電腦中了勒索病毒!資料影片全毀!!【黑羽】
|
來源:企業投稿
一、 網路攝影機安全現狀
網路攝影機安全問題,已經引起社會的關注。2016年10月份發生在美國的大面積斷網事件,導致美國東海岸地區遭受大面積網路癱瘓,其原因為美國域名解析服務提供商Dyn公司,當天受到強力的DDoS攻擊所致。
遭受Mirai病毒入侵的物聯網設備,包括大量網路攝影機,Mirai病毒攻擊這些物聯網設備的主要手段,是透過出廠時的登錄用戶名,和並不複雜的口令猜測。事後,一些網路攝影機廠商,即時更新了登陸口令,但有些廠商的設備,使用了固定用戶名和口令的登錄方式,沒有提供口令修改功能。因此面對Mirai病毒的肆虐,卻無能為力。
二、 設備廠商的「覺醒」
經過DDoS攻擊事件後,網路攝影機的設備廠商一定已經「覺醒」,知道對攝影機進行安全保護了。但怎樣對網路攝影機進行安全保護呢?既然Mirai病毒的入侵方式,是猜測用戶名和口令,那就可以使用病毒猜不到的口令。通常設備廠商使用的口令,也是不容易猜測的,但不知Mirai病毒製造者是怎麼破解的。
考慮到無論使用多麼隨機的口令,如果所有設備,使用同一口令的話,就容易被破解,因此有些設備商考慮,使用動態更新口令的功能。只要能動態更新,就不怕被駭客猜測了。
三、 安全防護技術的「亡羊補牢」策略不可取
網路安全事件時有發生,「亡羊補牢」有時是彌補的最好方法。但如何「補」,則關係到「牢之牢」,是堅固之「牢」還是形同虛設?
目前發現駭客的攻擊方法是猜測「弱口令」,那麼就在更新產品中,使用隨機性好的口令;駭客可以透過其他手段獲得口令,例如如果有一批產品使用同一個口令,則駭客透過購買一個設備來進行分析,就可以獲得這個口令,無論該口令的隨機性如何,都不增加駭客獲得該口令的難度,這時該怎麼辦?
改為每個設備使用單獨的口令?那麼駭客可以入侵伺服器的數據庫,竊取口令文件,然後也能成功入侵。即使通過嚴格的管理,讓駭客無法獲得口令文件,駭客也可能通過系統漏洞,入侵到設備中,這是許多網路蠕蟲病毒入侵傳播的重要途徑。因此透過簡單的修改,想抵擋駭客的入侵,實在太困難了。
改為每個設備使用單獨的口令?那麼駭客可以入侵伺服器的數據庫,竊取口令文件,然後也能成功入侵。即使通過嚴格的管理,讓駭客無法獲得口令文件,駭客也可能通過系統漏洞,入侵到設備中,這是許多網路蠕蟲病毒入侵傳播的重要途徑。因此透過簡單的修改,想抵擋駭客的入侵,實在太困難了。
隨著網路技術在各個行業的應用,網路的重要性越來越高,同時網路駭客的技術手段也越來越高。網路駭客從早期的個人惡作劇行為,到後來的有組織行為,再到後來的有地下產業鏈,直到今天的網路戰爭,駭客已經不僅僅是地下組織,還包括國家團體。
因此,駭客的攻擊手段,遠超過我們的想像。去年8月份美國NSA方程式組織Equation Group被駭,大量駭客工具洩露,從這些被洩露的工具就可看出,全球70%的Windows系統,可以被這些工具遠程入侵。這才是被洩露的部分工具。我們不知道沒有洩露的工具還有哪些,有什麼攻擊能力,但可以想像,能阻擋最強駭客組織攻擊的系統,需要非常堅固的安全防護手段。
因此,駭客的攻擊手段,遠超過我們的想像。去年8月份美國NSA方程式組織Equation Group被駭,大量駭客工具洩露,從這些被洩露的工具就可看出,全球70%的Windows系統,可以被這些工具遠程入侵。這才是被洩露的部分工具。我們不知道沒有洩露的工具還有哪些,有什麼攻擊能力,但可以想像,能阻擋最強駭客組織攻擊的系統,需要非常堅固的安全防護手段。
面對如此強大的駭客組織和駭客工具,資源有限的物聯網設備還有防禦能力嗎?答案是肯定的。駭客攻擊都是為了一定的目的,或者是經濟目的,或者是政治目的。針對物聯網設備,只要讓駭客攻擊,所獲利益不足以彌補其攻擊所付的代價,這種防護就是成功的。
當然,要正確評估攻擊代價,與攻擊利益也是困難的,只能根據物聯網設備的實際情況,包括設備本身的資源,設備的重要性等因素進行安全防護。
當然,要正確評估攻擊代價,與攻擊利益也是困難的,只能根據物聯網設備的實際情況,包括設備本身的資源,設備的重要性等因素進行安全防護。
因此,對物聯網設備的安全保護,不能簡單地使用「亡羊補牢」的措施,發現問題後再進行彌補,同時也不必對安全防護失去信心,認為面對強大的駭客,任何防護都會失敗。正確的辦法是,讓專業團隊設計安全的解決方案。
