Hacking your Home: How safe is the Internet of Things? – IoT Security
入侵你的家:物聯網有多安全?
作者:Jeffrey Cheng(趨勢科技物聯網安全)
連接到物聯網 (IoT) 的設備的安全性一直是一個熱門話題,尤其是網路協議 (IP) 監控攝影機,已成為越來越受到審查的主題。
IP 攝影機由於其相對較高的計算能力,和良好的網路流量吞吐量,已成為駭客的首要目標。一個典型的例子是 2016 年底發生的事件,當時一個名為 Mirai 的 Linux 殭屍網路,被用來促成歷史上最大的分佈式拒絕服務 (DDoS) 攻擊。
其結果是,數據包流有經驗的爆發高達 50 倍高於其正常體積,估計在 1.2 Tbps 的紀錄高位網路流量。流量是由遠端命令觸發的,被劫持的設備主要是 IP 監控攝影機。
此後,多種類似 Mirai 的惡意軟體變種浮出水面,以進一步利用易受攻擊的 IP 監控攝影機。理所當然地,網路安全現在正成為 IP 監控設備的主要考慮因素,例如,一些政府已經在製訂法規,以提升網路安全實施。它正在成為 IP 監控攝影機市場,新的決定性因素。
瞄準 IP 監控攝影機的動機
駭客攻擊物聯網設備的主要動機之一,是經濟利益。在貨幣化方面,IP 監控攝影機是不同的目標,原因如下:
- 持續連接。像許多其他設備一樣,IP 攝影機需要連接到網路才能正常工作。但是,接觸網路也使駭客很容易找到攝影機,並可能利用這些設備。一旦被駭客入侵,這些設備將能夠滿足駭客的需求。
- 低駭客投資。與入侵 PC 不同的是,一旦駭客發現了一種可以破壞物聯網設備(如 IP 攝影機)安全性的方法,通常可以將相同的方法,應用於類似型號的其他設備,從而使每台設備的駭客攻擊成本非常低。
- 缺乏監督。與PC,尤其是辦公室使用的PC 不同,IP 攝影機的用戶交互較少,並且在安全性方面管理不善。也無法安裝售後反惡意軟體應用。
- 高性能。IP 監控攝影機的空閒計算能力,通常足以執行與駭客相關的任務,例如加密貨幣挖掘,並且不會被最終用戶注意到。
- 面向網路的高頻寬。專為影像通信而設計的始終連接、快速和巨大的頻寬,使駭客成為發起 DDoS 攻擊的合適目標。
典型的攻擊鏈
圍繞 IP 監控攝影機的典型攻擊鏈,包括以下步驟。
3.傳播。根據其種類,所使用的惡意軟體可以掃描網路,並採用相同的感染方法,將自身傳播到其他易受攻擊的設備。攻擊者可以自動觸發此操作(如蠕蟲殭屍網路的情況),也可以透過接收來自 C&C 伺服器的指令手動觸發。
公共和封閉網路的風險
傳統的自助 (DIY) 消費市場中,提供的大多數家用 IP 攝影機都直接連接到網路。這意味著家庭 IP 攝影機,以與家庭中的個人電腦,非常相似的水平暴露於網路,但缺乏用戶安裝安全軟體的能力。儘管家用 IP 攝影機僅佔所有已安裝設備的一小部分,但由於其價格越來越便宜,且大眾可訪問,它們構成了一個快速成長的市場。
另一方面,許多人聲稱 IP 攝影機不會受到這種程度的風險,因為大多數產品通常是為企業設計的,這些企業基本上將 IP 攝影機佈署在局域網中,並且無法在網路上搜索到。這種說法可能成立,但它可能忽略了幾個現實世界的因素:
- 系統整合商可能不會按預期安裝 IP 攝影機。在許多情況下,人們只是選擇更方便的方法,來安裝所有東西,並使設備正常工作。易於維護是他們這樣做的另一個動力。這就解釋了,為什麼仍然可以找到,許多應該留在局域網中的 IP 攝影機的 IP 地址。
- 圍繞 IP 攝影機的商業模式,正在發生變化。服務提供商正在使用 IP 攝影機來運行定制服務(例如老人護理),並且使攝影機在網路上,可用是用戶和遠端操作員,同時根據需要訪問攝影機的最簡單方法。
- 影像分析功能等現代增值功能通常佈署在雲中,以降低整體硬體和軟體成本,可以靈活地打開或關閉特定功能,或添加新功能,而不管攝影機的硬體性能如何.
