导语:对于智能设备来说,每一个安全功能必须由制造商提供资金来实现。不幸的是,有很多智能设备存在很大的安全漏洞,这为远程攻击者提供了便利。用户甚至不认为他们的设备是危险的,这些设备可以在几秒钟内被黑客入侵。
设备制造商正在不断尝试为自己和客户制造更便宜的智能设备。为了能更好的控制成本,尺寸和能耗,制造商不得不牺牲设备的安全性。这些智能设备的业务逻辑、安全逻辑和人机交互方法彼此互不相同。消费者应始终牢记,每一个安全功能必须由制造商提供资金来实现。不幸的是,有很多智能设备存在很大的安全漏洞,这为远程攻击者提供了便利。用户甚至不认为他们的设备是危险的,这些设备可以在几秒钟内被黑客入侵。
因此,这引出了一个问题:与传统的网络相比,嵌入式设备领域还有哪些需要制造商必须增加额外的成本来防御的新的安全漏洞?为了回答这个问题,我们将使用适合智能世界的斩杀链模型来进行分析。
斩杀链模式定义了一些步骤,入侵者必须针对他们的攻击目标发起攻击才能实现目标。安全管理员可以使用这个模型作为一个工具,来提高他们所在的公司的总体安全级别:攻击者会执行斩杀链中的每一个步骤,因此,安全专家需要试图破坏这个攻击链,或者是提高防御级别,让每一步对于网络犯罪分子都变得非常困难。
斩杀链模型按照如下方式打破了不间断的攻击步骤:
·侦察 – 攻击者试图收集信息,以便在未来发动攻击实现成功攻击的目标;
·武器化 – 攻击者创造利用漏洞Exp,黑客工具和恶意软件;
·交付 – 攻击者将自己的恶意软件传递给受害者;
·利用 – 攻击者利用受害者系统中的漏洞触发恶意软件(或恶意软件)代码的执行;
·安装 – 攻击者通过安装带有恶意软件的后门在受害者系统上获得立足点;
·命令和控制 – 为设备的远程控制创建命令通信通道;
·目标行动 – 攻击者根据他们的目标开始恶意行为。
我们将把关于斩杀链的讨论分成两部分:你可以在第一部分了解到前三个步骤,其他的步骤将在第二部分中介绍。
制造商和消费者应该了解的主要区别在于,嵌入式设备不再是抽象的实体:它们比以往任何网络技术都更具象有形,更贴近人类。你可以在日常生活中遇到他们,但仍然不知道他们的存在:手腕上的智能手表或健身追踪器,汽车发动机中的智能传感器,使房屋或工厂的门窗更安全的智能锁,监测医院健康状况的医疗传感器,等等。智能设备的目的是与其他设备交互,并可用于人类的控制。现在的设备就像是微型服务器,可以在外面使用。
智能设备使用了许多全新的协议,使设备更节约资源,更安全,更有用。
通过使用RFID或蓝牙等数据链路层和物理层协议,而无需网络功能层,我们可以创建物联网设备的生态系统。所以,这些设备在传统的互联网之外是无法使用的。
因此,在侦察步骤中,攻击者可以从网络中提取信息,如使用的协议(IPv6LoWPAN,5G等),IP地址,开放端口,是否与云或任何其他外部服务进行通信。攻击者可以找到一个生态系统,由网络上不可用的设备组成 – 这些设备可能只能在特定的嗅探器(如Ubertooth)的通信区域内检测到。换句话说,网络犯罪分子可以远程收集信息(例如搜索引擎Shodan可以让他们在几秒钟内找到受害者),也可以在通信协议的范围之内(例如,网络犯罪分子可以适应其中,当攻击者钻到汽车里移动的检测易受攻击的Wi-Fi点,或者是其他协议)搜索到设备。
我们无法预测攻击者会收集哪些类型的信息。例如,智能设备使用包含制造商信息的DNS请求,例如常见的服务名称。因此,网络犯罪分子有一个很好的机会,通过使用一些制造商常见的非固定漏洞来破解设备。
智能设备有诸多优点,例如便捷的操作和移动性,使得消费者可以在户外使用智能设备:在城市街道和其他以前不能使用的地方。因此,攻击者可以直接与他们交互。设备可能具有用于测试和调试的接口,如UART,JTAG,SPI。通过使用这些接口,网络犯罪分子可以收集有关安装在受害者设备上的软件的所有信息。
