由蜜罐引发的物联网安全小谈

最近几年，“物联网”正以迅雷不及掩耳之势四处圈地，“凡联网之物都能被黑”的恶名也如影随形。仅2015年，安全研究人员就发现了婴儿监控器、滑板、来复枪和吉普车等物联网设备中的漏洞，一名研究者甚至在一架飞机的飞行过程中对其进行了短暂地控制。

《纽约时报》曾发表评论文：

“依靠便捷和更加安全的卖点，物联网产品广受热捧。而现实却相反，这是一辆在隐私及安全的轨道上频繁失事的高速列车。”

对于物联网设备的担忧其实并非刚刚开始，安全研究人员一直在警告数百万的物联网设备存在安全隐患、易受到攻击。而根据美国国土安全部网络攻击防御分支统计结果显示，去年被报道的安全事故近245件。

那些设备究竟是如何被黑的呢?

为了深入研究，研究者建立了“物联网蜜罐”——用于寻找针对联网加油站和医疗设备发动攻击的黑客，并研究他们的攻击行为。

TrendMicro公司6个月内在7个国家建立了一批防护措施“不佳”的联网加油站，看看会发生什么情况?今年早些时候，研究者HD Moore透露，超过5000个连接到网络上的加油站没有密码设置，这就意味着攻击者可以直接访问它们并进行破坏，通过变更设置来让原本满满的泵显示为空的，而最终导致溢出。

该项目最终一共发现20起攻击：

趋势科技：一些攻击只是简单探测加油站的位置。而美国加油站是最“受欢迎”的目标。

其中，有两个针对美国加油站的拒绝服务攻击被认为与叙利亚电子军队有关，这是一个亲叙利亚的黑客组织，尽管研究者尚不能肯定地说攻击绝对就是他们干的。

约旦的雪佛龙和英国石油公司加油站似乎被一个与“伊朗黑客组织”有关的黑客访问过，而他们只是把泵的名称从“无铅”和“柴油”变更成了“IDC组织到此一游”和“Ahaad在这里”这样而已。当然，这也是一种攻击类型，但是大多没什么实际攻击性。

尽管研究者不能确定，但是目前还未有攻击者尝试变更能源水平设置，而这样的行为会造成非常严重的损害。

“不久之后，会有更为严重的攻击出现”

Kyle Wilhoit在2015BlackHat黑帽大会如是说道。

无独有偶，在另一个黑客大会Defcon上，研究者说他们已经研究了包括胰岛素泵、起搏器、MRI机器和其他医疗控制设备系统的物联网。在蜜罐测试中，仅通过来自制造商网站的通用用户名和密码便能获得这些设备的控制权。当然，也有一些厂商天真地把密码和用户名放进一个Pastebin文件中，实质上就是说“这里有一些医疗设备的用户名和密码，如果有人想攻击他们，快看这里”。

这些作为“蜜罐”的医疗设备被登录超过55000次，被装恶意软件超过300次，里面有24个指令以及8个使用特殊凭证的登录凭记——也就是说，有人打开Pastebin文件就可以滥用里面的信息了。

攻击者进入医疗设备的蜜罐

上面数据显示，大部分的攻击源于荷兰、中国和韩国

Protibiti首席研究院Scott Erven说：“这些基本都是些小打小闹，而非针对性攻击。”

大多数攻击者只是在做简单的“探究”，测绘物联网的版图。然而Erven说如此轻松便可以进入医院的药物设备，攻击者还能获得这些设备中的信息;只要你进入了一个心电图机，理论上你就能得到使用这台设备的病人的信息，例如他们的姓名、社保号码和出生日期。

在现实生活中，恶意软件同样也可以干扰医疗设备的运行。 “如果大规模的攻击造成了设备故障，我们是没有办法立刻知道这一点。”

但是通过这些“蜜罐”，医疗设备安全研究者并没有发现任何明显的恶意攻击，比如让起搏器不正常工作或者给病人注射过量胰岛素等等。

“他们(黑客)有系统管理权限，但是他们并不发送指令，可能他们没有意识到自己已经获得了一台MRI机器的root权限。”

因此，我们是否应该重视这样的情况呢?攻击者能够进入这些系统，但是可能只是一次，他们似乎对攻击这些设备或者加害于人没什么兴趣。

物联网安全：一颗定时炸弹?

来自IBM的Andy Thurai表示，科技的发展远远超出了企业自身安全维护能力的提升，物联网则汇集了网络中各种各样的传感器和部件。公司却没有为安全业务支付适合的费用，尽管已经开始所有增长，但还远远不够，而物联网则把一切弄得更糟了。所以说，物联网是一个定时炸弹。

据OF物联网报道，作为连接上述设备所广泛使用的重要无线互联标准之一，ZigBee技术也于近期召开的2015黑帽大会上被曝出存在严重的安全漏洞，引发了业内的广泛关注。

FreeBuf之前也有文章讨论过物联网安全蓝海战略。ZigBee是一种低成本、低功耗、近距离的无线组网通讯技术，目前已广泛存在于诸如智能灯泡、智能门锁、运动传感器、温度传感器等大量新兴的物联网设备中。然而，研究人员却发现在ZigBee技术的实施方法中存在一个严重缺陷，涉及到多种类型的设备中，黑客有可能以此危害ZigBee网络，并“接管该网络内所有互联设备的控制权”。由此，可能带来大量物联网产品安全的安全风险。

近日一份研究报告显示，针对物联网安全的小型技术解决方案和服务市场将会出现井喷，物联网安全市场将在2020年的时候增长至289亿美元。

当然针对层出不穷的物联网安全事故，也不是人人都愁眉以对的。

安全研究者Dan Tentler认为，

“研究物联网设备漏洞是很困难的。为了攻击吉普车，研究者不得不买一辆，然后花一年时间研究代码。当攻击者进入这些‘蜜罐’时候，他们可能仍不知道可以做些什么坏事。”

作者：明明知道

来源：51CTO