How To Hack IoT Cameras - Vulnerability Demonstration
如何破解物聯網攝影機 - 漏洞演示
IDVIEW 最佳工地管理解決方案 |
物聯網正在快速擴張,預計未來幾年的成長速度,將使以前的技術採用看起來微不足道。預計到 2020 年,全球將有超過 200 億台聯網設備。物聯網承諾連接從閉路電視攝影機、醫療設備、智慧家庭產品到智慧車輛和更多設備的一切。連接這些設備有望透過在眾多市場和領域,帶來更高的效率、改進的客戶服務、更有效的產品和服務,來徹底改變我們今天的生活。
這種成長帶來了許多挑戰,尤其是「我們如何確保這些設備是安全的?」然而,與此同時,使這些物聯網設備,能夠以一種強大且自動化的方式與服務連接,這不會扼殺或影響市場的成長。對於當今和未來產品的許多 IoT 類型應用而言,傳統的面向 PKI 的架構過於笨重。對於物聯網應用,我們需要有辦法以適合物聯網市場的方式,來保護滿足每個應用需求的產品。
最近觀察到的一個趨勢是,客戶開始意識到他們需要控制自己的安全狀況,從讓製造商控制它的方法,轉向關注客戶設備和平台要求的方法。客戶希望透過創建自己的個人安全態勢,並避免使用現有的使用默認密碼的方法,來選擇如何保護他們的業務、IP 和供應鏈,這是不可接受或不安全的選擇。
這個博客系列目的在涵蓋一系列主題,試圖確定關鍵問題,就我們如何解決一些,似乎與解決物聯網安全相關的問題提出一些想法。
涵蓋的主要主題將包括:
- DDOS 近期攻擊及預防解決方案
- 自動設備所有者證書配置
- 安全地大規模註冊設備
- 基於策略的安全性,為不同用戶管理大量設備
- 安全的韌體和軟體更新
本博客的第一部分目的在涵蓋當前熱門話題 DDOS,和使用攝影機對在網路線上服務造成嚴重破壞,以及我們如何能夠防範這些攻擊。
DDOS、攝影機和最近的攻擊:
在過去十年左右的時間裡,分佈式拒絕服務 (DDOS) 已被用於許多網路攻擊,而最近的攻擊,在用於對一些眾所周知的服務,造成嚴重破壞的方式上並沒有什麼不同。這些最新一輪的攻擊令人擔憂的是,它們是如何被大規模用來破壞這些服務的。大量安全專家警告說,物聯網缺乏安全性,將使其成為攻擊者的目標。這尤其令人擔憂,因為對物聯網市場成長的預測非常大,這為可能影響關鍵服務的潛在巨大攻擊開闢了道路。
DDOS 攻擊是由駭客精心策劃的,他們獲得了對「不安全」設備的訪問權限,然後在設備所有者不知情的情況下,將惡意軟體引入這些設備。然後,這些設備被用作「殭屍」軍隊/殭屍網路(通常被稱為「殭屍」的受感染電腦的集合)來攻擊(在攻擊者的控制下)特定的服務和網路。每次惡意攻擊的目的,都是拒絕向用戶提供服務,並使服務超載。
最近的 DDOS 攻擊使用網路連接的攝影機,來形成殭屍設備大軍,然後這些設備被用於針對特定服務,例如 OVH。OVH 攻擊使用了超過 145,000 台設備,並產生了高達每秒 1.1 兆比特的數據流量!最近對 Dyn DNS 服務造成了類似的攻擊,據報導,來自 100,000 台終端設備的攻擊,為許多用戶帶來了 Twitter、亞馬遜和其他網站的攻擊。
這種 DDOS 攻擊以及其他最近的攻擊,是由攻擊者連接到每個攝影機設備(通常透過 SSH 或 Telnet 會話)開始的,然後用一個簡單的程序感染它們,該程序猜測其出廠設置的密碼,通常是「admin」或「密碼」 一旦被感染,這些設備就會變成一群簡單的機器人。
使這些 DDOS 類型攻擊更難的一種方法,是確保每個設備(在本例中為相機)使用更強大的用戶名和密碼。如果每個設備或一組設備都有不同的用戶名和密碼,那麼進入大量設備將更加困難。
作為客戶,這裡的關鍵是強制執行您自己的安全態勢,而不是將其留給製造商。
那麼,我們如何改善我們的安全態勢,以降低針對 DDOS 的風險呢?一種方法是在產品的整個生命週期內,不再使用所有產品的默認密碼。另一個想法是在你的產品中具有完整性驗證機制,該機制允許你檢測感染設備的惡意軟體,然後阻止受影響的設備訪問網路。
後者可以透過使用設計人員,將其安裝到物聯網設備上的 Device Authority 的 KeyScaler 平台來實現。每個設備基本上都被賦予了一個「獨特的」數位 DNA。這可能包括設備上韌體的構成、硬體配置和許多其他參數。然後在安全地連接設備 KeyScaler 時使用此 DNA,並構成設備信任錨的基礎。當設備嘗試註冊時,KeyScaler 將辨識設備上軟體的更改。然後 KeyScaler 將隔離設備並引發警報/事件,然後可以使用該警報/事件,以某種方式禁用設備的網路連接,例如將設備列入黑名單,使其無法訪問蜂窩網路,並防止設備執行 DDOS 式攻擊。
在我們的 KeyScaler 平台的未來產品版本中,我們將引入自動管理員密碼管理功能,以便為特定用戶和用戶組遠端安全地輪換/更新用戶名和密碼。這將解決即時更新密碼和用戶名的問題,以減少潛在的黑客攻擊。
本系列的下一篇博客將討論「自動設備所有者證書配置」。這可以加快將標準簽名證書(在 PKI 模型中)交付給諸如攝影機之類的設備。這可以降低你的生產成本並提高佈署速度。
查看我們的自動攝影機安全管理解決方案。
沒有留言:
張貼留言