四、 網路安全的解決方案
網路的專家團隊分析認為,網路攝影機的安全防護,包括3個層面:(1)防止入侵;(2)防止成為網路肉雞;(3)防止數據被非法竊取;(4)防止數據假冒;(5)防止設備被毀。
其中,防止入侵是第一步最根本的防護。去年物聯網設備參與的大規模DDOS攻擊,就是因為第一步防護沒做好,或者防護能力太差。防止入侵最基本的要求,是使用不可猜測的口令。
但口令的設置從來是一個糾結的事:太簡單容易被猜測,太複雜則難記憶,難管理。對物聯網設備來說,難記憶的因素可以不考慮,但讓每一個設備有一個單獨的口令,則很難管理,一旦儲存口令的文件失竊,則所有設備的第一道安全防護,全部喪失。
但口令的設置從來是一個糾結的事:太簡單容易被猜測,太複雜則難記憶,難管理。對物聯網設備來說,難記憶的因素可以不考慮,但讓每一個設備有一個單獨的口令,則很難管理,一旦儲存口令的文件失竊,則所有設備的第一道安全防護,全部喪失。
但無論怎麼防護,第一道防線可能失敗,也就是說駭客可能有能力入侵到物聯網設備中。那麼駭客的目的是什麼?從去年的DDOS事件來看,駭客入侵單個物聯網設備的獲利不大,而通過將這些設備控製成為網路肉雞,形成具有網路攻擊能力的僵屍網路,對駭客來說才是更有吸引力的。
當然駭客入侵的另一目的,可能是獲得數據(如監控數據),偽造數據(如對重要監控數據的替換),控制設備(如調節監控角度、精度等),甚至讓設備癱瘓。
針對不同的攻擊目的,網路安全的解決方案如下:
(1)防止駭客入侵。首先給每個設備,一個唯一且永久的身份標識,使用一個種子管理密鑰和密鑰生產算法(稱之為Key Generation Function, KGF),為每個設備產生一個隨機口令,這樣既滿足口令的隨機性,又滿足管理的方便性。透過對種子密鑰和KGF的有效管理,即使駭客竊取種子密鑰,如果沒有得到正確的KGF,也不能得到這些終端設備的口令。
如果駭客使用系統漏洞進行入侵,通過口令是無法防護的。網路安全的漏洞挖掘團隊,將以最新的保護措施,使漏洞被利用率降到最低,從而最大程度地,防止駭通過漏洞入侵設備。
(2)避免成為駭客的肉雞。防止入侵的目的,是降低駭客發起的一般性攻擊。如果駭客有針對性地進行攻擊,像網路攝影機這類資源受限的設備,還是很難防禦的。但是,駭客入侵的目的,可能想把被入侵的設備,成為駭客發起網路攻擊的肉雞,這時網路安全的解決方案是,限制攝影機這類物聯網設備「指哪打哪」的靈活性,使入侵駭客不能隨意修改,與之通信的網路地址和通信端口。當然有很多方法做這類限制,每種方法各有利弊。
(3)防止數據被非法竊取。保護數據機密性的方法很簡單,使用密碼技術就可以。但是需要考慮的因素有很多,包括密碼算法的合規性、密鑰管理的科學性、系統維護的便利性等。在這方面,網路安全業者大多有一套完整的方案。
(4)防止數據假冒。與數據機密性的保護方法類似,使用數據完整性保護即可。但是數據完整性,一般與設備身份鑒別一起提供,即通過少量的數據量和計算量,提供更為完備的安全服務。數據假冒攻擊,只在一些特殊領域有應用需求,一般公開環境的監控攝影機沒有此安全需求。
(5)防止設備被毀。當然這裡說的設備被毀,是指因駭客病毒攻擊,導致設備不能正常工作,而不是硬體損壞。我們建議使用一鍵恢復功能。這種功能對低成本設備是多餘的,但對高成本的網路攝影機,在遭受例如勒索病毒的入侵後,能通過實體接觸,實現一鍵恢復出廠狀態,然後馬上進行漏洞彌補。
這樣可以避免因遭受攻擊,而不得不更換設備的問題,因為更換設備不僅僅是設備本身的成本,更換過程的人工費用,有時比設備本身的成本還要高。
這樣可以避免因遭受攻擊,而不得不更換設備的問題,因為更換設備不僅僅是設備本身的成本,更換過程的人工費用,有時比設備本身的成本還要高。
五、 網路安全專家的建議
相比許多網路設備,網路攝影機是個低價值設備,但是,一旦數量規模很大時,作為這類設備的整體,對網路安全有著重要的影響。安全防護不是看上去那麼簡單,沒有專業團隊的設計研發,可能導致事倍功半的結果。
真正的網路安全專業廠商,慧以其在物聯網安全領域的專業技術和研發團隊,為網路攝影機和其他網路設備,提供專業的資訊安全保護方案,其原則是「no more, no less」,即安全防護不需要過度(no more),但也不能不足(no less)。當這個尺度很難確定時,以保障安全為主。
沒有留言:
張貼留言