物聯網( IoT) | DNS服務商 Dyn遭遇的大規模DDoS攻擊,會是最後一次嗎?

 物聯網:IoT你購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,但會將連網設備的安全列入採買要素嗎?根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式,約有七成曾受過釣魚式攻擊、五成受過漏洞攻擊、四成則受過分散式阻斷服務攻擊(DDoS)。另外,勒索病毒 攻擊也是一新犯罪趨勢。但你知道:家用智慧型產品 毛孩子都能侵入嗎?

很顯然地,必須做些什麼來保護物聯網(IoT ,Internet of Thing)。不幸的是,我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題:我要看電視時要隨時可以看。

上個禮拜DNS服務商Dyn所遭遇的大規模分散式阻斷服務攻擊 (DDoS)攻擊敲響了一記警鐘:物聯網生態鏈已經徹底、完全地被破壞。缺乏支援和不安全的設備造成網際網路基礎設施一個重要的部分斷線,影響了許多知名網站。

上周末臺灣10月21日傍晚19點10分,Dyn管理的DNS服務系統遭到DDoS攻擊,造成多數網站無法使用,其中較知名的有:CNN、Airbnb、Spotify、Netflix、HBO等。這啟攻擊中,駭客控制數千萬件物聯網(IoT)裝置,包含網路攝影機、監視系統、無線網路基地台等,命裝置發動攻擊。影響延續約8小時,直到台灣時間隔日早上8點才完全修復。

編按:無獨有偶 ,新加坡時間10月22日又見DDoS攻擊鎖定DNS!新加坡電信Star Hub遇襲,導致用戶3天難上網

⊙延伸閱讀:CNN、Netflix還有Spotify都不能用!上週末到底發生什麼事?

 

Mirai 殭屍網路發動DDoS攻擊簡圖
Mirai 殭屍網路發動DDoS攻擊簡圖

大部分攻擊起因: 監視/網路攝影機感染Mirai僵屍網路

這起攻擊來自何處?大部分都是感染了Mirai惡意軟體的物聯網(IoT ,Internet of Thing)設備所造成,趨勢科技將其偵測為ELF_GAFGYT.DGB/ELF_BASHLITE.SM。(Mirai傀儡殭屍網路原始碼已經在10月初公開發布,恐遭有心人士惡意利用)。關於攻擊的大部分原因是一家白牌的數位網路監視攝影機和網路攝影機。這家廠商已經公開召回他們一些具有漏洞的設備,這是一個值得鼓勵(可能代價高昂)的舉動。不過,也很可能有其他廠商的設備也參與其中。

利用數以千計遭到殭屍化的監視攝影機來發動 DDoS 攻擊,其實之前已經有案例

⊙延伸閱讀:監視攝影機暗藏惡意程式

在找到方法保護好物聯網前,這起攻擊不會是最後的一次

要將這些攻擊說是「前所未有」是有點勉強 – 就在幾個星期前,Brian Krebs也遭受到Mirai「Botnet傀儡殭屍網路」的DDoS攻擊。可以肯定的是,在找到方法保護好物聯網前,這起攻擊並不會是最後的一次。

而關於物聯網(IoT ,Internet of Thing),現在的優勢是在攻擊者那方:有太多物聯網設備是不安全,無法保護,也不會受到保護。阻斷服務攻擊成為更加有力的威脅:威脅公司會斷線變成實際可行也更具說服力的說法。

物聯網產品自己也會因分散式阻斷服務攻擊 (DDoS)攻擊而產生對現實世界的影響 – 當這些設備無法連到中央伺服器時會發生什麼事?比如這個例子, 一個可根據溫度來智慧決定要不要加熱的恆溫器, 因為網路斷了拿不到數據, 結果就不停的加熱, 號稱比較省電的裝置卻適得其反,無法正常運作。DDoS攻擊曾經只是會造成困擾的事情 。而現在隨著越來越多重要功能放到網路上,這成為了嚴重的威脅。

四成連網裝置受過分散式阻斷服務攻擊(DDoS),但購買智慧型家電時,有多少人會將資安列入考量?