因此,侦察步骤使黑客能够识别受害者设备的类型,使用的协议,与互联网服务的通信渠道,硬件组成部分和软件。此外,攻击者学习运行设备的软件版本非常有用,因为入侵者可以利用众所周知的漏洞通过利用已识别软件中的缺陷来攻击设备。此外,攻击者可能不会使用他们的黑客工具,因为设备肯定能够抵御某些类型的攻击。
下一步是入侵者准备发起攻击的步骤——武器化。攻击者需要根据这些特征了解受害者系统的特征并构建武器。基本上,智能设备在RISC架构上运行基于RTOS和Linux的操作系统。RISC架构不同于传统的PC,它是基于CISC架构的一些指令。因此,网络犯罪分子必须调整他们的工具以便能够在一个新的环境中使用,因为配置不当的恶意软件可以通过错误通知提醒受害者,甚至不能启动。
交付步骤与传统的交付步骤非常相似,但是我们应该明白,由于嵌入式设备不会自动上网并下载任何文件,所以受到网络钓鱼攻击危害的风险将大大降低。
智能设备的世界还很年轻,但我们相信,几年后,这种技术方法将成为我们日常生活中不可或缺的一部分。智能设备有其优势,鼓励IT专家发明新的服务。对IoT利弊的全面了解使我们能够让这项技术更安全,从而更贴近实际应用。不幸的是,现代设备的安全性非常薄弱,我们接下来的讨论将涵盖最常见的漏洞,攻击者可以利用这些漏洞攻击智能设备。
数以千计的与嵌入式设备相关的安全事件告诉我们,设备不能提供我们可以信赖的安全级别。当然,设备制造商使用了一些技术,如安全启动,固件签名等来增强安全防护,但大多数设备制造商只采取这种很昂贵或针对企业设备的防护措施。试想:在智能DVR,锁,电视机,路由器中实现了哪些安全机制呢?有多少人在开始工作之前验证固件呢?此外,还有很多开发人员不使用安全开发生命周期(SDL)。因此,制造商可以承认他们的产品有很多错误,并且使得违规者可以使用其他但是仍然简单的技术来进行攻击。因此,消费者别无选择,只能购买易受攻击的设备并被黑客入侵。了解针对这些智能设备的各种攻击的实施情况,能够使得制造商和消费者让我们的世界更安全。所以,上次我们开始讨论嵌入式设备的安全性和kill-chain模型。我们解释了为什么知道斩杀链模型是什么是一件非常重要的事情,并讨论了它的前三个步骤。
现在我们正处于攻击过程的最关键的一步——漏洞利用。在斩杀链模型的开发阶段,我们有大量的漏洞需要仔细考虑。
智能设备中受攻击最严重的漏洞之一是弱密码策略或完全缺乏密码保护,甚至这种情况更为常见。有时用户只是忘记设置强密码,尽管每个人都听说过设置一个强壮的密码有助于提高安全级别。尽管如此,一些制造商可能会忘记删除自己的测试账号或创建的后门程序,因此不能保证用户拥有唯一的管理员账号。安全研究人员时不时地发现这些后门,就像华为HG8245路由器发生的那样,默认情况下这两个管理员帐号都是启用的。因此,网络罪犯分子会收集由用户设置的最受欢迎的密码和由制造商为默认账户设置的密码。
根据前面列举的事实,在武器化步骤中,我们不能使用PC世界的传统安全措施。在最好的情况下,开发人员设法适应传统的保护方式,但不能做到一切(例如,普通的反恶意软件系统需要大量的内存空间和计算能力)。
这一事实直接影响到嵌入式设备的安全性和加密能力。智能设备通常提供了轻量级的对称密码算法。因此,设备在配对部件的时候很容易被窃听:基于对称密码学的协议,并暗示密钥交换用于创建会话密钥。因此,攻击者可以影响到这个过程。
另一个问题是缺少加密环节。这可能听起来像一个笑话,但是有很多智能设备的通信安全性很差:设备以明文形式发送机密信息,如登录名/密码,位置,使用的服务名称,照片等。
而且,设备可能会提供非常糟糕的认证方式。这种漏洞类型可能是由逻辑问题或者由于加密意识不够造成的。智能设备可能无法区分合法用户和非合法用户,因此每个人都可以通过连接到设备端口,发送短信到任何服务或其他方法,而无需任何努力获得秘密数据或获得控制能力。例如,制造商可能无意中允许入侵者通过控制面板以管理员身份登录连接到192.168.1.1:80而无需通过密码访问智能设备。
