开发者社区> 云栖大讲堂> 正文

由蜜罐引发的物联网安全小谈

简介:
+关注继续查看

最近几年,“物联网”正以迅雷不及掩耳之势四处圈地,“凡联网之物都能被黑”的恶名也如影随形。仅2015年,安全研究人员就发现了婴儿监控器、滑板、来复枪和吉普车等物联网设备中的漏洞,一名研究者甚至在一架飞机的飞行过程中对其进行了短暂地控制。

由蜜罐引发的物联网安全小谈

《纽约时报》曾发表评论文:

“依靠便捷和更加安全的卖点,物联网产品广受热捧。而现实却相反,这是一辆在隐私及安全的轨道上频繁失事的高速列车。”

对于物联网设备的担忧其实并非刚刚开始,安全研究人员一直在警告数百万的物联网设备存在安全隐患、易受到攻击。而根据美国国土安全部网络攻击防御分支统计结果显示,去年被报道的安全事故近245件。

那些设备究竟是如何被黑的呢?

为了深入研究,研究者建立了“物联网蜜罐”——用于寻找针对联网加油站和医疗设备发动攻击的黑客,并研究他们的攻击行为。

TrendMicro公司6个月内在7个国家建立了一批防护措施“不佳”的联网加油站,看看会发生什么情况?今年早些时候,研究者HD Moore透露,超过5000个连接到网络上的加油站没有密码设置,这就意味着攻击者可以直接访问它们并进行破坏,通过变更设置来让原本满满的泵显示为空的,而最终导致溢出。

该项目最终一共发现20起攻击:

由蜜罐引发的物联网安全小谈

趋势科技:一些攻击只是简单探测加油站的位置。而美国加油站是最“受欢迎”的目标。

其中,有两个针对美国加油站的拒绝服务攻击被认为与叙利亚电子军队有关,这是一个亲叙利亚的黑客组织,尽管研究者尚不能肯定地说攻击绝对就是他们干的。

约旦的雪佛龙和英国石油公司加油站似乎被一个与“伊朗黑客组织”有关的黑客访问过,而他们只是把泵的名称从“无铅”和“柴油”变更成了“IDC组织到此一游”和“Ahaad在这里”这样而已。当然,这也是一种攻击类型,但是大多没什么实际攻击性。

由蜜罐引发的物联网安全小谈

尽管研究者不能确定,但是目前还未有攻击者尝试变更能源水平设置,而这样的行为会造成非常严重的损害。

“不久之后,会有更为严重的攻击出现”

Kyle Wilhoit在2015BlackHat黑帽大会如是说道。

无独有偶,在另一个黑客大会Defcon上,研究者说他们已经研究了包括胰岛素泵、起搏器、MRI机器和其他医疗控制设备系统的物联网。在蜜罐测试中,仅通过来自制造商网站的通用用户名和密码便能获得这些设备的控制权。当然,也有一些厂商天真地把密码和用户名放进一个Pastebin文件中,实质上就是说“这里有一些医疗设备的用户名和密码,如果有人想攻击他们,快看这里”。

这些作为“蜜罐”的医疗设备被登录超过55000次,被装恶意软件超过300次,里面有24个指令以及8个使用特殊凭证的登录凭记——也就是说,有人打开Pastebin文件就可以滥用里面的信息了。

攻击者进入医疗设备的蜜罐

由蜜罐引发的物联网安全小谈

上面数据显示,大部分的攻击源于荷兰、中国和韩国

Protibiti首席研究院Scott Erven说:“这些基本都是些小打小闹,而非针对性攻击。”

大多数攻击者只是在做简单的“探究”,测绘物联网的版图。然而Erven说如此轻松便可以进入医院的药物设备,攻击者还能获得这些设备中的信息;只要你进入了一个心电图机,理论上你就能得到使用这台设备的病人的信息,例如他们的姓名、社保号码和出生日期。

在现实生活中,恶意软件同样也可以干扰医疗设备的运行。 “如果大规模的攻击造成了设备故障,我们是没有办法立刻知道这一点。”

但是通过这些“蜜罐”,医疗设备安全研究者并没有发现任何明显的恶意攻击,比如让起搏器不正常工作或者给病人注射过量胰岛素等等。

“他们(黑客)有系统管理权限,但是他们并不发送指令,可能他们没有意识到自己已经获得了一台MRI机器的root权限。”

因此,我们是否应该重视这样的情况呢?攻击者能够进入这些系统,但是可能只是一次,他们似乎对攻击这些设备或者加害于人没什么兴趣。

物联网安全:一颗定时炸弹?

来自IBM的Andy Thurai表示,科技的发展远远超出了企业自身安全维护能力的提升,物联网则汇集了网络中各种各样的传感器和部件。公司却没有为安全业务支付适合的费用,尽管已经开始所有增长,但还远远不够,而物联网则把一切弄得更糟了。所以说,物联网是一个定时炸弹。

据OF物联网报道,作为连接上述设备所广泛使用的重要无线互联标准之一,ZigBee技术也于近期召开的2015黑帽大会上被曝出存在严重的安全漏洞,引发了业内的广泛关注。

FreeBuf之前也有文章讨论过物联网安全蓝海战略。ZigBee是一种低成本、低功耗、近距离的无线组网通讯技术,目前已广泛存在于诸如智能灯泡、智能门锁、运动传感器、温度传感器等大量新兴的物联网设备中。然而,研究人员却发现在ZigBee技术的实施方法中存在一个严重缺陷,涉及到多种类型的设备中,黑客有可能以此危害ZigBee网络,并“接管该网络内所有互联设备的控制权”。由此,可能带来大量物联网产品安全的安全风险。

近日一份研究报告显示,针对物联网安全的小型技术解决方案和服务市场将会出现井喷,物联网安全市场将在2020年的时候增长至289亿美元。

当然针对层出不穷的物联网安全事故,也不是人人都愁眉以对的。

安全研究者Dan Tentler认为,

“研究物联网设备漏洞是很困难的。为了攻击吉普车,研究者不得不买一辆,然后花一年时间研究代码。当攻击者进入这些‘蜜罐’时候,他们可能仍不知道可以做些什么坏事。”


作者:明明知道


来源:51CTO


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
19591 0
谷歌Android things物联网硬件接入阿里云IoT物联网套件实战
谷歌Android things物联网硬件接入阿里云IoT物联网套件云端实战,DHT12传感器,甲醛传感器,NXP i.MX7D开发板
2983 0
那么多物联网安全事件,我们从中学到了什么?
物联网为企业带来了前所未有的灵活性和功能性。更多的物联网设备有望帮助企业简化供应链运作,提高效率,降低现有流程中的成本,提高产品和服务质量,甚至为客户创造新的产品和服务。物联网将优化甚至彻底改革商业模式,使之变得更好。
643 0
IoT物联网平台:网关与子设备开发实战
设备挂载到网关上,作为网关的子设备,由网关代理接入IoT物联网平台
4434 0
阿里云物联网平台OTA升级平台侧常见问题
关于ota升级可以参考文章https://developer.aliyun.com/article/717007 此篇文章就常见问题归纳总结
421 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
24732 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载