“美国网瘫”敲响物联网安全警钟

2016-11-02 08:18 智能硬件 来源:思达派 查看原文

  

  刘健皓 360攻防实验室专家

  

  李欲晓 中国网络空间安全协会秘书长、北京邮电大学教授

  

  吴翰清 阿里云首席安全研究员

  近日,美国多个城市互联网发生瘫痪,包括Twitter、Shopify、Reddit等大量知名网站数小时无法正常访问。后经调查显示,这是黑客利用病毒感染物联网设备,进而利用这些设备发起网络攻击。本该为人们生活带来便利的智能设备,为何会成为此次事件的“帮凶”?作为互联网大国的美国尚且遭此一劫,中国互联网是否面临同样威胁?在即将到来的物联网时代,我们的安全又由谁来保障?

  □新闻背景

  物联网成黑客“帮凶”

  10月21日,美国互联网遭受了前所未有的攻击,包括推特、亚马逊、华尔街日报及纽约时报等多家知名网站被黑,公共服务、社交平台,民众网络服务器等几乎陷入瘫痪。

  10月22日,为网站提供域名解析的服务商迪恩公司在官网发消息称,公司正在对这次攻击的来源和性质进行调查,目前已知这是一次精心策划的DDOS攻击,攻击的一个重要来源是感染了病毒程序的僵尸网络,该网络涉及了数以千万计的IP地址。

  业内人士表示,此次网络攻击具有几个不同于以往的特点:一是攻击来源不明;二是攻击关联到物联网,其中大部分设备为安保摄像头;三是攻击互联网的地址簿,直接造成美国大面积网络瘫痪,不同于以往的所谓窃密等;四是攻击流程门槛低,不需要特殊的技能,任何人都能利用已有工具找到潜在的高风险系统;五是攻击来源的全球分布程度逐波增加,涉及数千万个IP地址。

  作为互联网强国,美国在应对物联网安全风险方面一直走在前面。然而这一次,美国也难以应对僵尸网络的拒绝服务攻击。有观点认为,“攻击者只是在练手,大规模网络中断或仅是大事件前的预演”。

  值得注意的是,物联网摄像头作为时下常见的智能硬件设备,成为美国此次互联网遭受攻击的最大帮凶。目前,居民家中的路由器、电视、冰箱等普通设备,几乎都在更新换代成为物联网硬件。正因此,美国互联网遭受攻击更引发人们对智能家居生态的关注。

  美国国土安全部部长杰·约翰逊上月24日证实,包括监控摄像头在内的一些物联网设备被黑客用来发起这次攻击,美国国土安全部一直在努力制定一套保障物联网设备安全的战略原则,并计划在未来几周发布。

  □热点问答

  攻击发生前早有预兆

  京华时报:在此次大规模的攻击发动前有没有什么异常的现象?

  刘健皓:这起攻击引起了全球范围的震惊,多家机构对攻击源展开调查。目前来看,一般研究认为,是mirai僵尸网络发动了此次攻击。

  其实早在8月份,依靠全球威胁态势感知系统,360公司就已经发现了Mirai僵尸网络的蛛丝马迹。8月1日,360全球威胁态势感知系统发现了多地智能硬件设备被扫描,研究人员隐约感觉有“池塘中有大鱼要翻江倒海”。

  9月6日,互联网出现扫描“2323”端口上的新特征。研究员在后续分析中判定为僵尸网络在大规模感染、控制智能设备,隐藏其后的mirai逐渐进入360“看见”范围。

  9月23日,美国一家著名安全记者网站被DDoS攻击,这次攻击创下多项纪录。由于该网站关注度较低,并没有得到广泛关注。360网络安全研究院持续跟踪、分析样本,试图寻找隐藏在背后的“大老板”。月底,Mirai僵尸病毒网络的源代码泄露,至此mirai充分暴露在360“看见”视野范围内。

  10月21日,已控制大批智能设备做“马仔”的mirai,突然向Dyn公司发动攻击,造成美国多家知名网站断网,得到公众和媒体普遍关注。mirai的攻击指令操作者、受害者大多位于国外,受影响的中国设备相对较少。

  物联网硬件有安全隐患

  京华时报:为什么物联网设备会成为这次美国网络攻击的“帮凶”?