有时,嵌入式设备的一些软件部分应该更新。由制造商实施更新过程的方式对于用户来说是非常不方便的,他们既没有时间或倾向于更新他们的设备,也没有要求这样做的技能。因此,用户完全拒绝更新过程。而且,制造商要么不发布新的固件更新,要么只是不提供这个功能,所以用户可能会被攻击,问题要归结于那些旧的,易受攻击的软件。
这个问题的另一方面是传入更新的验证。网络犯罪分子可能会试图发起可能危及智能设备的恶意更新。这就是为什么制造商应该为传入的更新实施验证服务。
与验证更新类似的问题是验证固件:有安全服务可以控制设备启动过程并防止启动包和其他恶意软件。这种安全技术对于IT领域来说并不陌生:英特尔为PC生产的TPM和TXT可以检查设备固件的完整性并安全地存储密钥。因此,安全启动增加了制造商和消费者的信心,智能设备基于制造商创建的可信固件,并且没有人能够安装任何恶意软件,例如在传输阶段。不幸的是,智能设备的安全启动技术的应用并不广泛,因此消费者甚至无法信任即使是未装箱的设备。
另外,由于嵌入式设备可以放置在室外,攻击者可以直接与其硬件进行交互。嵌入式设备有一些可以被攻击者使用的引脚和接口。例如,这些接口可能允许任何一个人与设备固件或其他重要组成部分进行交互。因此,这些接口可以为入侵者提供完全控制设备的能力。
此外,攻击者可以使用一些非正统的方法而不是硬件组成部分。加热或冷却芯片可能会导致不可预知的结果。有最新的消息显示,黑客可以用经过特殊录制的声音欺骗加速度仪器。
入侵者甚至可以通过窃取IMEI,SIM卡信息等来使用设备资源来满足自己的需要。有些设备以纯文本形式存储信息。因此,如果设备被逆向破解后,攻击者将能够拿到用户的电子邮件地址,Wi-Fi密码和其他重要信息,并将其用于进一步的攻击。
不幸的是,设备可能遭受拒绝休眠或拒绝服务的攻击。攻击者对智能设备进行长时间的ping可以让其宕机或者降低其容量。
我们介绍了在新设备中攻击传统安全防御措施的方法。然而,众所周知,对于被经常利用的漏洞和仍然是危险的漏洞的态度保持沉默是非常错误的。根据Ponemon Institute的研究表明,物联网世界中80%的应用程序未经过漏洞测试。因此,三个应用程序中几乎两个里面至少有一个存在OWASP TOP 10列表的漏洞,我们即将会讨论这一点。在大多数情况下,应用程序的输入数据验证效果不是很好,入侵者会尝试利用这些安全漏洞。例如,3G/Wi-Fi路由器TP-Link M5350具有XSS漏洞,通过发送包含恶意脚本的简单的SMS,远程攻击者就可以获取管理员登录凭据。你可以找到很多免费的测试工具,通过这些工具就可以找到最常见的漏洞。入侵者的技术可能是非常低等的,甚至不知道一些黑客技术的东西是如何工作的,但是他们的目标将会在他们的鼠标被点击两下后就攻破了。另一个例子是缓冲区溢出漏洞,它允许网络犯罪分子改变进程的地址空间并提高他们的权限或者使应用程序崩溃。总而言之,攻击者已经在这些攻击中多次成功,因此毫无疑问,他们也将在智能设备这些玩意儿上使用他们的技能。
总结一下这一步骤,我们有必要说一下,即使对于一个高级用户来说,保持智能设备处于安全状态也比传统的PC要困难得多。有时只是因为用户不可能安全地配置设备,因为制造商不给你提供这样的方法(设备没有屏幕或有限的设置等)。某些设备不提供允许你浏览甚至浏览其文件系统的功能,因此,对于攻击者来说甚至不需要隐藏恶意软件。此外,某些设备具有特殊的安全服务,默认情况下是禁用的,用户对他们所购买的智能设备的安全潜力一无所知。
IoT斩杀链模型的其他步骤与传统的斩杀链模型相似,仅取决于攻击者的目标。网络犯罪分子可以窃取你的设备来监视你并“抢劫你的房子”。更危险的是,多个被黑客入侵的设备如果一起使用,可能会提供有关其所有者的更多的详细信息,从而导致勒索事件的发生。Mirai向我们表明,如果黑客将入侵的设备合并在一起进行利用,那么被入侵的设备可以通过持续的DDoS攻击来关闭DNS服务器。因此,黑客们甚至可以通过使用智能设备杀死人类,就像2015年发生故障的机器人一样。