好暴露,洛杉磯!美國前十大城市的網路資產,有多暴露? Shodan 都知道

Shodan 是個會索引網路資產和物聯網(IoT ,Internet of Thing)聯網設備的網路搜尋引擎,它能夠顯示任何聯網設備的 IP地址,並揭露如應用軟體和韌體版本等細節資訊。

掃描網路設備的安全漏洞是個繁瑣的過程,但如果你想要修補這些漏洞來保護設備和系統免於被入侵,那這是必要的。不需要特別的去爬網站,可以利用像 Shodan 這樣的工具來輕鬆地搜尋對外暴露的網路資產。

網路設備因為維修理由而啟用遠端連線能力,會讓機器容易被攻擊

「沒有防護」和「對外暴露」的網路資產並不是指這些設備已經被入侵。而是說它們缺乏安全防護或設定不良,因而容易遭受網路攻擊。有些網路設備甚至會因為維修理由而啟用遠端連線能力,但這會讓機器更容易被攻擊。

根據趨勢科技在2016年 2月所做的 Shodan 掃描資料分析,我們很驚訝地看到幾個跟工業控制系統(ICS)設備和協定相關的結果。ICS設備是用來操作工業及相關過程,如加熱、通風和空調(HVAC)、發電、水處理等。你可以看到樣本如下:

 

 

圖1-2、Shodan搜尋結果顯示出設備的詳細資訊

Continue reading “好暴露,洛杉磯!美國前十大城市的網路資產,有多暴露? Shodan 都知道"

Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的

原本該讓我們生活更美好的聯網用品,竟瞬間變成了攻擊他人的殭屍網路!

從去年 9 月感染了大約 10 萬個物聯網裝置的 Mirai 原始程式碼在網路上流傳開始,駭客們便紛紛忙著開發新的變種來搶攻那些安全堪慮的物聯網裝置,儼然成了一場軍備競賽。
從電燈開關、恆溫控制器,到聯網茶壺、無人機以及各種日常生活用品,讓這些聰明但不安全的智慧裝置連上網際網路,就如同引狼入室。現在光在大門隨便裝個簡單的鎖頭是不夠的,這批最近才剛轉戰家用網路的犯罪集團,他們感染家庭智慧裝置,將它們變成殭屍來替他們從事不法勾當。

這波搶攻裝置、建立殭屍網路熱潮有如一股掏金熱,如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣,存在著相同的安全漏洞,那麼未來恐怕有重大的災難等著我們。

網域名稱服務 (DNS) 供應商 Dyn 的伺服器在 2016 年底遭到一起重大的網路攻擊,全球多家知名網站因而停擺,包括 Twitter 和 Netflix 皆頓時陷入危機,工程師們為了讓伺服器恢復正常運作而疲於奔命。該事件的罪魁禍首,是一個叫作「Mirai」的物聯網 IoT ,Internet of Thing)殭屍病毒。

駭客的軍備競賽:紛紛開發新變種,搶攻物聯網裝置

網路媒體 All About Circuits 特約作家 Robin Mitchell 將這起網路犯罪事件歸類為「Botnet傀儡殭屍網路」攻擊。基本上,Mirai 幕後的犯罪集團利用此惡意程式感染了大約 10 萬個物聯網裝置,並以此建立了一個殭屍網路。歹徒之所以能夠建立這樣的殭屍網路,只因為物聯網裝置缺乏足夠的入侵防護措施。事實上,這些被感染的裝置很可能還在使用出廠時所內建的預設密碼,而這些密碼非常容易破解。

隨著物聯網裝置的日益普及,我們該如何對付像 Mirai 這類專門攻擊物聯網裝置的惡意程式呢?當這些原本應該讓我們生活更美好的連網用品瞬間變成了敵人,將變成什麼樣的狀況?

如果物聯網繼續這麼容易遭到這類攻擊,那麼情況將更令人擔憂。市場研究機構 Gartner 預測,到了 2020 年,全球將有208 億個物聯網裝置:從智慧家庭恆溫控制器和電燈開關,到聯網茶壺、無人機以及各種日常生活用品。如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣存在著相同的安全漏洞,那麼未來將有重大的災難等著我們。 Continue reading “Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的"

Mirai 殭屍網路成為鎂光燈焦點後, IOT物聯網威脅將成為主流?

