近兩年來,智能裝置席卷全球,随之而來的安全威脅卻在不斷演變和更新,在剛剛過去的2016年發生的幾起全球重大網絡安全事件中,都能看到物聯網攻擊的身影。在溫哥華舉辦的國際資訊安全大會cansecwest上,來自極棒實驗室(geekpwn lab)的安全專家宋宇昊與劉惠民帶來了iot裝置漏洞挖掘與利用的演講,通過對geekpwn(極棒)大賽上陸續失守的iot裝置進行技術和資料分析,揭示了物聯網安全不容樂觀的現狀。
史上最大規模ddos元兇現身 僵屍網絡席卷物聯網
2016年末,一個代号為“mirai”的病毒通過感染iot裝置,緻使美國東部大面積網絡癱瘓。攻擊者利用網絡錄影機及電子錄音裝置襲擊了美國域名解析服務提供商dyn公司,包括twitter、facebook在内的多家美國網站無法通過域名通路。對此,極棒實驗室專家宋宇昊在cansecwest上介紹到,造成半個美國網際網路癱瘓的罪魁禍首,是mirai僵屍網絡控制下的數以10萬計的物聯網裝置。該僵屍網絡是通過物聯網裝置——如網絡攝像頭、路由器等展開一系列攻擊。
其實,早在mirai病毒發酵前的2015年,geekpwn極客大賽選手就展示了對多款路由器和網絡攝像頭的攻破。自2014年至今,geekpwn舞台上一共出現了18款品牌路由器,覆寫11個品牌,囊括了中國幾乎所有的主流品牌,其中一半以上品牌路由器全球暢銷。
lot裝置異常脆弱 攝像頭和路由器或成新“入口”
宋宇昊表示,雖然mirai的聲音漸漸遠去,可是物聯網的安全情況仍不容樂觀。這并不是一個結束,而是另一場悲劇的開始。在物聯網這個新興市場上,還沒有成熟的行業标準,導緻iot 領域存在大量漏洞,從極棒大賽過去三年的比賽項目看,自2014年起,所有的漏洞(117個)都是高危漏洞并且直接導緻黑客全權控制裝置。其中83個漏洞未涉及記憶體級别(例如緩沖區溢出漏洞),74個漏洞可以獨立被利用,換句話說大部分的漏洞都比較低級,但是危害極大。
由于物聯網裝置存在裝置分散、責權不清,早期裝置甚至都沒法遠端更新等問題,這就導緻了就算知道其防護不力,也沒有辦法進行修複。攻擊者不再需要通過入侵台式電腦,智能攝像頭、pos機、智能手表,智能插座都有可能成為新的入侵“入口”。
(2016年geekpwn大賽上海站選手現場示範操控智能插座發微網誌)
在geekpwn過去的iot比賽項目中,31%的是記憶體級别的漏洞,此外,還有利用不安全傳輸、功能濫用、邏輯漏洞、代碼注入、寫死加密破解等方式。在曆屆的極棒黑客大賽上,你可以看到:路由器可以監控、劫持網絡流量,導緻使用者隐私洩露;pos機可以查詢交易記錄并盜刷現金;而智能兒童手環除了可以定位兒童的位置以外,還能時刻監視兒童;智能插座等不但可以監視使用者的日常生活軌迹,控制使用者家庭裝置,甚至還有可能成為僵屍網絡的載體,發送微網誌等。在電影《激情與速度7》中,“上帝之眼”可以通過麥克風或者鏡頭找到任何一個人,盡管電影中的情節在現實中未必實作,但宋宇昊認為,如果我們不及時在lot領域采取相應行動,未來,人們将會面對比mirai更大的混亂。
由知名資訊安全團隊碁震(keen)成立的極棒實驗室(geekpwn lab)緻力于包括基礎系統與協定、移動支付、物聯網以及人工智能安全等新興和未來技術應用領域的安全研究,并依托geekpwn大賽等平台,幫助智能生态産品提升安全性。
據悉, geekpwn(極棒)将于 5 月 12 日在香港登上 “雲頂夢号”郵輪,舉辦全球首個海上極客賽事。屆時,包括人工智能、iot等的安全問題将再次成為備受矚目的焦點。
本文轉自d1net(轉載)