱,而是为了通过冰箱获得网络访问权。由于联网冰箱连接到企业网络上,又连接到企业应用程序上,黑客就可以钻联网冰箱的空子,获得宝贵的企业数据和客户数据。”
“我们非常关注‘不寻常的嫌疑对象’――乍一看那些设备似乎并没有构成安全风险,但如果你仔细观察一下,就会发现岌岌可危。”
植入式医疗设备
无线联网的植入式医疗设备(比如胰岛素泵、起搏器和除颤器)的安全漏洞让它们成为恶意攻击的诱人目标。近些年来,安全研究人员已表明攻击者如何利用这些设备中未加密、通常薄弱的通信协议来远程控制它们,并且让它们出现可能致命的行为。
2013年,前副总统迪克·切尼的医生甚至禁用了他体内起搏器的无线功能,唯恐攻击者闯入起搏器。
就在今年10月,Rapid7的一名安全研究人员演示了攻击者如何利用Animas胰岛素泵的无线管理协议和配对协议存在的弱点,之后消费品巨头强生公司被迫提醒用户其胰岛素泵可能存在隐患。这个安全漏洞会让攻击者得以远程访问Animas胰岛素泵,并让他们向设备佩戴者释放致命剂量的胰岛素。
Arxan的首席技术官萨姆·雷曼(Sam Rehman)说,实施这种攻击相对不需要费太大的力气。
雷曼说:“技术创新将大量产品推向市场,因而加大了攻击面。由于越来越多的设备连接到互联网、打开通信线路,这显然降低了黑客获得访问权、破坏医疗设备所需的难度和技能。”
SCADA系统
很少有人认为用来管理工业控制设备和关键基础设施的监控和数据采集(SCADA)系统是物联网的一部分,但它们确实是物联网的一部分。就像其他许多物联网设备一样,它们也易受攻击。
就在不及前,SCADA系统还没有连接到互联网,因此其实不需要与互联网连接的其他系统那样的同一种安全控制机制。然而,由于近些年来许多SCADA系统开始联网,相对缺乏控制(包括硬编码的密码和糟糕的修补流程)已成为一个大问题。
Rubicon Labs的产品副总裁罗德·舒尔茨(Rod Schultz)说:“工业控制器(已安装到位、难以更新的SCADA系统)尤其容易受到攻击。控制任何一种动能(水力、电力和核电)或关键业务信息(比如银行和金融数据)的任何控制系统都被认为是目标。”
针对这些系统的攻击可能会带来严重后果。早在2007年,研究人员就证明了攻击者如何通过攻击控制电网设备的SCADA系统来破坏这类设备。但破坏物理系统不是唯一要担心的。
舒尔茨表示,攻击者可能将中招的SCADA系统用于DDoS攻击或勒索软件攻击。他说:“物联网攻击将变成利润中心。当然,金融系统是显而易见的目标,我们将SCADA系统也视作重大的、易受攻击的目标。”
婴儿监视器
用于监视婴儿的消费级产品是另一类易受攻击和危及的物联网设备。
安全厂商Rapid7去年检查了多家厂商提供的几款联网视频婴儿监视器和相关的云服务,结果发现当中存在10个安全漏洞。
发现的问题包括硬编码密码、未加密通信、权限升级、容易猜中的密码、后门帐户以及让攻击者可以篡改设备功能的缺陷。
这些安全漏洞让攻击者得以劫持视频会话,查看存储在云端的视频,或者全面控制婴儿监视器。所有这些缺陷都很容易被人钻空子,让攻击者对中招设备拥有程度不一的远程控制权。
Rapid7在宣布这些安全漏洞时特别指出,这类易受攻击的设备如何对连接到家庭网络的任何计算机构成威胁,包括远程办公人员使用的那些计算机。
Rapid7警告说,被感染的物联网设备可能“被用于通过利用典型家庭网络的不分段、完全信任这一特性,转而攻击其他设备和传统计算机。”
联网汽车
与SCADA系统一样,认为汽车是物联网一部分的人可能也不多。而事实是,现代汽车里面的众多部件通过网络即可访问,暴露在通过网络传播的威胁面前。
与其他许多物联网威胁一样,还没有出现过公开已知的情况:攻击者设法利用联网汽车中保护不力的电子部件来搞破坏。不过安全研究人员已多次演示了这种威胁到底有多么真实。
最引人注目的例子依然来自优步(Uber)先进技术中心的两位安全研究人员克里斯·瓦拉塞克(Chris Valasek)和查利·米勒(Charlie Miller)。在过去的两年间,这两位研究人员演示了他们可以如何利用吉普切诺基的控制器局域网中的漏洞,远程控制这款车的加速器、制动系统和转向系统。研究人员还演示了对丰田和福特车型发动的概念验证攻击。