根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式,約有七成曾受過釣魚式攻擊(Phishing)、五成受過漏洞攻擊(Unpatched vulnerabilities)、四成則受過分散式阻斷服務攻擊(DDoS)。另外,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊也是一新犯罪趨勢。

很顯然地,必須做些什麼來保護物聯網。不幸的是,再怎麼說這有多困難都有些輕描淡寫了。我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題:我要看電視時要隨時可以看。

當人們購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,鮮少有人會將連網設備的安全列入採買要素。

⊙延伸閱讀:Android 智慧型電視後門程式現身,惡意程式恐開家中資訊後門
IoE 智慧型電視 smart tv

IoT生態鏈缺口: 產品賣家並非每個人都有足夠的技術和能力來解決自己所賣東西的問題

網路安全專家把這種威脅比作「好像每個人都有一顆核彈」

物聯網產品賣家呢?他們並非每個人都有足夠的技術和能力來解決自己所賣東西的問題。在某些情況下,這些賣家只是拿白牌產品來貼牌而已。經銷商和進口商是否真的能夠支援自己所賣的產品?答案是:可能不行。

這篇文章報導:加拿大網路安全專家在接受CBC採訪時說,” 侵入工作站或Windows的裝置是比較困難的。但是由無數小公司生產的便宜的智能電子產品,在安全防護上非常初級。而目前對這個行業的管理缺乏相關法規,使那些不想在安全上投資的小公司有漏洞可鑽。

駭客侵入這些產品如入無人之境,然後可以透過它們發動大規模的網路攻擊,例如發送海量垃圾信息導致網站癱瘓。另一位網路安全專家把這種威脅比作「好像每個人都有一顆核彈」。”

那麼物聯網產品的實際製造商呢。不幸的是,業務壓力讓這些設備的售後支援都很差。安全性並非優先考慮的事項 – 易於使用、全新功能和快速上市才是。物聯網代工並沒有理由投資在安全性上 – 不會有廠商因為產品安全性不夠而沒有生意。此外,長期支援需要花費時間、資源和金錢 – 這些都是製造商希望減少的事情。

總之,沒有人有動機去做對的事情 – 保護他們的物聯網設備。就安全性而言,物聯網生態鏈是崩壞的。

 

監管單位需要介入嗎?

一旦物聯網不安全的後果影響到了現實世界,政府單位也越來越有可能去強制執法。

長期以來,科技界都不大歡迎監管法規,但現在真的會出現反轉嗎?大多數電子設備已經需要符合各種安全標準。對基本安全問題要求認證是否不遠了?

想確保物聯網產品完全沒有漏洞需要做太多事了。但是基本的安全問題,像是開放端口、預設密碼(像是admin/admin)和沒有經過加密傳輸發送,要求物聯網產品沒有這些問題會很難嗎?如果物聯網廠商希望自己的設備成為使用者日常生活的一部分,要求它們不要搞掛網路世界會是過分的要求嗎?

物聯網安全性會變好總有一天

長遠來看,物聯網的安全性將會變得更好。不安全的物聯網產品所造成的後果顯而易見,將被認為不安全甚至是非法的。你不能販賣不安全的汽車或電器 – 未來你可能也不能販賣開放telnet連線的網路攝影機。

物聯網產業該如何更好地製造安全的設備?他們必須學習更佳的安全實作,不然就可能無法銷售自己的產品。對安全風險具備簡單的認知就足以消除目前物聯網設備最嚴重的漏洞。趨勢科技等安全廠商也在致力於一般消費者可用來保護自家網路的技術和產品。(趨勢科技已經能夠偵測Mirai惡意軟體,我們的TippingPoint產品也能夠偵測Mirai的相關網路流量)。

我們已經看到進步的跡象,無論是產業或監管單位。歐盟委員會正在考慮新法規來涵蓋物聯網設備的安全性。產業團體發布了防護物聯網設備的藍圖。我們看到這整個生態鏈開始認真地對待安全性,而這時間點已經有些急迫了。

要從不安全的生態鏈轉變成安全並非一蹴可幾。在我們想辦法達成目標前,還可能會看到不安全物聯網產品所造成更加嚴重的安全事件。需要物聯網產業、安全廠商和監管單位的協助來盡快地完成此一轉變。

 

@原文出處:The Internet of Things Ecosystem is Broken. How Do We Fix It?

延伸閱讀:
物聯網 (IoT)會成為網路勒索的新天地?
迎向全球物聯網整合浪潮 趨勢科技首度公布資安防護軟體開發套件 領先布局物聯網生態系