物联网设备似乎无处不在——从陪伴我们日常生活的消费者产品,到家庭清洁产品到体育用品,再到应用于不同行业的复杂物联网基础设施(包括工厂和城市、远程医疗、运输行业、物流行业等等)。这类设备的数量和种类多样意味着物联网可以处理各种各样的数据,而这些数据可能会被网络罪犯所窃取。卡巴斯基安全布道者Vladimir Dashchenko思考了物联网安全及其相关挑战。
据称,“物联网派对”始于1990年,当时美国计算机科学家John Romkey首次将烤面包机连接到互联网。从那时起,物联网得到了快速发展,内置Wi-Fi并能够连接到4G/5G网络的设备变得体积更小、功能强大且制造成本更低。但是2016年,发生了首次重大的物联网安全事件,物联网派对变成了一场可怕的宿醉。
为什么Mirai成为物联网网络安全的不归路
当时,Mirai恶意软件入侵了数十万台联网设备,如智能相机、路由器、智能冰箱等。这些设备被拉入一个由近一百万台设备组成的僵尸网络[注:僵尸网络是一个由计算机组成的网络,这些计算机被恶意软件故意感染,在未经计算机所有者允许或知情的情况下在互联网上执行自动任务]。一台这样的设备不会造成任何伤害,但当攻击者拥有成千上万台这样的设备时,它就会成为一个巨大的威胁。
多个重要的服务和网站成为Mirai攻击的受害者。它用DDoS攻击摧毁了德国电信的基础设施;另一次针对Dyn的DNS(域名系统)服务器的DDoS攻击导致欧洲和北美的大量用户无法使用主要的互联网平台和服务。这直接影响了诸如AirBnb、亚马逊、BBC、GitHub、Netflix、Visa和其他许多公司。
这些攻击的感染媒介很简单——利用了默认或简单的凭据,或者一组允许远程访问设备的漏洞。之后,恶意软件被下载并在设备上执行,这使得远程攻击者可以随心所欲地操作设备。这种简单的攻击方法与低水平的物联网网络安全相结合,使攻击者能够执行有效的攻击。在此之后,网络安全公司并不是唯一意识到他们需要为下一波物联网网络安全挑战做好准备的公司,私营企业和政府也意识到这一点。
物联网不仅是一个恶意软件爆发问题:现在还有哪些相关的网络安全问题
一台小小的设备可作为全面攻击的起点
在电影《十一罗汉》中,DanielOcean的团队成功地在赌场的安全摄像头上伪造了一段视频,成功实施了一次重大抢劫。这不仅仅是导演的幻想。几年前,我们对为家庭使用或中小型企业设计的智能摄像头进行了安全研究,这些设备是监控或安全系统的一部分。结合在云架构和摄像头本身中发现的一些漏洞,我们成功地使用了与上述影片中相同的技巧——改变视频流并显示与另一台摄像机完全不同的镜头。我们也可以用预先录制的视频来代替实时影像。
这个例子生动地说明,如果物联网基础设施没有得到适当的设置和保护,物联网会给消费者以及任何规模的企业带来巨大的安全风险。首先,一台小小的设备可以成为任何规模的网络攻击的入口。按照上面的示例,攻击者也可以使用相同的摄像头所录制的不同场景,但存在另一组漏洞。例如,用该供应商的操作的所有智能摄像头劫持整个云。
漏洞修补和自动更新
另一个网络安全问题是漏洞修补。物联网设备制造商急于将其产品推向市场,以至于他们认为安全是次要问题。在产品开发过程中,供应商甚至可能没有考虑设备的安全威胁,而在产品发布后可能没有安全更新。然而,即使所有的漏洞都由独立的白帽安全研究人员上报,然后由供应商修补,许多物联网设备仍然没有自动更新机制。这种情况带来了更多的风险,因为普通的物联网用户不会收到自动更新,并且需要密切关注新的漏洞和补丁。很少有人能够这样做,甚至在企业网络安全方面都如此,更不要提个人用户了。根据我们在卡巴斯基的工作经验,过时的设备被证明是发生事故的主要原因之一。这也潜在地为潜在攻击者打开了一扇门,使其拥有更广泛的攻击面。软件开发人员和操作系统开发人员正在尝试通过自动更新、各种通知等解决此问题。
家庭办公vs智能家居:远程工作挑战
还有一个需要考虑的问题是远程工作趋势的兴起。家庭办公的安全与智能家居系统直接相连。虽然物联网设备帮助许多用户在家工作,但这些网络往往缺乏安全性。当一个人使用多个物联网设备来控制温度、湿度水平、控制摄像头和家中的其他东西时,这些设备通常会创建某种生态系统,收集、处理和分析大量用户数据。从企业网络安全的角度来看,特别是攻击建模和损失预测方面,这对雇主来说可能是一个大问题——因为其基础设施可能会通过员工的智能家居遭到破坏。另一方面,智能家居的所有者自己也可能成为网络攻击的受害者。
作为我们ICS CERT活动的一部分,卡巴斯基以可控的方式严格测试了智能家居安全,包括侵入我们团队一名成员所拥有的智能闹钟。通过利用特定的漏洞,我们能够访问她家里的路由器,就像世界上大多数家庭一样,路由器现在是所有智能设备的中心;接下来,我们能够创建一个受密码保护的PHP脚本,它可以执行我们的任何命令。
在给我们的同事发了一封“友好“的电子邮件和短信,礼貌地要求他从云端下载更新路由器的软件后,我们就可以控制房子里的任何设备。我们是诚实和负责任的,只是把他闹钟上的旋律改成一些令人欣慰的鼓点和贝斯来表明我们入侵成功,但任何真正的攻击者都可以做更多的事情,而不仅仅是摆弄闹钟,并使用路由器作为网关来访问个人数据、银行记录或做更多事情。
我们的目的是测试人们从家庭中心使用和管理的“智能”设备的完整性,我们不只是在谈论调暗灯泡或打开咖啡壶。在坏人手中,从婴儿监视器和配备视频的门铃到重要的安全元件,如家庭或商业场所的窗户、门和大门,任何东西都可以访问,可以把一个方便的帮手变成恐怖电影中的东西。
有如此大量的威胁。物联网能够安全吗?
当然,物联网还有更多的挑战。它们与不断升级的威胁形势和复杂的环境密切相关:全球研究表明,到 2022 年,一个普通家庭可以使用大约 17 个联网设备和智能家居电器。在这些挑战中,我能够列出导致被暴力破解的默认密码、物联网恶意软件和勒索软件、数据隐私担忧以及不安全的界面等问题。
物联网从一个伟大的想法变成现实的速度比我们预期的要快得多。当然,这里面有巨大的价值:日常生活变得更加愉快和舒适,我们花在重复任务上的时间更少,做出更高效的决定,并创造新的习惯和“生活场景”。 然而,我们必须以光速适应这个神奇的新现实,因为它为物联网威胁格局的发展设定了一个极快的速度:新兴的网络威胁可能点一下按钮就可以摧毁物联网的理想世界。好消息是,我们确实有一个真正的机会来为智能/物联网的未来做好准备,而不必担心这些小小的设备能够带来可怕的网络疯狂。