Stackoverflowin:一個關於物聯網衝擊互聯網的故事
E安全9月4日訊 最近,被稱為「stackoverflowin」的大事件席捲國外各大社交媒體。2017年2月4日,以「stackoverflowin」為昵稱的一名英國17歲黑客一時興起,決定搞點列印操作。這個行動隨後成了一定規模,甚至很快成為Twitter上的熱門話題。這是因為他利用互聯網上幾乎所有公開訪問的印表機進行了列印。
此次事件成為安全缺陷之物聯網如何衝擊互聯網的又一大完美案例。
事件回顧:少年的操作細節
要對這個故事進行全面回顧,我們首先需要了解一些關於此次「攻擊」的技術細節。這位年輕黑客的操作步驟其實非常簡單:
1、找到互聯網可操作的全部列印設備為了做到這一點,攻擊者需要找到向互聯網開放其埠的每一台列印設備。在埠開放的情況下,意味著任何人都可以通過RAW或者LDP(在線列印請求的相關協議)與目標印表機進行通信。攻擊者可以利用多種現有工具完成這項操作,整個搜索過程大概需要數小時到兩天時間。
2、利用找到的印表機進行列印這裡我們不再贅述具體實施細節,而僅立足宏觀對操作方法作出概述。攻擊者可以利用RAW或者LPD發送列印請求。通過這種方式,攻擊者能夠向印表機發送一個LDP或者RAW數據包,並藉此向目標列印設備傳達指令。之後,印表機會將其轉換為可以列印的圖像。
為了節省時間,攻擊者可能會利用腳本將相同的列印請求發送至一份印表機列表中的各條目處。具體來講,攻擊者可以使用由Python等腳本語言編寫而成的小程序完成這項工作,而且此類腳本的長度一般只需要約10行Python代碼,因此難度可想而知。
3、so easy!回顧整個流程:攻擊者可以查找所有接入網路的印表機,並編寫5行腳本來操作總計約20萬台印表機進行列印。so easy!要對所有開放至互聯網的印表機進行操作,攻擊者只需要發送20萬到40萬條請求,而整個發送過程只需要約15分鐘。
接下來才是最重要的問題……
這次事件與「互聯網衝擊「有何聯繫?
在使用門鎖之類的保護方案時,我們都能夠在一定程度上接受其安全缺陷。如果願意,人們還是可以撬開門鎖進到房間,但這並不妨礙房間里的人在夜間安然入睡,畢竟這類狀況相當罕見。而習慣性地將這種對於物理安全的看法引入到網路安全心態當中也很自然,因此很容易忽視了兩者之間的關鍵性區別。
網路安全與物理安全網路安全與物理安全之間的核心差別在於(或者說您的網路伺服器為何必須要比房門更加安全),大多數人無法實際身臨您的房門,但身處任何地方、任何位置的任何人都能夠嘗試入侵您的伺服器設備。正因為如此,我們需要利用更強大的「鎖具」保護自己的伺服器設施。簡而言之,除非您確定自己的房門非常安全或者根本不在乎房間內的東西,否則大家肯定不願意把自己的房門放到互聯網上。
而在此次stackoverflowin事件當中,這些安全性低下的房門居然在互聯網上開放,以致任何人都可以進行攻擊。儘管實際情況並不屬於攻擊,而只是簡單的被「使用」,但這也提醒我們需要對物聯網體系給予高度警惕。
物聯網與硬體專用軟體安全性堪憂物聯網上存在數百萬台安全性水平低下,且幾乎無法進行修復的設備。例如路由器,您或許不記得自己對路由器上的固件進行過更新,甚至根本沒有這樣的意識。所以,像LPD/RAW這樣的服務本身就沒有考慮到被開放至互聯網上的情況,其安全保障能力自然堪憂。
事實上,物聯網與硬體專用軟體可能屬於互聯網上最不安全的組成要素。以印表機為例,1999年之前,已知的LPD漏洞可能影響到大部分甚至全部列印設備供應商。這意味著任何能夠以遠程方式在某台印表機上進行列印操作的攻擊者,也完全有能力在該設備上執行任意代碼。所幸這項問題被一位安全觀察員發現了,並建議人們利用密碼機制保護印表機。
但事實證明,這種作法並不現實,因為認證並不屬於LPD協議的一部分。為什麼?因為人們在1990年開發LPD協議時,根本沒有想到這類設備會最終被接入公共互聯網。
另外,受到影響的並不僅僅是特定設備。當您的內部網路中存在某台易受攻擊且暴露在互聯網上的設備時,攻擊者就能夠藉此獲得立足點,這類缺陷在互聯網上非常常見。一旦目標印表機遭到入侵,攻擊者就能夠把印表機當做跳板進而訪問企業內部網路。一旦對方能夠操作企業的印表機,其就完全可以對其進行控制。
