微软公司最近在拉斯维加斯举行的年度黑帽大会上发布了一个消息,这引发了人们对常见的物联网(IOT)设备对企业网络进行大规模攻击的一个恶意黑客集团的关注。
微软公司表示,这个黑客集团为了侵入企业网络,采用了几种物联网设备,其中包括IP语音电话、Wi-Fi办公室打印机、视频解码器等。微软公司表示,这些攻击是由一个名为Strontium的组织(也称为Fancy Bear或APT28)进行的,该组织与某个军事情报机构有所关联。
根据Gartner公司的调查,到2020年,家庭和企业用户将使用140亿多台物联网设备。鉴于微软公司发布的消息,现在是审查固件中的安全风险的时候了。固件是为物联网设备的硬件提供低级控制的特定软件类别。固件安全被广泛认为是一个紧迫的网络安全问题,它是黑客用来在网络中立足的无保护的常见攻击面。不安全的物联网设备本质上是一个没有上锁的大门,这意味着一旦攻击者控制物联网设备,就可以侵入到很多公司的网络中。
黑客积极利用物联网安全的弱点,而不是攻击设备本身,并将其作为各种恶意行为的起点,这些恶意行为可能包括分布式拒绝服务攻击、恶意软件分发、垃圾邮件、网络钓鱼、点击欺诈,以及信用卡诈骗等等。因此,在设备漏洞导致企业的收入损失、诉讼、公司声誉受损之前,需要了解8个常见的固件漏洞,以呈现企业网络没有敞开大门。
1.未经身份验证的访问:固件中常见的漏洞之一,未经身份验证的访问允许威胁参与者获得对物联网设备的访问权限,从而可以轻松利用设备数据及其提供的控制。
2.弱认证:当固件具有弱认证机制时,威胁参与者可以轻松访问设备。这些机制的范围可以从单因素和基于密码的身份验证到基于弱加密算法的系统,这些算法可以通过暴力攻击进行破解。
3.隐藏后门:在固件方面,隐藏后门是黑客喜欢利用的漏洞。后门是植入嵌入式设备中的有意漏洞,可向具有“秘密”身份验证信息的人提供远程访问。虽然后门可能有助于客户支持,但当恶意行为者发现后门时,它们可能会产生严重后果。而黑客很擅长发现它们。
4. 哈希密码:大多数设备中的固件包含用户无法更改的硬编码密码或用户很少更改的默认密码。两者都导致相对容易利用的设备。2016年,Mirai僵尸网络在全球范围内感染了250万多台物联网设备,利用物联网设备中的默认密码执行DDoS攻击,Netflix、亚马逊和纽约时报等一些大公司都遭到了这样的攻击。
5.加密密钥:当以易于被黑客攻击的格式存储时,如20世纪70年代首次引入的数据加密标准(DES)的变体,加密密钥可能给物联网安全带来巨大问题。尽管已经证明数据加密标准(DES)安全性不足,但它仍然在使用。黑客可以利用加密密钥窃听通信,获取对设备的访问权限,甚至可以创建可以执行恶意行为的恶意设备。
6. 缓冲区溢出:当对固件进行编码时,如果程序员使用不安全的字符串处理函数,可能会导致缓冲区溢出,这将会出现问题。攻击者花费大量时间查看设备软件中的代码,试图找出导致不稳定的应用行为或漏洞,从而打开安全漏洞的路径。缓冲区溢出可以允许黑客远程访问设备,并且可以实现创建拒绝服务和代码注入攻击。
7. 开源代码:开源平台和库使复杂的物联网产品得以快速发展。然而,由于物联网设备经常使用第三方开放源代码组件,这些组件通常具有未知或未记录的源代码,因此固件经常被保留为无法抵御黑客的未受保护的攻击面。通常,更新到新版本的开源平台就可以解决这个问题,但许多设备已经发布,其中包含已知漏洞。
8.调试服务:物联网设备测试版中的调试信息为开发人员提供了设备的内部系统知识。不幸的是,调试系统通常留在生产设备中,使黑客能够访问设备的相同内部知识。
随着新的物联网产品迅速推向市场,企业可以尽快利用物联网部署的诸多优势,并且不会对其安全性担忧。
好消息是,上面列出的常见的物联网漏洞是可以避免的,并且可以在不给制造商带来额外成本的情况下进行补救。在物联网安全方面,一套良好的初始较佳实践包括:
(1)升级物联网设备上的固件,并更改默认密码。
(2)编制网络上的物联网设备清单,以便全面了解风险。
(3)联系部署企业网络上的物联网设备的制造商,询问他们是否已经考虑对常见漏洞进行修补。否则,要求他们在固件和物联网设备中实施安全编码实践。