IoTAegis:安全研究人員提出一種保護物聯網的解決方案
惡意病毒肆意感染物聯網設備
物聯網設備(Internet-of-Things),如網路攝像機,印表機,IP電話,智能電視,智能冰箱,智能電錶等,現如今已遍布我們生活的方方面面。在我們享受物聯網設備帶來便利的同時,這些設備已悄然成為惡意攻擊者攻擊的對象。攻擊者可以利用這些設備竊取用戶信息,或利用其向攻擊目標發起網路攻擊。
通常,使用默認登陸密碼和長期使用存在安全漏洞的固件版本是導致物聯網設備被利用攻擊的主要原因。相應地,針對物聯網設備的攻擊方式主要分為兩種:
安全配置攻擊攻擊者可能會面向弱密碼或無密碼保護的物聯網設備發起密碼攻擊,例如:暴力破解和字典攻擊。 一旦獲得訪問許可權,攻擊者可以進一步修改設備的配置,以防止授權用戶訪問或控制設備。
設備固件攻擊攻擊者可能通過利用舊版本固件中存在的安全漏洞來感染物聯網設備。某些設備(例如2011年之前的所有HP印表機)支持遠程固件更新,而且無需檢查固件的簽名,攻擊者若能遠程訪問目標設備,便可以通過更新惡意固件來感染設備。
2016年10月21日,Dyn公司提供的DNS服務遭到了數次通過Mirai病毒感染的物聯網設備發起的大型分散式拒絕服務(DDoS)攻擊,導致多個高訪問量的網站無法正常打開,其中包括GitHub、Twitter、Reddit、Netflix和Airbnb等。據了解,Mirai病毒就是通過安全配置攻擊的方式掃描並暴力破解物聯網設備的默認密碼,進而感染設備。設備一旦被感染,會繼續正常工作,但在特定的時候,受感染設備會被遠程控制向特定的IP地址(攻擊目標)發動攻擊,這樣的攻擊往往是大型分散式拒絕服務(DDoS)攻擊。
由於用戶缺乏網路安全意識,當前大量網路攝像頭、路由器、網路印表機等仍然使用默認的用戶名密碼或舊版本的固件,面臨著被惡意代碼感染的風險。例如,據監測統計,僅Mirai病毒,世界上就有多達50萬台物聯網設備被感染,並且數量正在增長。
物聯網的安全問題已經成為國內外學術界和工業界共同關心的問題。
物聯網設備數量眾多種類繁雜
針對物聯網設備安全問題,美國德州農工大學從事網路安全研究的鄭致遠博士(Dr. Zhiyuan Zheng)及其所在的研究團隊在美國校園網路中收集了一些網路數據來分析網路中物聯網設備的數量、種類、和安全程度。
研究發現,物聯網設備在數量上遠超傳統計算機、筆記本等計算設備。鄭致遠博士描述道:「物聯網設備的安全狀況令人堪憂,有超過58.9%的物聯網設備沒有使用最新的固件版本,而舊的固件版本很大程度上存在著安全漏洞;並且有超過51.3%的物聯網設備沒有用戶自定義密碼。」
他們發現數量最多的物聯網設備依次是互聯網電話,印表機,AV設備,UPS(不間斷電源),路由器和網關等。這些設備如果受到損害可能會導致非常嚴重的問題。而且每個品牌的物聯網設備都有各自不同的管理頁面,進而增加了統一管理的難度。
圖1.校園網路設備的種類劃分,物聯網設備的數量超過計算機數量
圖2.印表機最新發布軟體版本和現在使用的軟體版本對比,大量印表機仍然使用舊的軟體版本1
安全解決方案:IoTAegis
為應對物聯網安全風險,鄭博士團隊近日提出一種解決方案IoTAegis,能有效保護物聯網設備。如圖3所示,「IoTAegis首先通過主動和被動識別的方式來發掘網路中的物聯網設備,這些方法包括埠掃描,或者使用服務識別協議DNS-SD和UPnP等被動監聽方法來識別網路中的物聯網設備。」鄭致遠博士介紹道,「在網路中識別出易感染的物聯網設備以後,IoTAegis可以自動智能管理設備的安全設置,下載並安裝最新軟體版本或補丁,保證物聯網設備都使用最新版本的軟體和用戶定義的密碼,從而有效阻止網路攻擊。」
具體來說,IoTAegis包含兩種類型的配置文件(Profiles),「設備配置文件」(Device Profiles)和「協議配置文件」(Protocol Profiles),它們相當於操作系統使用的設備驅動程序。其中,「協議配置文件」負責控制用於檢測設備的通訊協議(如DNS-SD,uPnp)和採集設備信息、更新密碼等操作所使用的通訊協議(如HTTP);「設備配置文件」負責發掘識別設備種類和管理固件版本。
圖3. IoTAegis解決方案構成
IoTAegis使用事件驅動(Event-driven)的體系架構, 比如 「DNS-SD配置文件」一旦通過mDNS協議監聽到網路內的主機及其開放服務,繼而會生成事件,並告知相應的「設備配置文件」(例如,若發現主機開放_printer._tcp服務則對應通知Unix 印表機「設備配置文件」)執行信息採集、設備識別、配置管理、固件更新等一系列跟進操作。