被控制的印表機為何沒構成殭屍網路?最簡單的答案在於,還有比印表機更容易入侵及利用的目標。目前之所以還沒有發現由大量印表機設備構成的殭屍網路,是因為列印設備的多樣性意外構成了一種安全保障能力。
在此次受影響的20萬台印表機當中,可能包含25種不同的品牌。儘管所有品牌所使用的LPD/RAW協議中都存在大量漏洞,但藉此實現大規模殭屍網路並非易事,攻擊者必須找到全部印表機設備所使用的固件版本,對其進行反編譯,利用安全缺陷並為每種印表機版本編寫對應的漏洞利用工具。而完成這些任務可能需要耗費數個月甚至數年時間。
就目前來講,最為強大的殭屍為Mirai的一類變種,即物聯網殭屍網路。
Mirai的初始傳播方式為:掃描整個互聯網,並找出一切運行有SSH或者telnet的裝置。二者皆屬於允許身份驗證方利用bash或者其它機制(例如zsh等)對設備進行控制的方法。一旦這些運行有SSH或者telnet的裝置被掃描工具所找到,攻擊者即可嘗試利用由供應商保留在裝置上的默認憑證進行登錄。一旦登錄操作成功完成,掃描工具就會向該裝置上傳一個小程序。此程序利用命令與控制伺服器(C&C)對目標裝置進行檢查,而後運行從C&C伺服器處接收到的命令,具體包括HTTP洪流、UDP洪流、SYN洪流以及其它各類DDoS攻擊活動。
物聯網衝擊互聯網
這些肉雞設備大多僅被用於執行DDoS攻擊,鑒於其可觀的規模,所以攻擊能力往往極為強大。據信,一輪此類攻擊足以令整個整個利比亞全國斷網。雖然對於是否全國徹底斷網仍有爭議,但人們普遍同意該攻擊確實對利比亞的聯網能力造成了重大影響。在此之前,同一殭屍網路亦曾被用於攻擊DynDNS。DynDNS是一家DNS管理企業,負責幫助您的計算機找到給定域名的真實目標,且服務於眾多知名巨頭廠商。此輪攻擊導致一系列大型網站(包括Twitter、〈紐約時報〉、Spotify、Reddit、PayPal以及Netflix等)遭遇長達半天的停機或者使用故障。
隨著時間的推移,此類攻擊活動的出現頻率正快速提升,而且成千上萬遭到操縱的設備被用於組織大規模DDoS攻擊。而這很可能只是個開始。目前,黑帽社區當中,黑客們正在激烈爭奪對這些設備的控制權。一部分新型惡意軟體甚至試圖通過殺滅其它惡意軟體實例以保有對目標設備的專控制能力,同時其會禁用SSH及telnet以確保其它後續惡意軟體無法進一步入侵這些設備。一部分犯罪活動創業者從中看到了商機,他們將此視為一類供應量不斷減少的商品,並藉此建立起新的行業。舉例來說,各黑帽論壇與市場當中出現了「私有」Mirai肉雞設備的銷售活動,這意味著攻擊者不再需要通過猜測密碼的方式獲取對物聯網設備的控制能力。此類物聯網殭屍網路已經成為一種新興的技術性犯罪體系。
目前,隨著該行業的持續發展,攻擊活動的規模也呈現出愈發龐大的趨勢,因此可以合理推測,未來的此類攻擊活動在規模上與破壞性層面將變得更加可觀。因此,新的「物聯網衝擊互聯網」時代來臨。
說到這裡,我們終於可以探討物聯網設備當中導致其易受簡單攻擊影響的結構性安全問題,並思考如何對這些結構問題加以解決。
物聯網存在的五大問題
物聯網安全缺陷中最具利用價值的側面在於了解這些設備為何不夠安全。根據與物聯網行業內大量從業者的交流,總結出以下五種導致物聯網設備安全性低下的常見原因。
1、物聯網設備僅僅只是設備物聯網設備是一類由硬體公司製造的創新型硬體; 而軟體與固件的作用僅僅是保證其能夠正常運行。只要能夠立足硬體實現運行且提供漂亮的UI,製造商對於軟體與固件不再提出任何其它要求,當然也就不包括安全性保障。
2、供應商並不真正關心安全性如果大家與物聯網研究人員交流其對硬體供應商的看法,那麼他們給出的必然是一連串嘲諷與鄙夷。而且作為其中的核心,大家會意識到供應商並不關心安全性。很多研究人員抱怨稱,在引發公眾關注之前,硬體供應商絕對不會主動考慮安全漏洞問題。而且即使是在這種情況下,硬體供應商仍會對安全研究人員抱有敵意。
3、供應商無力修復安全漏洞這種觀點不算特別常見,但卻能夠為物聯網軟體的開發方式提供一種啟發性的描述。一般來講,供應商只會分配較為有限的資源並通過外包方式要求第三方進行軟體開發。這意味著要解決其中的安全漏洞,供應商必須簽訂新的合約。考慮到官僚作風的嚴重影響,這類舉措顯然成本不菲。
4.、補丁安裝
