以前,为了展现物联网攻击的危害,我总是要想很多故事讲给你们听,比如小红在家洗澡,一言不合被破解后摄像头直播;老张的媳妇出轨黑客老王,老王密谋控制老张高速行驶的物联网汽车,来个紧急制动,车毁人亡,搂着媳妇把家还……
哦哟哟,这些故事都好没有节操。
于是,我打算洗心革面,重新做人。。。不,讲故事。
最近,黑盟(公众号:黑盟)的同事写了一篇《刚刚,阿里宣布全面进军一条新的主赛道》,讲了讲阿里将全面进军物联网领域,就轻松达到5W+阅读量,哼,我不服!我要写一篇“怼文”:黑客到底如何对物联网发起攻击,整个攻击链是怎样。
于是,我请教了绿盟科技的几位专家(杨传安、李东宏等人)。
我:老师,如果我想当黑客攻击物联网设备,应该怎么做。
李东宏:你应该。。。现在就打消这个念头,不然我们就用技术反制你,然后和警察蜀黍打配合,抓住你。。。
我:不要这么认真,我们假设下,那些安全研究人员还教我“不知攻,焉知防”呢,是吧?(套路。。。)
李东宏:你这么说也有点道理,好吧,我们先来看下。
********
一、黑客怎么攻入你的摄像头/打印机/互联网汽车/。。。。。
第一步:设备选型
原则1:假如我是一个黑客,当然为了利益最大化,要选择选一个市场占有量较大的厂商。
原则2:寻找市场占有量较高的设备型号。如果我找到一个漏洞,能一下拿下市场上10万,甚至100万台设备,简直就是隔山打牛,坐拥肉鸡。不然,我吭哧吭哧花了五万块,结果就获益5000块,不是费力不讨好嘛。
原则3:虽然一个物联网设备厂商推出了很多型号的同类产品,但往往用的是同一套系统,不同的宏开关,比如,网络摄像头的漏洞可能在多媒体摄像机中存在。所以,黑客会关注历年漏洞信息,老漏洞新用,或者在漏洞被修复前打个时间差用一用都是有可能的。
原则4:要看厂商是否有相关的安全团队或者合作公司支持,如果我只是一个菜鸟黑客,刚学会了皮毛,就被黑客大牛反制,大概就会“出师未捷身先死”了。或者,这种物联网设备可能漏洞数量会较少,人家早发现早补完了,难道留着漏洞给你过年?
第二步:本地漏洞挖掘
选好型,拿到设备的第一手动作,当然是把设备拆开,获得固件。
目标点1:获取设备指纹,因为它将告诉一个黑客,这个设备在互联网上的资产暴露情况。
目标点2:拆解固件,找到设备的后门指令或弱口令,所谓后门口令,就是粗心的厂家在发布产品时没有把调试版本里的口令去掉,而弱口令,就是出厂口令,比如1234567、000000,但是粗心的用户没有安全意识,觉得初始口令比较好记。
目标点3:进入 WEB 界面,突破管理员限制,挖掘其中的未授权漏洞,控制物联网设备。通过WEB 界面,还可以了解用户泄露的账户信息。
目标点4:分析设备是否有对外的安全服务,利用弱口令和安全服务,就可以控制物联网设备。
目标点5:分析是否有公开漏洞测试,比如,如果是一个LINUX系统,它经常有一些漏洞公布,假如我是一个黑客,只要到网上寻找相关的漏洞和利用工具,就能开干了。
第三步:工具制作
拿下一种物联网设备,肯定是为了利益转换,那么,接下来黑客就会开始写工具了。
工具1:资产识别工具,通过对一种设备进行分析,然后扫荡整个互联网上的相同设备。
工具2:漏洞利用工具,利用现有框架,或者自己编写一个独立的漏洞利用小工具。
第四步:资产统计
这些工具做好后,黑客会进行二次扫描和情报监测,评估漏洞在互联网的可控制量,以便随后输出一个利益评估的价值体系,也就是传说中的“定价”了!