IoTAegis解決方案基於四項關鍵功能:主機發現、設備識別、配置管理,以及固件更新。
(a)主機發現
IoTAegis藉助於Avahi客戶端庫構建「DNS-SD配置文件」,用於被動監測網路上的服務和主機,或利用Nmap 和 Zmap等開源程序主動掃描特定埠並識別主機。例如識別開放TCP埠80和443的非SCADA設備,以及開放TCP埠502(Modbus協議)、TCP埠20,000(DNP3協議)和UDP埠47,808(BACnet協議)的SCADA設備。
(b)設備識別
IoTAegis根據不同通訊協議所對應的服務,自動識別物聯網設備類型。例如,_printer._tcp對應於Unix印表機,_pdl-datastream._tcp對應於頁面描述語言(PDL)印表機,而_ipp._tcp對應於Internet列印協議(IPP)印表機。此外,利用DNS-SD TXT 記錄中的鍵值對,可進一步獲取設備品牌和型號信息。
當設備的識別信息不足或沒有發布DNS-SD數據時,IoTAegis可以通過「協議配置文件」發起特定請求,再由「設備配置文件」根據反饋信息識別設備。例如,可以向設備發起HTTP請求,再根據HTTP索引頁面匹配設備簽名。「協議配置文件」不限於HTTP協議,可以根據需要進行擴展,相應地,可以開發新的「設備配置文件」及程序邏輯以識別更多設備。
(c)配置管理
IoTAegis提供了安全配置管理的功能,當設備使用簡單的HTTP身份驗證時,IoTAegis會嘗試使用默認身份驗證信息登錄,如登錄成功,IoTAegis會自動更新用戶名和密碼,並存儲在密碼管理工具中,用戶可以通過訪問密碼管理工具獲取密碼並登陸設備。除了默認密碼配置問題之外,IoTAegis還能檢測到一些開啟但並未使用的網路埠,這些埠為網路攻擊提供了更多潛在的威脅。用戶可以根據不同設備,在「設備配置文件」中管理並更新所開啟的通訊協議和安全設置。因此,IoTAegis的「設備配置文件」可以替代物聯網供應商提供的設備配置軟體,統一的用戶管理界面更方便用戶管理連接到其家庭或工作網路中的各種設備。
(d)固件更新
對於檢測到的設備,IoTAegis會自動下載相應的遠程固件更新(RFU)文件並與當前設備固件的版本比對,對仍使用舊版本的設備,IoTAegis會將RFU文件傳輸到設備相應埠進行更新。在將固件更新到最新版本之前,有時需要一些邏輯將非常舊的固件更新為中間版本,IoTAegis會將這些邏輯包含在「設備配置文件」中,從而準確控制更新過程。下載並傳輸固件後,印表機將執行RFU文件中包含的更新命令,無需用戶干預。利用IoTAegis的固件更新功能,網路上的物聯網設備可以使用最新版本的固件,以防止攻擊者利用已知漏洞發起網路攻擊。
結論
IoTAegis並非解決此問題的唯一方案,網路安全公司諾頓開發的Norton Core提供了智能家庭路由器解決方案。鄭致遠博士也對比分析了IoTAegis和Norton Core的不同:「Norton Core通過網路層的流量監測來發現可疑的物聯網設備,而IoTAegis是通過設備層的安全管理來保護物聯網設備。兩者採用的方法不同。」
IoTAegis意在防範Mirai等惡意軟體攻擊,為整個物聯網安全領域帶來很大的改變。該解決方案能有效的更新物聯網設備的安全設置,並且方案成本很低,靈活性高,可以跟現有的網關路由器結合,適用於大型工作網路和小型家庭網路。據了解,IoTAegis已經被國內外很多院校機構使用來保護物聯網設備。該研究成果也被國內外一些媒體報道,包括Infosecurity等。
IoTAegis只是鄭博士和所在團隊的研究成果之一,他們的研究方向還包括利用機器學習和隨機過程解決工業控制系統,汽車系統,智能電網等的安全問題,這些領域極為重要並很有挑戰。關於更多該團隊的研究成果,請登錄其實驗室網站。
關於
文中提及的研究成果和圖片均來自論文「Zhiyuan Zheng, Allen Webb, A. L. Narasimha Reddy, Riccardo Bettati, IoTAegis: A Scalable Framework to Secure the Internet of Things, Invited Paper at IEEE ICCCN, July 2018.」 。鄭致遠博士畢業於美國德州農工大學計算機工程專業,研究方向包括網路安全,工業控制系統和物聯網安全,現工作於Pinterest。Allen Webb畢業於美國德州農工大學計算機工程專業,主要研究網路安全,現工作於Google。Reddy教授和Bettati教授工作於美國德州農工大學,研究方向包括網路安全,操作系統,計算機存儲系統等。