將 IP 攝影機連接到整個網路,是一個明顯的趨勢。鑑於全球佈署的 IP 攝影機數量相當可觀,一小部分暴露在公共領域的 IP 攝影機可以成為駭客的巨大誘因。
另一件需要考慮的事情,是網路隔離如何成為經常提到的網路安全方法之一。但是,在局域網中並不能保證 IP 攝影機免受駭客攻擊。一方面,精心設計的惡意軟體,可以很容易地在局域網中傳播,任何帶入同一局域網的便攜式設備,都可以很容易地變成感染媒介。以臭名昭著的 Mirai 殭屍網路為例:基於 Windows 的木馬,在分發它方面發揮著重要作用,即使目標是在 Linux 上運行的 IP 攝影機。
IP 攝影機的分層防禦
IP 攝影機提供的完整功能,通常包括攝影機本身、網路功能和雲端服務。為了提供一個安全的產品,製造商需要實現一個總體方針安全策略 - 從設備到雲端計算:
1. IP 攝影機硬體。由於發現系統漏洞,是駭客入侵 IP 攝影機的最關鍵因素之一,因此業界領先的製造商密切關注,對產品的韌體進行監控,並修補易受攻擊的系統組件。但是,為了提高安全性,可以應用進一步的增強功能,例如:
2. 網路。在封閉網路中佈署 IP 攝影機,已經是一種高度採用的機制,可確保更高的安全級別。虛擬專用網路 (VPN) 可用於透過安全連接啟用遠端訪問。其他與網端相關的安全實現包括:
- 加密連接以阻止妥協嘗試。
- 與安全隧道連接。
- 使用硬體組件來儲存加密密鑰。
物聯網安全責任和共同責任
與其他物聯網設備一樣,完整的基於 IP 攝像頭的應用程序中有很多活動部件。因此,在發生安全事件時,任何人都不能也不應該承擔全部責任。從網路安全的角度來看,我們相信每個人都可以,在充分實現安全方面發揮作用。
IP 監控系統的傳統商業模式,是一次性付款。在 DIY 市場中,最終用戶只需購買 IP 攝影機,並將其安裝在現有網路環境中。更複雜的案例將引入系統整合商,他們基本上為用戶處理所有事情,包括選擇正確的硬體、將它們固定在所需的位置、將它們連接到外發路由器,以及設置網路。如果未考慮維護合同,這也是一次性付款。
隨著越來越多的各方,試圖透過 IP 監控服務獲利,許多不同的商業模式應運而生,以滿足不同的需求。監控服務提供商現在向用戶收取月費,而不是一次性付款,網路服務提供商 (ISP) 也是如此。
該業務的新參與者,不僅為用戶提供影像監控系統,還提供雲端錄影,和各種智慧功能等增值服務。至此,這個行業的參與方之間的界限越來越模糊。例如,Nest 不僅是 Nest Cam™ 安全攝影機的製造商,而且還是促進相關雲記錄服務的服務提供商。
無論行業中的所有工作組件如何,都有一群人和實體在監控系統的網路安全中,發揮著關鍵作用:
- 設備製造商。負責任的製造商,應始終牢記設計和交付的每個功能的安全考慮。有人可能會爭辯說,用戶經常忽略或忘記採取基本的安全措施,而這可能正是當今世界廣泛傳播惡意軟體的根本原因。各國政府現在正在關注這一點,並正在努力以他們的權力,強制執行一定級別的安全實施。由美國政府營運的工業控制系統網路應急響應小組 (ICS-CERT) 不時披露現有 IP 攝影機產品的系統漏洞,以提高網路安全問題的可見性。此外,台灣政府全球至少有四分之一的 IP 攝影機是在該地區生產的,該
公司正在起草一系列,目的在確保設備網路安全的法規。像 UL 這樣的安全科學公司也在致力於他們的網路安全驗證計劃,以進一步了解網路安全實施。 - 服務供應商。那些使用 IP 攝影機建構系統並運行其服務的人,應該對系統級別的網路安全負責。透過整合 IP 攝影機的基本功能,和其他高階功能,服務提供商基本上塑造了整個系統 —— 從設備到網路再到雲。服務提供商和整合商不僅將事情放在一起,而且還確保設備和系統,在整個使用壽命期間按預期運行。正如他們應該的那樣,服務提供商必須優先考慮網路安全以及承諾的功能。
- 系統整合商。設置硬體和軟體,並啟動一切以啟動監控系統服務的人員,也對應用安全起到了作用。最少功能原則是這裡的關鍵準則,目標是啟用盡可能多的功能。未使用的功能,尤其是開放端口等網路功能,通常是駭客的捷徑。
- 終端用戶。IP 攝影機產品通常有安全指南或使用者手冊。通讀它並按照指示設置攝影機在網路安全中,起著非常重要的作用。例如,Mirai 的成功,主要歸功於更改默認密碼的失敗。
確定安全的角色和職責不是知道一個人是誰的問題,而是知道一個人做什麼的問題。在 DIY 市場,家庭用戶也扮演著系統整合商的角色。同樣,IP 攝影機供應商,不僅扮演設備製造商的角色,還扮演服務提供商的角色,因為所有應用和雲端服務,也是由供應商自己開發和維護的。
在我們能想到的所有場景中,我們發現透過將所涉及的實體,映射到上述四個角色中,任何的一個來傳達安全責任,和責任很容易。
成本與收益
對於聯網設備製造商來說,安全性是一個常見問題 —— IP 攝影機硬體製造商也不例外。可以肯定的是,添加的網路安全實施越多,物料清單 (BOM) 清單中,成本的增加就越明顯。
另一方面,由於網路安全現在是業界乃至終端用戶,認知度很高的話題,網路攝影機廠商也可以藉此機會,在市場上創造獨特的價值,而不是追求無休止的價格戰。網路安全實施也可用於提出報價請求 (RFQ) 的決定性因素,尤其是來自公共領域的報價,因為網路安全已引起政府的進一步審查。對於服務提供商或系統整合商,
複雜性是改善網路安全的另一種成本形式。設置所有內容的最簡單方法,始終是最便宜和最不安全的方法。用易用性換取網路安全是 IT 專家的常識,但對於一般用戶而言則不然。
例如,如果監控系統允許透過網路進行遠端訪問,則採用 VPN 通常是安全性的首要建議。但是,使用 VPN 訪問設備在一般用戶,尤其是智慧手機用戶中並不常見。
網路安全的成本和收益之間,永無休止的爭論,只能預期繼續下去,公司無論規模大小,在努力維護功能和安全性的同時,繼續權衡其物聯網實施,所有的影響因素。
從現在開始保持安全檢查
雖然歸為物聯網產品,IP 攝影機裡已經在市場上,甚至術語之前的聯網或物聯網被創造出來。但是,儘管 IP 攝影機的市場已經成熟,但圍繞它們的網路安全問題,仍然是整個行業面臨的一大挑戰。與其他物聯網設備和服務一樣,IP 攝影機的資訊串流是一條長鏈,惡意攻擊可以在任何地方出現。透過物聯網相關業務獲利的公司,已經在相當長的一段時間內,提高了對雲安全,以及網路連接上的網路安全問題的認識。
設備中缺乏足夠的網路安全實施,是接下來要解決的問題,不僅對於 IP 監控行業,而且對於所有基於物聯網的企業。萬物互聯的世界可能看起來很棒,但只有擁有足夠的網路安全,這個互聯的世界才能既安全又智慧。
沒有留言:
張貼留言