  刘健皓:这次典型的“拒绝访问服务”(DDoS)网络攻击中,域名服务商遭到了大量垃圾请求,让DNS解析商完全无法应对,真正的请求也无法回答,互联网网站瘫痪。正是物联网设备本身存在安全漏洞才导致其成为此次网络攻击的“帮凶”。此次Mirai僵尸病毒感染的物联网设备数以十万计,包括网络摄像头、智能空调等,究其原因,就是由于这些接入互联网的设备存在大量漏洞,并且有些漏洞属于系统通用性漏洞,攻击者通过漏洞猜测设备的默认用户名和口令,进而控制了这些智能设备。

  李欲晓:物联网是最近这几年才发展起来的。虽然物联网发展的时间比较短,但它的应用范围却非常广泛。在实际中,物联网的这些设备在开发的过程当中,制造商和整个行业都很少去考虑它可能会受到网络攻击的可能性。

  为什么会这样?那是因为物联网设备并不是专门用来去做联网通信的。物联网硬件本质上更多的是“物”,而不是“联”,比如智能家居,它根本上还是家居产品属性和功能。从这个方面来讲,物联网产品的功能设计所做的防范措施就比较少。可以说,当下普遍的物联网产品都存在很多的安全隐患,只不过我们一直都在关注它的便利性,每个人都知道物联网方便,是一个新的技术,可以把所有的东西都连起来。

  京华时报:这起网络攻击事件造成的影响有多大?

  吴翰清:位于曼彻斯特市的Dyn,是美国主要域名服务器(DNS)的供应商。域名是网友访问互联网的起点和入口,也是全球互联网通信的基础。而DNS作为承载全球亿万域名正常使用的系统,则是互联网重要的基础设施,说它为互联网的心脏也不为过。尽管如此,不少企业对这一领域的安全并没有引起足够重视,这场由DNS引发的瘫痪事件将敲响所有企业的安全警钟。

  最基本的DDoS,就是黑客利用合理的服务请求去占用尽可能多的服务资源,从而使得用户无法得到服务响应。当DDoS攻击Dyn公司,很多DNS查询无法完成,用户也就无法通过域名访问Twitter、GitHub等站点了。

  国内也曾遭遇过多起DNS瘫痪引发的“惨案”,比较著名的是2014年1月21日那次。那是迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(.com/.net/.org)遭到DNS污染,所有的域名全被指向了一个位于美国的IP地址(65.49.2.178)。

  随着万物互联,也就是所谓的物联网的发展,必将引发大量的网络安全问题。而发生在美国的这场攻击,只是未来安全问题的一个缩影。

  目前,互联网感染僵尸木马的物联网设备约在60万左右,这些设备如果一起攻击,可以轻松发起接近1T(相当于中国一个省流量)的攻击。普通企业已经不具备能力与攻击者对抗。

  如果类似攻击发生在国内,恐怕也会产生严重影响。维护网络安全需要国与国之间的合作,需要政府、厂商、安全社区和个人用户各方面的合作。只有协同联动,才能构建网络安全的命运共同体。

  开发硬件应兼顾安全

  京华时报:行业和消费者该如何避免类似事件?

  刘健皓:智能设备接入互联网,一方面需要有足够的带宽,并且长时间在线,另外一方面也需要有联网的处理器,以方便“主人”操控,比如高清摄像头、智能传感器等。但是,智能硬件存在的漏洞,使看起来只是互联网中星星点点的智能设备突然变成集中向服务器攻击的“长矛利剑”。

  有了这次教训,厂商在注重智能硬件功能性的同时,也必须高度重视安全性。有关监管部门应该加大设备安全方面的审核监管力度,提高黑客攻击“成本”。对于运营商来说,需要监控设备流量,发现急剧波动时,及时采取限制访问流量带宽的方法缓解攻击。

  吴翰清:互联网上充斥着大量的攻击工具和木马,给攻击者制造了便利。一些黑客甚至明码标价。比如,打1G的流量到一个网站一小时,网上报价只需50块钱。黑客掌握攻击“武器”之后,通常受利益驱动,或主动或受雇佣,去攻击一些高盈利行业,比如金融、游戏行业。

  面对如此猖獗的DDoS产业链,建议企业选择联合云服务商解决困扰。一是云上业务包罗万象,电商、游戏、金融、新型互联网,云服务商的安全团队经过无数次攻防对抗之后,对各类业务的深刻理解以及DDoS检测规则与业务的耦合度非企业安全运维人员所能及。第二,因为云计算厂商可以将云解析集成进高防业务,利用云计算的弹性扩展特性来提升DNS解析能力,这是它们得天独厚的优势。

  此外,建议国内运营商在源端建立近源清洗的能力,确保攻击者不会轻易地将攻击流量打出。

  ■名词解释

  DDoS:全称为DistributedDenialofService,分布式拒绝服务攻击。借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

  通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

  京华时报记者施志军京华时报漫画谢瑶

为您推荐: