安全漏洞及默认密码助力物联网僵尸网络

网络安全研究人员发现多个物联网设备被恶意扫描和感染,而且在数量上呈现激增的趋势。被成功感染的设备成为新型或变种僵尸网络的一部分,网络不法分子通过控制这些设备来对目标网站发起分布式拒绝服务攻击,或窃取敏感私密信息及数字货币。

专家指出,黑客利用的往往是联网设备中的严重安全漏洞,通常是未及时获得安全更新的嵌入式漏洞,以及设备出厂时的默认用户名和密码。昆明亭长朗然科技有限公司物联网安全分析师董志军说:网络摄像头和路由器是最为经典和广泛使用的物联网设备,它们仍然占据着物联网僵尸网络“肉鸡”的冠亚军位置,尽管新型的联网设备越来越多。而这些设备的默认密码几乎都是公开的,用户只要设备看起来在运行着,就不管那么多,网络犯罪分子要远比消费者更熟悉这些设备,让种攻防安全技能的不对等,安全知识的失衡,造成消费者处于弱势和被“宰割”的地位。

传统上,“人为刀俎”,网络犯罪分子通过搭建命令与控制中心或P2P架构组件,自动化端口扫描、漏洞发掘、远程溢出(利用)、暴力破解、模拟登录等方式来发展僵尸网络“肉鸡”。而新型的技术,则是借助物联网蠕虫,让其自行爬取和感染,无需固定的僵尸网络命令与控制中心或P2P架构组件即可自行传播。

在这严重的态势下,“我为鱼肉”,只要物联网设备接入大型网络,几乎难以避免被黑客程序和网络蠕虫光临。董志军说:多家互联网大型厂商的网络安全侦测系统都有不断发现新的针对物联网设备的攻击手段,分析入侵代码发现所利用的安全漏洞和覆盖的物联网设备都在不断急速增加。这也难怪,靠这个吃饭的不法程序员只有不断改进着入侵代码,才能吃得更好吃得更饱。

有什么好的应对方式来个“扭转乾坤”漂亮大翻身么?最基本的,用户在购买智能产品后,应该立即升级系统,这是因为设备从出厂到用户手中的这段时间,可能已经出现了安全漏洞,厂商也已经发布了针对性的安全补丁。同时,立即修改初始密码或默认密码,使用强健的密码以防自动化的弱口令扫描和登录。其次则是定期检查设备并保持设备的更新,防止被不法分子或网络蠕虫进行远程溢出攻击或控制。最后,则是加固设备的安全性,可以按物联网设备照制造商的说明禁用某些服务,比如禁用远程管理来采取先发制人的步骤,这样做也可以减少漏洞被利用的机率。

如果您使用的物联网设备是老旧的,厂商不再提供安全更新,那应该及时更换。董志军表示:由于电子新科技更新换代很快,不断有价格更低功能更新的物联网设备出来,旧的设备可能很快会到达生命期末,厂商也不愿投入运维力量。因此,及时淘汰旧货,换上新货是保障安全的必由之路。

对于厂商来讲,应该设计也更安全的设备,也应该在安全功能方面多为消费者考虑,比如强制用户修改设备默认的初始出厂密码、强制用户密码符合复杂度要求、默认关闭远程连接功能、自动更新安全补丁等。

越来越多的家用、商用、工业、医疗、教育、公安甚至军事设备都开始联网,用户天生多数都是没有相关的技能,也缺乏足够的安全意识。同时,物联网设备花样繁多,特别对不断出现的新玩艺儿来讲,针对性的安全标准、规定和要求总是会缺乏、会滞后。这就需要消费者加强安全知识的学习,以提升安全防范意识。当消费者拥有了通用的物联网安全防范意识和安全敏感度,懂得了保护网络信息安全的基本原理和方法,就可以不变应万变,不管什么新的设备出来,都能轻松从容应对。

关于物联网安全的未来,董志军表示非常积极和乐观:“闻道有先后,术业有专攻。普通消费者以及物联网厂商人员并不需要在安全防范方面变得多么强大,更不需要胜过那些图谋不轨的程序员或黑客犯罪团伙。我们只要掌握保护安全的常识,行动起来,并提高警惕,就足以让绝大多数网络犯罪分子拿我们及我们的设备没办法,只能无可奈何地望洋兴叹。”

昆明亭长朗然科技有限公司专注于帮助客户提升受众的信息安全意识,我们提供标准化的信息安全意识宣教内容,以及定制化的安全意识课程内容创作服务,欢迎有需要的客户联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898

智能锁并不安全

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟,研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”,该公司确认了这个安全漏洞,并称其准备发布一项“重要的安全补丁”。

据称,不需要什么技术或知识,任何拥有智能手机的用户,都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题,设备的解锁键很容易被发现,因为它是由锁的蓝牙低能量ID广播而生成的。

另外,安全锁可以通过智能手机进行管理,因此也可以被远程打开,让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间,以便其纠正这一安全问题,然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告,以便及时更新APP,修复安全漏洞。

这起事件之所以能够发生,原因并不意外。

粗心大意,不仔细,自由散漫,缺乏对安全威胁的敏感度。

为什么这么说呢?

高科技公司制造指纹安全锁,从名字上看,似乎是可以提升安全性的,但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞,这不是好笑么?为什么其他安全人员都能在45分钟内想到破解方法,而科技公司里大把人,很长时间却没有认识到呢?他们没有足够的发现安全问题的天赋?没有这么简单,别人一指出问题,他们就理解了,说明他们并不笨,而是他们不够尽心,不够尽职尽责!

从这起事件中,我们能得到什么安全教训呢?

及时修复安全漏洞(弱点),降低被他人恶意攻击和利用的机会。

看到这则新闻,国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾,同时也表示:纯民间的漏洞平台控管不够,对于国家安全是一项威胁,这是不争的事实。重点在于很多安全弱点需要被及时发现,并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放,而安全专家们也出于对自身的保护,不愿向官方提供自己的发现。这就让很多被国内安全人员们(及黑客们)探测出来的系统漏洞不能被及时通报、修复和公开,而被一波一波地私下利用。

最后,让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代,各种联网小玩艺儿越来越多,中国创制的ioT设备安全问题更是不容忽视。因为总体来说,比起英国来讲,我国工业化和信息化起步较晚,国民普遍的安全意识更为落后,中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性,并不仅仅是培训一些设计研发人员就可以搞定的,这是一项关系到全民安全素质的工程,需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升,欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机/微信:18206751343

邮箱:[email protected]

QQ:1767022898