綠盟「教」我當了一次物聯網黑客
以前,為了展現物聯網攻擊的危害,我總是要想很多故事講給你們聽,比如小紅在家洗澡,一言不合被破解後攝像頭直播;老張的媳婦出軌黑客老王,老王密謀控制老張高速行駛的物聯網汽車,來個緊急制動,車毀人亡,摟著媳婦把家還……
哦喲喲,這些故事都好沒有節操。
於是,我打算洗心革面,重新做人。。。不,講故事。
最近,雷鋒網的同事寫了一篇《剛剛,阿里宣布全面進軍一條新的主賽道》,講了講阿里將全面進軍物聯網領域,就輕鬆達到5W+閱讀量,哼,我不服!
我要寫一篇「懟文」:黑客到底如何對物聯網發起攻擊,整個攻擊鏈是怎樣。
於是,我請教了綠盟科技的幾位專家(楊傳安、李東宏等人)。
我:老師,如果我想當黑客攻擊物聯網設備,應該怎麼做。
李東宏:你應該。。。現在就打消這個念頭,不然我們就用技術反制你,然後和警察蜀黍打配合,抓住你。。。
我:不要這麼認真,我們假設下,那些安全研究人員還教我「不知攻,焉知防」呢,是吧?(套路。。。)
李東宏:你這麼說也有點道理,好吧,我們先來看下。
********
一、黑客怎麼攻入你的攝像頭/印表機/互聯網汽車/。。。。。
第一步:設備選型
原則1:假如我是一個黑客,當然為了利益最大化,要選擇選一個市場佔有量較大的廠商。
原則2:尋找市場佔有量較高的設備型號。如果我找到一個漏洞,能一下拿下市場上10萬,甚至100萬台設備,簡直就是隔山打牛,坐擁肉雞。不然,我吭哧吭哧花了五萬塊,結果就獲益5000塊,不是費力不討好嘛。
原則3:雖然一個物聯網設備廠商推出了很多型號的同類產品,但往往用的是同一套系統,不同的宏開關,比如,網路攝像頭的漏洞可能在多媒體攝像機中存在。所以,黑客會關注歷年漏洞信息,老漏洞新用,或者在漏洞被修復前打個時間差用一用都是有可能的。
原則4:要看廠商是否有相關的安全團隊或者合作公司支持,如果我只是一個菜鳥黑客,剛學會了皮毛,就被黑客大牛反制,大概就會「出師未捷身先死」了。或者,這種物聯網設備可能漏洞數量會較少,人家早發現早補完了,難道留著漏洞給你過年?
第二步:本地漏洞挖掘
選好型,拿到設備的第一手動作,當然是把設備拆開,獲得固件。
目標點1:獲取設備指紋,因為它將告訴一個黑客,這個設備在互聯網上的資產暴露情況。
目標點2:拆解固件,找到設備的後門指令或弱口令,所謂後門口令,就是粗心的廠家在發布產品時沒有把調試版本里的口令去掉,而弱口令,就是出廠口令,比如1234567、000000,但是粗心的用戶沒有安全意識,覺得初始口令比較好記。
目標點3:進入 WEB 界面,突破管理員限制,挖掘其中的未授權漏洞,控制物聯網設備。通過WEB 界面,還可以了解用戶泄露的賬戶信息。
目標點4:分析設備是否有對外的安全服務,利用弱口令和安全服務,就可以控制物聯網設備。
目標點5:分析是否有公開漏洞測試,比如,如果是一個LINUX系統,它經常有一些漏洞公布,假如我是一個黑客,只要到網上尋找相關的漏洞和利用工具,就能開幹了。
第三步:工具製作
拿下一種物聯網設備,肯定是為了利益轉換,那麼,接下來黑客就會開始寫工具了。
工具1:資產識別工具,通過對一種設備進行分析,然後掃蕩整個互聯網上的相同設備。
工具2:漏洞利用工具,利用現有框架,或者自己編寫一個獨立的漏洞利用小工具。
第四步:資產統計
這些工具做好後,黑客會進行二次掃描和情報監測,評估漏洞在互聯網的可控制量,以便隨後輸出一個利益評估的價值體系,也就是傳說中的「定價」了!