即使供應商關心漏洞本身,但問題往往仍然無法得到解決。因為就算供應商有能力修復漏洞,也往往因為不具備「熱修復能力」而很難推廣相關補丁。
熱修復補丁(百度百科):
不會作為常規補丁隨系統自動更新,一般通過電子郵件或者其他途徑來通知用戶有關熱補丁的消息,用戶可以在軟體供應商的網站上免費下載補丁程序。和升級軟體版本相比,熱補丁的主要優勢是不會使設備當前正在運行的業務中斷,即在不重啟設備的情況下,可以對設備當前軟體版本的缺陷進行修復。
沒有人願意花20分鐘為自己的烤麵包機、燈泡、路由器或者洗碗機等尚能正常運行的設備安裝補丁。具體來講,如果設備無法在保持正常交互的情況下自動更新,那麼該設備幾乎永遠無法完成更新。
5、運行在設備上的服務面向整個世界最重要的一點,物聯網設備存在面向整體互聯網的特性。互聯網的核心在於移動性、處理能力以及信息轉換性。為了實現這一點,我們的軟體必須能夠收集信息、處理數據並返回結果,這是一切軟體的根本作用所在。
正是因為這個原因,大多數軟體安全漏洞的根源表現為能夠提供某種可導致程序執行計劃外操作的軟體數據格式。攻擊者能夠提供程序數據的方法越多,該程序所處理的數據量就越大,而其遭到入侵併被利用的可能性也就越高。簡單來講:未認證方能夠訪問的功能越多,漏洞遭到利用的機會就越高。因此,如果想要建立起更為安全的系統,我們必須努力縮減可能被未認證方所接觸的攻擊面。
以Netgear R6000與R7000路由器為例,二者運行的Web伺服器允許任何人進行訪問。這意味著如果Netgear內置的Web伺服器存在任何一項漏洞,那麼任意人士都將能夠控制您的路由器設備。事實也確實如此,2016年Netgear R6000與R7000路由器就曾曝出一項漏洞,允許任何能夠同該路由器之Web伺服器交互的人士在設備上執行bash命令。而且不開玩笑地講,外部人士只需要在對應url當中添加一個分號即可對該路由器發送請求。
問題已經確定,該如何修復?
事實上,存在一種解決上述全部問題的簡單辦法。
要避免上述這些問題,物聯網供應商應該真正建立起基於API的機型; 其應將自家設備安裝在集中於其可控範圍內的位置。這項舉措能夠解決問題4與問題5。另外,這也能夠幫助供應商輕鬆實現自動更新,因為這種作法已經建立起能夠同每台設備進行通信的基礎設施。而通過這種方式,物聯網設備的攻擊面也將得到有效控制。
當您擁有一部接入互聯網的設備時,您可能面臨著來自任何人士的攻擊威脅。但當您的設備僅與一套集中式設施進行通信時,則代表著攻擊方只能通過入侵該設施的方式攻擊您的設備。也就是說,通過這種方式我們能夠在很大程度上解決前三個問題——即使設備當中存在安全漏洞,但只要相關製造商有能力將其解決,就不會造成任何危害。但這不算是最佳方案,但至少能夠帶來一定程度的改善。
製造商到底存在什麼困難?對於任何一家大型企業而言,這類舉措都不算什麼難事。那麼,為什麼各製造商沒有採取這種作法?
主要原因在於這類結構化物聯網設備及其基礎設施的構建需要投入大量成本。從商業角度來看,製造商顯然希望實現利潤最大化並儘可能降低成本水平,因此只要保證設備能夠正常運行就足夠滿足其基本要求。如此一來,物聯網製造商才更傾向於向您提供一台能夠自行完成全部需求的小型設備,而不願投入大量資金為其建立配套的基礎設施。這意味著最終用戶需要在買到的設備上自行託管此類基礎設施,製造商將不需要為此承擔任何支出。
這樣做的結果是,製造商雖然節約了資金,但卻導致殭屍網路的構建成本亦隨之降低,並給攻擊者提供了可乘之機。
從另一個角度看,如果承載設備所需要的基礎設施能夠提供合理且低廉的實現成本,那麼製造商應該會轉而接受相關方案。總而言之,此類決策必然以成本作為考量中心。
由於物聯網漏洞往往會引發對廣泛受眾造成影響的DDoS攻擊,我們可以將這理解為少數企業逃避責任,而整個世界為其買單的惡性狀態。人們認為解決這類問題的關鍵在於政府介入並進行干預。
例如,美國《2017年物聯網網路安全改進法案》等政策似乎確實能夠推動非安全產品製造商朝著正確的成本效益分析方向邁出極為重要一步。。
※2020大選民主黨和特朗普或共享競選網路威脅情報?
※AI型網路攻擊即將到來,對未來網路安全意味著什麼?
※美國政府問責局呼籲限制使用SSN降低身份盜用風險
※俄羅斯互聯網提供商巨頭Rostelecom遭遇DDoS攻擊企圖
TAG:E安全 |