 

物聯網(IoT ,Internet of Thing) 正逐漸改變我們生活和工作的方式:它讓我們更有生產力、更健康、更快樂,也讓企業更聰明、更有效率且更加靈活。只不過有一個問題:從資安的角度來看,IoT 裝置存在著一些基礎的弱點,而歹徒也越來越擅長利用這些弱點。

2017 年,趨勢科技預測消費型智慧裝置與工業 IoT 環境將面臨排山倒海的攻擊。儘管這兩類系統截然不同,但只要是企業遭到了入侵,其後果是一樣的。

 Mirai以預設的帳號密碼登入物聯網裝置,使得成千上萬的智慧裝置淪為殭屍網路的成員

如果說 2016 年是 IoT 殭屍網路成為鎂光燈焦點的一年,那麼 2017 年將是這項威脅蔚為主流的一年。就在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後,沒多久就被駭客用來刺探各種智慧家庭裝置,並且以預設的帳號密碼登入這些裝置,使得成千上萬的智慧裝置淪為殭屍網路的成員,幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過,最受矚目的受害案例是 Dyn 這家DNS 服務廠商,該公司一些知名客戶的網站因而無法瀏覽,例如: Twitter、Reddit、Spotify 以及 SoundCloud。

2016 年10 月DNS服務商 Dyn 遭遇的大規模分散式阻斷服務攻擊 (DDoS),數以千計遭到殭屍化的監視攝影機發動攻擊,造成多數網站無法使用,其中較知名的有:CNN、Airbnb、Spotify、Netflix、HBO等。

 

我們預測,今年網路犯罪集團仍將繼續利用這些消費型裝置 (如網路攝影機與 DVR 數位錄影機) 的基本安全漏洞來建立殭屍網路以發動 DDoS 攻擊。畢竟,Mirai 病毒似乎並未引起廠商的警惕,這表示未來仍有許多發掘不完的裝置漏洞可以利用。今年,這些由駭客激進團體或網路犯罪營利組織所發動的 DDoS 攻擊,將鎖定各式各樣的網路服務、新聞、企業及政治相關網站。

歹徒只要駭入一輛汽車,就能輕易造成嚴重的高速公路堵塞

在光譜的另一端,我們很可能將看到更多針對工業 IoT 系統的攻擊,例如:製造業與能源產業所使用的工業系統。之前就出現過這樣的案例:2015 年 12 月及 2016 年,烏克蘭的電廠曾經遭到相當精密的駭客攻擊,導致了嚴重的電力中斷。 Continue reading “Mirai 殭屍網路成為鎂光燈焦點後, IOT物聯網威脅將成為主流?"

網路銀行存款人間蒸發? 原來是家用路由器攻擊現安全漏洞

 

為什麼所有的電腦設備都有安裝網路安全軟體/防毒軟體,卻還是出現網路銀行轉帳異常而損失了數百美元?

 

在去年,巴西的Y因為遇到資料竊取而損失約191美元。在發現之際,Y就立刻聯絡IT技術人員來找出原因。技術人員一開始發現是Y瀏覽了一個假網站。但因為所有瀏覽網路的設備都沒有發現惡意軟體,他接著查看了家用路由器的設定。發現異常的地方:即便家用路由器沒有將任何遠端管理接口暴露到網路上,DNS設定仍然遭到修改。為了解決這問題,IT技術人員重置並且重新設定了家用路由器,防止網路犯罪分子再度進行銀行轉帳。

在另一個案例中,X在2016年1月發現自己的帳戶少了約955美元。她的家用路由器也感染了惡意DNS變更惡意軟體。不過網路犯罪分子並沒有去影響銀行網站,而是將她重新導到銀行所使用第三方網站(例如Google Adsense和JQuery)的偽造頁面。

路由器常常都使用不安全的設定,使得它們容易遭受惡意軟體攻擊,就如同上面所提到的真實案例。原因可能是路由器的作業系統、韌體或網頁應用程式存在著安全漏洞,讓攻擊者可以輕易用來作為入侵家庭網路的入口。事實上,網路犯罪分子會使用一些工具和網站來尋找脆弱的路由器並取得漏洞攻擊碼。以下是此類網站的例子: Continue reading “網路銀行存款人間蒸發? 原來是家用路由器攻擊現安全漏洞"

南韓松島國際都市,日本橫濱,新加坡,荷蘭….看看全球城市如何變得更有智慧

西班牙 Jun:全球第一個利用 Twitter 來辦公的小鎮,當地居民不論是報案、和醫師約診,甚至和政府官員聯繫,全都透過 Twitter。

荷蘭:
奈美根 (Nijmegen):這個該國最古老的城市採用由市民安裝在公共區域的低價感應器所構成的網路來即時監控空氣品質、噪音等資料。

 鹿特丹 (Rotterdam):該國第二大城利用水廣場與降雨雷達系統來解決該市淹水的問題。

 阿米爾 (Almere):荷蘭阿米爾市一個地圖上找不到的實驗性村落 ReGen (亦為「再生」) 希望打造一個自給自足的生活空間,當地居民靠著當地生產的蔬菜水果與家禽家畜還有太陽能發電來生活,完全不仰賴外界資源。

中國大陸:當地智慧城市廣泛採用行動應用程式來提供市政服務,從公共運輸、電力、到停車空間等等。

印度齋浦爾 (Jaipur):這個歷史悠久的城市利用智慧科技來優先解決交通運輸與觀光需求,目前已建構許多聯網資訊站來提供購物中心及停車空間資訊。

南韓松島國際都市 (Songdo IBD):這是第一個以國際商業城為目標並以科技打造的智慧城市。

日本橫濱:這個海港城市特別偏愛家庭能源管理系統 (HEMS),此外也利用太陽能板與電動車來減少二氧化碳排放。

新加坡:該國矢志成為一個智慧國家,並致力提升交通便捷與老年生活便利等等。

 

 

打造一個智慧城市需要些什麼?

