导语:近日,有消息称欧盟委员会正在起草新的网络安全要求,其中重点针对物联网设备要求加强安全防护措施,特别是摄像头、路由器以及摄像机等设备。

近日,有消息称欧盟委员会正在起草新的网络安全要求,其中重点针对物联网设备要求加强安全防护措施,特别是摄像头、路由器以及摄像机等设备。之前就有很多安全公司警告称,当前的物联网设备几乎都没有任何安全防护措施。

据Euractive.com网站上的一份报告描述,欧盟委员会正计划将物联网规则的改革作为欧盟电信法律的一部分,而其中最关键的是他们可能会鼓励一些公司出一套物联网设备的安全规则或者系统,从而作为网络安全评级的模板。

中国公司为美国“大断网”事件背锅

在上周,有多家媒体都曝光了造成史上最大DDOS攻击的罪魁祸首Mirai恶意软件。它通过对互联网上的物联网设备进行扫描然后对那些使用默认的用户名和密码的设备进行入侵,从而操控其发动DDOS攻击。

其中不得不提到的有两家中国公司,其中一家名为雄迈技术(创立于2008年,是一家集安防视频监控类产品研发、生产和销售于一体的高科技企业。总部位于浙江省杭州市富阳区银湖科创中心。),这家公司主要生产一些经典的DVR和IP摄像机的电路板,然后将其卖给下游的厂商,由该厂商在其产品中进行使用。但问题也恰恰出在这里,在众多被攻破的物联网设备中有很多都采用了相同的默认用户名和密码:root及xc3511,而这正是由雄迈技术提供的。

物联网设备的登录接口有问题

而在本周,英特尔Flashpoint的安全研究人员称其发现由该公司提供的基于WEB的管理页面可以被绕过并且完全不需要提供用户名和密码的情况,只需要通过导航的一个名为“DVR.htm”的页面前进行登录。

更糟的是,即使这些物联网设备的所有者通过设备的网络接口更改默认凭证,这些机器仍然可以通过在互联网上称为Telnet和SSH的通讯服务被访问到。这些都是可以通过命令行以及命令提示符就可以访问的基于文本的接口(如在Microsoft Windows,用户可以单击“开始”,在搜索框输入“cmd.exe”启动命令提示符,然后输入“telnet”到达目标主机的用户名和密码提示)。

问题是使用这些设备的用户一般并不会真正的去修改密码,密码都是硬编码到固件中的,需要必要的工具来禁用它使其不存在。而更糟的是,这些凭证的web界面并不存在。Flashpoint的安全研究人员这样说道。

同时,他们还提到说在10月6号他们对互联网上的设备进行连续扫描后发现了众多非常脆弱的硬件设备,其中有515000人的设备很可能会遭到攻击。

Flashpoint提到了另外一家中国公司——大华技术(浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商,面向全球提供领先的视频存储、前端、显示控制和智能交通等系列化产品。),毫无疑问此次DDOS攻击事件的主要问题就是出在他们这里,Mirai恶意软件攻击的主要目标正是由大华技术生产的摄像头,但在上周该公司发表了相关分析企图淡化这一事件,并称该公司的销售模式主要是B2B,在北美并不直接向消费者或者企业出售,而是通过自己的网站或者亚马逊商城,而亚马逊并不是他们的分销商。目前他们也在进行研究并且对未经授权的销售行为采取行动。

在其调查之后,该公司确认那些成为DDOS攻击一部分的设备都具有以下一项或者几项特征:

1.设备的固件往往是在2015年1月之前
2.设备使用的是默认的用户名和密码
3.设备在互联网上处于暴露状态,没有一个有效的防火墙保护

大华公司还称,DDOS攻击并未对其在北美出售大华的相关设备造成任何影响。但Flashpoint认为,大华的设备占了DDOS攻击65%的攻击来源。

目前来看,大华显然在这一次的事件中吃到了不少苦果,而这毫无疑问是由于多年依赖其并不重视安全的必然后果。可以肯定的是,此次欧盟委员会对物联网设备的监管或许会让本就较少的物联网设备厂商出现更多危机。

另外还有一点就是,目前有律师似乎正在考虑是否发起一次关于物联网设备厂商的集体诉讼,以投诉这么多年来这些厂商所营造的不安全环境。

源链接

Hacking more

...