第五步:利益转换
一般来说,黑客会售卖利用工具、设备信息、控制设备。
二、物联网设备哪里最弱
假如我是一个黑客,肯定会寻找设备最弱的地方开始突破。
弱点1:在第二步“本地漏洞挖掘”中,其实拆开硬件设备后,会出现两个接口:JTAG 和 串口。
JTAG 会控制 CPU 的状态,进行代码调试,也可以发起程序,加载固件等。为了提升效率,会使用串口进行调试,调试信息可通过串口打印到屏幕上,可包含内核的加载地址、内存大小、文件系统的加载地址和文件系统的大小等。
弱点2:弱口令。
弱口令的诞生一般是因为用户没有修改厂商初始密码,或者用户自行设置的弱密码,攻击者可以搜集用户名和密码列表,也就是把常用的用户名和密码找出来,放到扫描工具和代码中。
划重点来了:不要把自己的生日设置成密码,尤其是不满8位数的密码,这等于送羊入虎口。
弱点3:信息泄露
设备信息包含设备型号、平台、操作系统、硬件版本,会泄露用户认证信息,比如用户名和加密密码算法。
拿到用户名和密码算法,黑客会到 CMD5 网站或者通过运算进行暴力破解,获得加密密码的明文,从而控制设备。
弱点4:未授权访问
直连模式直接获得最高权限,后门账户可让黑客直接登录后台。还有一点是,设计缺陷可能让黑客直接无认证进入操作平台,软件漏洞也可导致攻击者越权访问。
弱点5:远程代码执行
输入参数没有严格过滤与校验。
弱点6:中间人攻击
黑客可利用两种模式:监听模式和篡改模式,现在有些物联网设备由于计算能力限制,导致通讯以明文传输方式进行,监听模式可以拿到一些数据,比如账户认证信息,而用得比较多的篡改方式是 HTTPS 解密。
弱点7:云(端)模式
现在为了便利,一些设备可通过手机连上云端控制设备,黑客可对云平台进行安全测试,拿到弱口令等,还可通过中间人攻击模拟终端给云端发送指令。
三、安全建议
当然,“教我当黑客”只是一个玩笑,换位思考看,如果我是一名攻击者,竟然能有这么多方法搞到设备+获利,反推一下,如果要保护自家物联网设备安全,应该针对这些可能的攻击措施做些什么?
1.对用户:
修改初始口令以及弱口令,加固用户名和密码的安全性;
关闭不用的端口,如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;
修改默认端口为不常用端口,增大端口开放协议被探测的难度;
升级设备固件;
部署厂商提供的安全解决方案
2.对物联网厂商:
对于设备的首次使用可强制用户修改初始密码,并且对用户密码的复杂性进行检测;
提供设备固件的自动在线升级方式,降低暴露在互联网的设备的安全风险;
默认配置应遵循最小开放端口的原则,减少端口暴露在互联网的可能性;
设置访问控制规则,严格控制从互联网发起的访问;
与安全厂商合作,在设备层和网络层进行加固。
(以上建议摘选自绿盟科技发布的《2017物联网安全年报》)
四、思考
在黑盟同事发出的那篇阿里新赛道的文章中,我发现阿里云也在物联网领域方面进行了安全能力的建设。
再加上之前小米、百度、360、腾讯等在物联网安全上的动作,我总觉得一个“时候”到了。
但是,我想起了曾经采访过的威胁猎人 CEO 老毕的故事。
2014 年下半年,老毕做了第二个创业项目:物联网安全。但他很快发现,这个其实在商业上面很难落地。“这个行业有很多问题,有些在某个阶段没有商业价值。我接触到这个行业,发现这个行业是很苦逼的状态。很多公司拿了上百万人民币,这个产品能最终做出来,再卖那么一两批,已经不错了。你跟他说加一个什么安全,他觉得你疯了。”老毕说。
2015 年中旬,老毕在这个创业项目上仓皇撤退。
3 月 27 日,绿盟科技物联网专家杨传安告诉我,绿盟的物联网解决方案布局在这三方面:一是持续的安全检查,漏洞和弱密码检查与固件升级的闭环管理;二是针对蠕虫传播,在网络上进行阻断和入侵防护,避免更多节点被感染,并清洗恶意的攻击流量;三是接入层的准入控制,最后是物联网的态势感知平台。
我立马问了他一个问题:你们主要是赚谁的钱,在哪些行业落地?
事实上,他们在上面那份白皮书中早已有一份“可能”的列表:物联网设备提供商、物联网平台提供商、物联网网络提供商(运营商)、物联网应用提供商、物联网用户等。
但是,杨告诉我:“目前看,近年来由政府主导的视频监控项目,类似天网工程,对设备终端有强准入控制要求,对安全风险管控也有明确要求,这个方案落地极快;另外,运营商建设物联网专网,也会有类似移动互联网对公共网络的安全监管要求,同时运营商自营物联网业务的安全运营需求,也会是项目落地的主方向。”
这个答案没有超出我的预期。三年后,大若绿盟,在物联网安全领域,依然在艰难地开垦,to C 的钱暂时不要想,to B 的钱依然难赚但有前景,to G 则是撬动这个市场的一个入口。
杨认可了这一点。但这并不是绿盟一家在开垦物联网安全市场时遇到的困境,而是市场大环境如此。他依然充满信心,希冀通过 G 端能够在物联网安全上有所建树,他相信,引路人的工作不可缺少,未来有一天人们会越了解及认可物联网安全的重要性。
谁说不可能呢?我们终将进入一个万物互联的未来。
黑盟注:绿盟科技物联网专家张星、刘弘利、刘文懋等对此次采访亦有贡献。
黑盟原创文章,未经授权禁止转载。详情见转载须知。