美国当地时间10月21日,美国东海岸DNS服务商Dyn遭遇DDoS攻击,致使包括 Twitter、Tumblr、 Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal 和 Yelp在内的美国多个热门知名网站的互联网服务全面宕机,造成超过半数美国人无法上网。
Dyn公司称此次DDoS攻击事件涉及IP数量达到千万量级,其中很大部分来自物联网和智能设备,并认为攻击来自名为“Mirai”的恶意代码。Mirai的主要感染对象是路由器、网络摄像头、DVR等物联网设备。
Mirai主要利用网络摄像设备的弱口令等安全漏洞实施入侵,在硬件Linux系统下生成随机用户,并植入恶意软件构建僵尸网络。
以往僵尸网络主要是感染控制电脑和服务器,但近年来,越来越多僵尸网络开始瞄上网络摄像头等IOT硬件设备,比如此前国外另一个DDoS僵尸网络家族GAFGYT,感染对象和攻击手段与Mirai相似,也会扫描23 telnet端口的弱口令,并且主要针对IOT设备。这使得两者很容易被混淆,但其实它们的代码区别很大。
据360攻防实验室负责人刘健皓介绍,最近,Mirai这个利用智能硬件攻击网络的程序在互联网上被公布了源代码,这样,手里掌握大量智能硬件漏洞的组织,就可以轻易地利用这样的程序,调动所有有漏洞的硬件发起进攻。
此次Mirai影响如此大的重要的原因是因为有如此之多的网络摄像头、数字录像机等设备生产出来时附带的默认密码从未更改过。一次简单的互联网扫描就能识别出这些密码,让它们迅速陷入危险的境地。
网络安全行业已经关注到了物联网上的智能硬件的安全,在DEFCON等多个安全行业会议上安全专家们也通过破解演示公布了这些智能硬件设备可能引发的安全风险,比如黑客远程控制汽车、未经授权获得摄像头的图像。而此次美国断网事件则表明,物联网设备不仅会给设备本身或者用户带来直接的安全威胁,也可以被恶意利用攻击他人。
研究机构Gartner预测,到2020年,世界上将有逾200亿台联网设备,消费者将在“物联网”上花费1.5万亿美元,而企业的花费几乎也将达到同一水平。Gartner预测,到2020年,超过四分之一对企业的攻击将涉及联网设备,但企业只会将10%的网络安全预算花在对此类攻击的防御上。
早在2014年,刘健皓就预言了智能硬件的普及,以及制造商们对安全防护的淡漠,会造成巨大的隐患。他在一篇报告中写道:当智能硬件达到一个量级时,由于其自身安全问题会给互联网造成很大的安全威胁。
刘健皓称,很多的智能硬件厂商在安全方面所做的研究非常有限。以至于相当数量的智能硬件携带非常多的漏洞,这些漏洞往往是低级的,甚至由于很多硬件厂商选用相同的底层方案,这些漏洞还是通用的,一旦被不法分子利用,其后果不堪设想,这次美国断网事件就是一个很好的例证。
刘健皓所在的实验室今年5月在对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷、弱口令等安全设计缺陷。
“要解决物联网的安全问题,需要提高整个社会的物联网安全意识,尤其是接入物联网的智能硬件设备生产商的安全意识和安全能力”,为此刘健皓团队专门编辑出版了《智能硬件安全》这本书,这将是国内第一本系统介绍物联网安全的专业书籍,该书的核心观点是通过“以攻促防、以防抑攻”的安全理念,全面提高物联网产品自身的安全防御能力。