Hack Demo中對物聯(lián)網(IoT)設備的嘗試
互聯(lián)網安全創(chuàng)新大會(FIT 2019)作為安全行業(yè)一年一度的盛會,匯聚了全球的安全從業(yè)者、優(yōu)秀技術專家和白帽子,共同分享交流當前最熱最尖端的技術。而每年最能吸引眼球的,還是「HACK DEMO」環(huán)節(jié),不僅能現(xiàn)場欣賞到只有電影中才會出現(xiàn)的情節(jié),還與我們的生活息息相關。
圖:Hack Demo
“Talk is cheap, Show me the code. ”這是程序員圈內的名言,同樣也是黑客大佬們的行為準則。記得FIT 2018中,極棒實驗室(GeekPwn Lab)給我們帶來了”人臉識別門禁漏洞挖掘詳解”,現(xiàn)場演示了如何抓取門禁系統(tǒng)的正常管理通訊并進行分析,修改人臉信息以達到刷開智能門禁的目的。
還有安恒海特實驗室,通過OBD智能盒子遠程控制汽車的各項功能,比如遠程讓汽車熄火。
圖:汽車攻擊流程
FIT 2019中的「HACK DEMO」環(huán)節(jié)同樣精彩,由360天馬安全團隊帶來的場控音樂會熒光棒技驚全場。
圖:通過無線電控制熒光棒顏色
還有智能電視、智能家居破解小劇場,通過智能電視這種可遠程控制的IoT設備作為跳板,入侵一些近場設備,如門鎖、攝像頭、臺燈、掃地機器人等等。
IoT設備越來越多地出現(xiàn)在我們身邊,給我們的生活帶來很多便利;而從「HACK DEMO」中對智能家居的嘗試來看,這些設備也潛在很多安全威脅。這些威脅不再是泄漏一些無關緊要的隱私,而是會對人身安全產生極大的威脅。
物聯(lián)網(IoT)設備有哪些分類
在未來萬物互聯(lián)的時代,將會有層出不窮的IoT設備出現(xiàn),以實現(xiàn)機器、人、物的連接。這些新的連接形態(tài),將極大地改變網絡發(fā)展模式。
在互聯(lián)網時代,人們更多地在追求極致的速度。而在物聯(lián)網時代,更多地需要多樣的連接方式、更低的功耗、更強的穩(wěn)定性。按照使用的技術,比較常見的有藍牙(Bluetooth)、NFC、Zigbee等,其中Zigbee功耗更低且組網簡單,常在比較小型的IoT設備中出現(xiàn)。
在物聯(lián)網快速發(fā)展的過程中涌現(xiàn)了eMTC,SIGFIX,NB-IOT,LORA等更多專業(yè)物聯(lián)網協(xié)議,以更突出的性能和更低的功耗受到各大廠商重視。各種協(xié)議的基本信息如下圖。
圖:物聯(lián)網協(xié)議基本信息
按照使用場景來分,IoT設備有用于社會公共事業(yè)的,如智能電表、智能交通燈等;有用于智慧醫(yī)療的,如儀表、可穿戴設備、病人監(jiān)護等;還有用于智慧家庭的,如智能電視、智能臺燈、智能音箱、智能門禁等。
而根據(jù)物聯(lián)網設備的使用距離,還有一種更簡單的分類方式。對于不連接互聯(lián)網,只能在一定距離內連接的,稱為近場設備。對于連接互聯(lián)網IoT設備稱為遠程控制設備。
圖:物聯(lián)網設備按照使用距離分類
物聯(lián)網(IoT)設備有哪些威脅
在FIT 2019中,??低曁岬搅宋锫?lián)網威脅在To B和To C上的不同。
公眾可能更關注車輛被遠控導致人身威脅,醫(yī)療器械帶來的人體攻擊,網絡攝像頭和可穿戴設備帶來的嚴重隱私泄漏等等。而研究人員和企業(yè),會更關注海量物聯(lián)網設備均存在弱口令和漏洞,一旦被控制發(fā)起DDoS攻擊,其流量會比現(xiàn)在常見的DDoS攻擊高出N個數(shù)量級,帶來的危害不可估量。
圖:物聯(lián)網(IoT)面臨的安全威脅
因為物聯(lián)網設備的硬件、軟件、通信協(xié)議都沒有形成標準化的平臺,每個廠商有不同的方案,所以筆者認為物聯(lián)網設備的安全威脅可以從以下三個方面來分析。
硬件方面,可能存在芯片漏洞、硬編碼泄密及修改修改、電路飛線等。大量設備會保留硬件調試接口,便于生產時程序的燒錄,以及售后的問題診斷,這很容易被攻擊者惡意Fuzzing,尋找漏洞。
圖:物聯(lián)網設備硬件安全
軟件方面,如系統(tǒng)固件中經常會保留調試的隱藏命令,固件的升級和信息泄露也是攻擊者的重點目標。可能存在的非必要網絡連接、開放的調試接口、默認口令、弱密碼、系統(tǒng)漏洞、驗證失效、硬編碼口令等,包括一些開源的第三方庫,也會成為攻擊者的目標。傳統(tǒng)的應用安全同樣危害著IoT的云端接口,如XSS,代碼注入,越權,文件上傳下載等漏洞依舊可見。