第五步:利益轉換
一般來說,黑客會售賣利用工具、設備信息、控制設備。
二、物聯網設備哪裡最弱
假如我是一個黑客,肯定會尋找設備最弱的地方開始突破。
弱點1:在第二步「本地漏洞挖掘」中,其實拆開硬體設備後,會出現兩個介面:JTAG 和 串口。
JTAG 會控制 CPU 的狀態,進行代碼調試,也可以發起程序,載入固件等。為了提升效率,會使用串口進行調試,調試信息可通過串口列印到屏幕上,可包含內核的載入地址、內存大小、文件系統的載入地址和文件系統的大小等。
弱點2:弱口令。
弱口令的誕生一般是因為用戶沒有修改廠商初始密碼,或者用戶自行設置的弱密碼,攻擊者可以搜集用戶名和密碼列表,也就是把常用的用戶名和密碼找出來,放到掃描工具和代碼中。
劃重點來了:不要把自己的生日設置成密碼,尤其是不滿8位數的密碼,這等於送羊入虎口。
弱點3:信息泄露
設備信息包含設備型號、平台、操作系統、硬體版本,會泄露用戶認證信息,比如用戶名和加密密碼演算法。
拿到用戶名和密碼演算法,黑客會到 CMD5 網站或者通過運算進行暴力破解,獲得加密密碼的明文,從而控制設備。
弱點4:未授權訪問
直連模式直接獲得最高許可權,後門賬戶可讓黑客直接登錄後台。還有一點是,設計缺陷可能讓黑客直接無認證進入操作平台,軟體漏洞也可導致攻擊者越權訪問。
弱點5:遠程代碼執行
輸入參數沒有嚴格過濾與校驗。
弱點6:中間人攻擊
黑客可利用兩種模式:監聽模式和篡改模式,現在有些物聯網設備由於計算能力限制,導致通訊以明文傳輸方式進行,監聽模式可以拿到一些數據,比如賬戶認證信息,而用得比較多的篡改方式是 HTTPS 解密。
弱點7:雲(端)模式
現在為了便利,一些設備可通過手機連上雲端控制設備,黑客可對雲平台進行安全測試,拿到弱口令等,還可通過中間人攻擊模擬終端給雲端發送指令。
三、安全建議
當然,「教我當黑客」只是一個玩笑,換位思考看,如果我是一名攻擊者,竟然能有這麼多方法搞到設備+獲利,反推一下,如果要保護自家物聯網設備安全,應該針對這些可能的攻擊措施做些什麼?
1.對用戶:
修改初始口令以及弱口令,加固用戶名和密碼的安全性;
關閉不用的埠,如FTP(21埠)、SSH(22埠)、Telnet(23埠)等;
修改默認埠為不常用埠,增大埠開放協議被探測的難度;
升級設備固件;
部署廠商提供的安全解決方案
2.對物聯網廠商:
對於設備的首次使用可強制用戶修改初始密碼,並且對用戶密碼的複雜性進行檢測;
提供設備固件的自動在線升級方式,降低暴露在互聯網的設備的安全風險;
默認配置應遵循最小開放埠的原則,減少埠暴露在互聯網的可能性;
設置訪問控制規則,嚴格控制從互聯網發起的訪問;
與安全廠商合作,在設備層和網路層進行加固。
(以上建議摘選自綠盟科技發布的《2017物聯網安全年報》)
四、思考
在雷鋒網同事發出的那篇阿里新賽道的文章中,我發現阿里雲也在物聯網領域方面進行了安全能力的建設。
再加上之前小米、百度、360、騰訊等在物聯網安全上的動作,我總覺得一個「時候」到了。
但是,我想起了曾經採訪過的威脅獵人 CEO 老畢的故事。
2014 年下半年,老畢做了第二個創業項目:物聯網安全。但他很快發現,這個其實在商業上面很難落地。「這個行業有很多問題,有些在某個階段沒有商業價值。我接觸到這個行業,發現這個行業是很苦逼的狀態。很多公司拿了上百萬人民幣,這個產品能最終做出來,再賣那麼一兩批,已經不錯了。你跟他說加一個什麼安全,他覺得你瘋了。」老畢說。
2015 年中旬,老畢在這個創業項目上倉皇撤退。
3 月 27 日,綠盟科技物聯網專家楊傳安告訴我,綠盟的物聯網解決方案布局在這三方面:一是持續的安全檢查,漏洞和弱密碼檢查與固件升級的閉環管理;二是針對蠕蟲傳播,在網路上進行阻斷和入侵防護,避免更多節點被感染,並清洗惡意的攻擊流量;三是接入層的准入控制,最後是物聯網的態勢感知平台。
我立馬問了他一個問題:你們主要是賺誰的錢,在哪些行業落地?
事實上,他們在上面那份白皮書中早已有一份「可能」的列表:物聯網設備提供商、物聯網平台提供商、物聯網網路提供商(運營商)、物聯網應用提供商、物聯網用戶等。
但是,楊告訴我:「目前看,近年來由政府主導的視頻監控項目,類似天網工程,對設備終端有強准入控制要求,對安全風險管控也有明確要求,這個方案落地極快;另外,運營商建設物聯網專網,也會有類似移動互聯網對公共網路的安全監管要求,同時運營商自營物聯網業務的安全運營需求,也會是項目落地的主方向。」
這個答案沒有超出我的預期。三年後,大若綠盟,在物聯網安全領域,依然在艱難地開墾,to C 的錢暫時不要想,to B 的錢依然難賺但有前景,to G 則是撬動這個市場的一個入口。
楊認可了這一點。但這並不是綠盟一家在開墾物聯網安全市場時遇到的困境,而是市場大環境如此。他依然充滿信心,希冀通過 G 端能夠在物聯網安全上有所建樹,他相信,引路人的工作不可缺少,未來有一天人們會越了解及認可物聯網安全的重要性。
誰說不可能呢?我們終將進入一個萬物互聯的未來。
雷鋒網註:綠盟科技物聯網專家張星、劉弘利、劉文懋等對此次採訪亦有貢獻。
※領先科技、智能電動、全球智造、開放共享 矽谷造車新勢力SF MOTORS全球首發
※世界五大黑客之一Adrian Lamo去世,目前死因不明
TAG:雷鋒網 |