攝像頭搞癱美國互聯(lián)網(wǎng)的背后：智能設備漏洞泛濫

 　　美國當?shù)貢r間10月21日，美國東海岸DNS服務商Dyn遭遇DDoS攻擊，致使包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp在內(nèi)的美國多個熱門知名網(wǎng)站的互聯(lián)網(wǎng)服務全面宕機，造成超過半數(shù)美國人無法上網(wǎng)。

　　Dyn公司稱此次DDoS攻擊事件涉及IP數(shù)量達到千萬量級，其中很大部分來自物聯(lián)網(wǎng)和智能設備，并認為攻擊來自名為“Mirai”的惡意代碼。Mirai的主要感染對象是路由器、網(wǎng)絡攝像頭、DVR等物聯(lián)網(wǎng)設備。

　　Mirai主要利用網(wǎng)絡攝像設備的弱口令等安全漏洞實施入侵，在硬件Linux系統(tǒng)下生成隨機用戶，并植入惡意軟件構(gòu)建僵尸網(wǎng)絡。

　　以往僵尸網(wǎng)絡主要是感染控制電腦和服務器，但近年來，越來越多僵尸網(wǎng)絡開始瞄上網(wǎng)絡攝像頭等IOT硬件設備，比如此前國外另一個DDoS僵尸網(wǎng)絡家族GAFGYT，感染對象和攻擊手段與Mirai相似，也會掃描23 telnet端口的弱口令，并且主要針對IOT設備。這使得兩者很容易被混淆，但其實它們的代碼區(qū)別很大。

　　據(jù)360攻防實驗室負責人劉健皓介紹，最近，Mirai這個利用智能硬件攻擊網(wǎng)絡的程序在互聯(lián)網(wǎng)上被公布了源代碼，這樣，手里掌握大量智能硬件漏洞的組織，就可以輕易地利用這樣的程序，調(diào)動所有有漏洞的硬件發(fā)起進攻。

　　此次Mirai影響如此大的重要的原因是因為有如此之多的網(wǎng)絡攝像頭、數(shù)字錄像機等設備生產(chǎn)出來時附帶的默認密碼從未更改過。一次簡單的互聯(lián)網(wǎng)掃描就能識別出這些密碼，讓它們迅速陷入危險的境地。

　　網(wǎng)絡安全行業(yè)已經(jīng)關(guān)注到了物聯(lián)網(wǎng)上的智能硬件的安全，在DEFCON等多個安全行業(yè)會議上安全專家們也通過破解演示公布了這些智能硬件設備可能引發(fā)的安全風險，比如黑客遠程控制汽車、未經(jīng)授權(quán)獲得攝像頭的圖像。而此次美國斷網(wǎng)事件則表明，物聯(lián)網(wǎng)設備不僅會給設備本身或者用戶帶來直接的安全威脅，也可以被惡意利用攻擊他人。

　　研究機構(gòu)Gartner預測，到2020年，世界上將有逾200億臺聯(lián)網(wǎng)設備，消費者將在“物聯(lián)網(wǎng)”上花費1.5萬億美元，而企業(yè)的花費幾乎也將達到同一水平。Gartner預測，到2020年，超過四分之一對企業(yè)的攻擊將涉及聯(lián)網(wǎng)設備，但企業(yè)只會將10%的網(wǎng)絡安全預算花在對此類攻擊的防御上。

　　早在2014年，劉健皓就預言了智能硬件的普及，以及制造商們對安全防護的淡漠，會造成巨大的隱患。他在一篇報告中寫道：當智能硬件達到一個量級時，由于其自身安全問題會給互聯(lián)網(wǎng)造成很大的安全威脅。

　　劉健皓稱，很多的智能硬件廠商在安全方面所做的研究非常有限。以至于相當數(shù)量的智能硬件攜帶非常多的漏洞，這些漏洞往往是低級的，甚至由于很多硬件廠商選用相同的底層方案，這些漏洞還是通用的，一旦被不法分子利用，其后果不堪設想，這次美國斷網(wǎng)事件就是一個很好的例證。

　　劉健皓所在的實驗室今年5月在對國內(nèi)市場上銷售的近百個品牌的家用智能攝像頭進行安全評估測試后發(fā)現(xiàn)，近八成產(chǎn)品存在用戶信息泄露、數(shù)據(jù)傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調(diào)試接口、可橫向控制等安全缺陷、弱口令等安全設計缺陷。

　　“要解決物聯(lián)網(wǎng)的安全問題，需要提高整個社會的物聯(lián)網(wǎng)安全意識，尤其是接入物聯(lián)網(wǎng)的智能硬件設備生產(chǎn)商的安全意識和安全能力”，為此劉健皓團隊專門編輯出版了《智能硬件安全》這本書，這將是國內(nèi)第一本系統(tǒng)介紹物聯(lián)網(wǎng)安全的專業(yè)書籍，該書的核心觀點是通過“以攻促防、以防抑攻”的安全理念，全面提高物聯(lián)網(wǎng)產(chǎn)品自身的安全防御能力。