由蜜罐引發的物聯網安全小談

2021-09-23 07:06:41 字數 2449 閱讀 5670

最近幾年,「物聯網」正以迅雷不及掩耳之勢四處圈地,「凡聯網之物都能被黑」的惡名也如影隨形。僅2023年,安全研究人員就發現了嬰兒監控器、滑板、來復槍和吉普車等物聯網裝置中的漏洞,一名研究者甚至在一架飛機的飛行過程中對其進行了短暫地控制。

「依靠便捷和更加安全的賣點,物聯網產品廣受熱捧。而現實卻相反,這是一輛在隱私及安全的軌道上頻繁失事的高速列車。」

對於物聯網裝置的擔憂其實並非剛剛開始,安全研究人員一直在警告數百萬的物聯網裝置存在安全隱患、易受到攻擊。而根據美國國土安全部網路攻擊防禦分支統計結果顯示,去年被報道的安全事故近245件。

那些裝置究竟是如何被黑的呢?

為了深入研究,研究者建立了「物聯網蜜罐」——用於尋找針對聯網加油站和醫療裝置發動攻擊的黑客,並研究他們的攻擊行為。

trendmicro公司6個月內在7個國家建立了一批防護措施「不佳」的聯網加油站,看看會發生什麼情況?今年早些時候,研究者hd moore透露,超過5000個連線到網路上的加油站沒有密碼設定,這就意味著攻擊者可以直接訪問它們並進行破壞,通過變更設定來讓原本滿滿的幫浦顯示為空的,而最終導致溢位。

該專案最終一共發現20起攻擊:

趨勢科技:一些攻擊只是簡單探測加油站的位置。而美國加油站是最「受歡迎」的目標。

其中,有兩個針對美國加油站的拒絕服務攻擊被認為與敘利亞電子軍隊有關,這是乙個親敘利亞的黑客組織,儘管研究者尚不能肯定地說攻擊絕對就是他們幹的。

約旦的雪佛龍和英國石油公司加油站似乎被乙個與「伊朗黑客組織」有關的黑客訪問過,而他們只是把幫浦的名稱從「無鉛」和「柴油」變更成了「idc組織到此一遊」和「ahaad在這裡」這樣而已。當然,這也是一種攻擊型別,但是大多沒什麼實際攻擊性。

儘管研究者不能確定,但是目前還未有攻擊者嘗試變更能源水平設定,而這樣的行為會造成非常嚴重的損害。

「不久之後,會有更為嚴重的攻擊出現」

kyle wilhoit在2015blackhat黑帽大會如是說道。

無獨有偶,在另乙個黑客大會defcon上,研究者說他們已經研究了包括胰島素幫浦、起搏器、mri機器和其他醫療控制裝置系統的物聯網。在蜜罐測試中,僅通過來自製造商**的通用使用者名稱和密碼便能獲得這些裝置的控制權。當然,也有一些廠商天真地把密碼和使用者名稱放進乙個pastebin檔案中,實質上就是說「這裡有一些醫療裝置的使用者名稱和密碼,如果有人想攻擊他們,快看這裡」。

這些作為「蜜罐」的醫療裝置被登入超過55000次,被裝惡意軟體超過300次,裡面有24個指令以及8個使用特殊憑證的登入憑記——也就是說,有人開啟pastebin檔案就可以濫用裡面的資訊了。

攻擊者進入醫療裝置的蜜罐

上面資料顯示,大部分的攻擊源於荷蘭、中國和南韓

protibiti首席研究院scott erven說:「這些基本都是些小打小鬧,而非針對性攻擊。」

大多數攻擊者只是在做簡單的「**」,測繪物聯網的版圖。然而erven說如此輕鬆便可以進入醫院的藥物裝置,攻擊者還能獲得這些裝置中的資訊;只要你進入了乙個心電圖機,理論上你就能得到使用這台裝置的病人的資訊,例如他們的姓名、社保號碼和出生日期。

在現實生活中,惡意軟體同樣也可以干擾醫療裝置的執行。 「如果大規模的攻擊造成了裝置故障,我們是沒有辦法立刻知道這一點。」

但是通過這些「蜜罐」,醫療裝置安全研究者並沒有發現任何明顯的惡意攻擊,比如讓起搏器不正常工作或者給病人注射過量胰島素等等。

「他們(黑客)有系統管理許可權,但是他們並不傳送指令,可能他們沒有意識到自己已經獲得了一台mri機器的root許可權。」

因此,我們是否應該重視這樣的情況呢?攻擊者能夠進入這些系統,但是可能只是一次,他們似乎對攻擊這些裝置或者加害於人沒什麼興趣。

物聯網安全:一顆定時炸彈?

來自ibm的andy thurai表示,科技的發展遠遠超出了企業自身安全維護能力的提公升,物聯網則匯集了網路中各種各樣的感測器和部件。公司卻沒有為安全業務支付適合的費用,儘管已經開始所有增長,但還遠遠不夠,而物聯網則把一切弄得更糟了。所以說,物聯網是乙個定時炸彈。

近日乙份研究報告顯示,針對物聯網安全的小型技術解決方案和服務市場將會出現井噴,物聯網安全市場將在2023年的時候增長至289億美元。

當然針對層出不窮的物聯網安全事故,也不是人人都愁眉以對的。

安全研究者dan tentler認為,

「研究物聯網裝置漏洞是很困難的。為了攻擊吉普車,研究者不得不買一輛,然後花一年時間研究**。當攻擊者進入這些『蜜罐』時候,他們可能仍不知道可以做些什麼壞事。」

由「彈窗之見」引發的小分析

自從石榴姐來了之後,不知道多少 將要 敗倒 在她的石榴裙下?官方做出的宣告中表示 含有大量妨礙使用者正常瀏覽的惡劣廣告的頁面,尤其以彈出大量低質彈窗廣告 混淆頁面主體內容的垃圾廣告頁面 將成為石榴姐嚴重打擊的物件。日前,彈窗在站長們的口中成為熱門的話題,彈窗是否成為建站的禁忌呢?小編就從乙個使用者的...

物聯網引發的智慧型路燈建設改造公升級

在智慧型城市建設浪潮席捲之下如今也迎來了路燈的智慧型公升級。新型智慧型路燈陸續在上海 深圳 成都 青島 哈爾濱等多個城市街頭亮相,智慧型公升級後,它們將承載比城市公共照明更深刻的 使命 智慧型城市資訊採集和便民服務終端。成為智慧型城市資訊採集的重要入口.物聯網閘道器 智慧型路燈其實就是在路燈桿上搭載...

物聯網的「合理」安全問題

當談論物聯網 iot 安全問題時,iot專家會談論兩個不同的問題。在iot中,惡意攻擊者掌控安全控制後,汽車和自動扶梯可能會變得很危險 除此之外,聯網機器資料可能導致攻擊面呈指數級增長。techcrunch貢獻者兼軟體工程師ben dickson在部落格中對攻擊面問題總結道 更多聯網裝置意味著更多攻...