通信協(xié)議方面,往往存在明文傳輸、鏈路劫持、數(shù)據(jù)泄漏、重放攻擊等風險。智能設備更加依賴于無線傳輸方式,wifi、藍牙、GNSS、Zigbee等協(xié)議的應用大大拓展了IoT的攻擊面。設備之間互聯(lián)使用開放的協(xié)議,標準不統(tǒng)一,極其容易被破解。受到成本的限制,生產廠商也并不重視物聯(lián)網設備的安全。
圖:近年來物聯(lián)網攻擊事件
這些安全威脅中,當下發(fā)生的比較多且影響比較大的有:
網絡攝像頭使用默認口令,導致用戶隱私泄漏;
非必要的網絡連接導致大量物聯(lián)網設備暴露在公網,被黑客利用;
通信協(xié)議驗證不嚴格,導致重放攻擊;
語音控制模塊具備設備操作功能,導致超聲波、次聲波攻擊;
版本更新機制問題,OTA劫持,鏈路劫持等。
物聯(lián)網(IoT)設備的安全如何做
物聯(lián)網設備因為其硬件資源的限制,無法像傳統(tǒng)安全設備那樣安裝殺毒軟件,設備本身的安全防護已無法保障整個產品的安全性,越來越多在業(yè)務面的攻擊沖擊著企業(yè)安全的底線。如:業(yè)務上產品的數(shù)據(jù)被竊取,O2O業(yè)務交易信息的泄露,DDoS攻擊造成的設備癱瘓等。諸如此類的嚴重威脅已經不容忽視,網絡設備廠商有必要嘗試解決這些問題。
首先是物聯(lián)網設備的管理問題
當網絡中存在大量未知設備時,就如同行走在雷區(qū),隨時都有可能爆發(fā)。無法發(fā)現(xiàn)物聯(lián)網設備,其泄漏隱私與非法訪問更談不上被識別。
安博通下一代防火墻深入監(jiān)測網絡設備、應用、用戶、操作系統(tǒng)和文件等信息。利用這些信息能更好地了解網絡行為,識別違規(guī)操作,并評估入侵風險。防火墻采用主動掃描和監(jiān)控主機流量的方式識別網絡中的資產信息,能夠識別出網絡中的設備類型,包括PC、交換機、打印機、移動設備、攝像頭等;對連接互聯(lián)網的物聯(lián)網設備,也有一定的管理能力。
針對監(jiān)控攝像頭,安博通下一代防火墻對SIP、H.232、RTSP、RTP、RTCP、MPEG等視頻協(xié)議進行深入解析,能準確識別網絡中的攝像頭序列號、型號、品牌等基礎信息?;诎踩?、安全策略、白名單等機制對設備合法性進行辨別,阻斷非法設備地接入。
圖:攝像頭管理
其次是常見系統(tǒng)漏洞,默認口令,弱密碼等
當物聯(lián)網設備使用弱密碼、默認密碼時,意味著這些設備很容易被作為跳板跨越到其他終端,防火墻可以發(fā)現(xiàn)這些攻擊并產生相應告警。
安博通下一代防火墻應對弱密碼防護,有主動掃描發(fā)現(xiàn)與被動識別兩種方案。能主動對網絡中的設備進行弱密碼掃描,試探其是否存在弱密碼,也能被動從明文協(xié)議中發(fā)現(xiàn)弱密碼并進行告警。
XSS、代碼注入、越權、文件上傳下載等漏洞,在防火墻或者IPS/WAF設備中,同樣可以被防護。
再然后是防泄密
防火墻需要識別到物聯(lián)網設備可能會泄漏的隱私信息,如位置、圖像、聲音信息等。因為物聯(lián)網設備往往成本有限,即使知道存在安全威脅,生產廠商也因為各種原因難以修復。
這就需要防火墻能對物聯(lián)網設備泄漏的隱私信息進行識別,然后阻斷或者隱藏,并且要支持用戶自定義所需的敏感信息特征。對于終端可疑的外傳信息行為,防火墻需要有日志進行記錄并分析。
最后是強化訪問控制,優(yōu)化授權機制
很多物聯(lián)網設備其實并不需要連網,而在未知的情況下被部署在公網或其他能訪問到的地方,會造成嚴重的影響。
防火墻應準確定義物聯(lián)網設備的網絡訪問權限,控制其在最小范圍內活動,降低風險。安博通下一代防火墻能夠精確識別到物聯(lián)網設備,并進行訪問控制。
安博通下一代防火墻從設備管理、弱密碼保護、防泄密、訪問控制等方面保護物聯(lián)網設備的網絡安全,在IoT技術高速發(fā)展的同時融入安全因子,讓網絡安全成為支撐物聯(lián)網的牢固基石。
關于安博通
北京安博通科技股份有限公司(簡稱“安博通”),成立于2011年,以“看透安全,體驗價值”理念為核心,是國內領先的可視化網絡安全專用核心系統(tǒng)產品與安全服務提供商。其自主研發(fā)的SPOS可視化網絡安全系統(tǒng)套件,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網絡安全系統(tǒng)平臺,是國內眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)來源。
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。