全球超過半數 (54%) 的人口目前都居住在都會地區,但並非所有城市都稱得上「智慧」城市。國際標準組織 (International Organization for Standardization,簡稱 ISO) 與國際電工協會 (International Electrotechnical Commission,簡稱 IEC) 將智慧城市定義為「由眾多系統所構成的系統」,並藉由關鍵基礎建設的整合來提升公共服務,包括:能源、交通運輸系統、感應器網路等最新技術。智慧城市的設計,必須為市民帶來便利。絕大部分的智慧城市都利用網路化基礎建設來改善市民生活、提升都會開發、促進整體的永續發展。 Continue reading “南韓松島國際都市,日本橫濱,新加坡,荷蘭….看看全球城市如何變得更有智慧"

2017 年消費電子展:科技越聰明,安全越重要

今年1月5日至1月8日美國內華達州拉斯維加斯會議中心舉辦了一年一度的盛會:CES消費電子展。如同往年一樣,今年的展覽又再次讓我們一窺 2017 年及未來科技產業的最新技術和產品。根據我們的觀察,未來世界只有一句話可以形容:「越來越聰明」。

汽車產業在 CES 上的主軸之一是內建虛擬助理的原型車款

虛擬實境和擴增實境儘管已不再是今年展覽的主要重點,但仍未缺席。今年的產品並無革命性的創舉,不過可以看到針對先前的產品做了不少改進,最大的改變就是性價比的提升。在汽車產業方面則如 2016 年一樣,繼續開發出更聰明、更自動化的車款。有別於過去智慧汽車給人概念車的印象,今年的產品似乎多了一些實用的功能。汽車產業今年在 CES 上的主軸之一是內建虛擬助理的原型車款,進一步結合物聯網(IoT ,Internet of Thing)的生態體系。

談到虛擬助理,我想這將是未來居家裝置經常會出現的功能。想像一個智慧家庭,裡面從電視到吸塵器的每一樣家電都由同一個虛擬管家所管理。假使科技大廠的智慧家庭願景真的完全整合到虛擬管家當中的話,這是很可能會發生的事。 廠商推動智慧功能整合至今已有一段時日,而我們也慢慢看到一些日常家庭用品和家電開始具備智慧功能,如:烤麵包機和垃圾桶。

2016年出現第一個讓 IoT 安全問題浮上檯面的惡意程式: Mirai

駭客將利用 IoT 裝置發動更多攻擊,並從家庭物聯網轉向工業物聯網 (IIoT)

眼前的所有趨勢,讓人逐漸意識到一件事:智慧科技與物聯網(IoT ,Internet of Thing)終將成為人類生活的重要一環。但這其中卻牽涉到一個很大的難題:我們身邊的智慧裝置越多,我們就越容易因為這些不安全的裝置而遭受歹徒攻擊。

2016 年是 IoT多災多難的一年。可怕的 Mirai 惡意程式利用了數位錄影主機 (DVR) 和網路路由器發動了去年最嚴重的分散式阻斷服務攻擊 (DDoS)。Mirai 之所以受到矚目,並非因為它是第一個攻擊智慧型裝置的惡意程式,而是它是第一個讓 IoT 安全問題浮上檯面的惡意程式。

如同我們在「2017 年資安預測」報告當中所言,未來我們不僅將看到駭客利用 IoT 裝置發動更多攻擊,而且將從家庭物聯網轉向工業物聯網 (IIoT),帶來更大的損害。

未來世界將更加聰明,所以我們也必須更聰明才行

過去我們已經討論過擁有智慧家庭的風險,這些風險不僅今日存在,在可見的未來也同樣存在。雖然 IoT 目前在安全方面有一些真實而嚴重的漏洞,但這並不表示我們無法降低持有智慧型裝置的風險。只要 妥善保護家用路由器並定期變更密碼就能大幅提升智慧裝置生態體系的安全並防範攻擊。

CES 消費電子展一向是最新科技的展示殿堂,而眼前確實有許多很棒的科技正在等著我們。不過,安全必須跟上創新的腳步,尤其當智慧科技與 IoT 裝置大量普及時更是如此。未來,政府出面干預是可預期的,因此廠商應該將安全列為第一要務。就資安的角度而言,企業和消費者必須通力合作才能完全實現今年 CES 大展所擘畫的願景。

總而言之,我們正處於一個令人振奮的時代。

 

原文出處:CES 2017: Smarter Tech Highlights the Need for Better Security

如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?

家用網路的安全性跟保護企業邊界一樣重要,因為被駭的家用設備可能成為攻擊組織及公司資產的同伴。有弱點的家用網路不僅會影響到所有者和網路服務供應商,還會影響到連接的設備和儲存在上面的個人資料。

 

當有越來越多家庭使用智慧型設備來連接網際網路,路由器通常是唯一的守門員。無論使用者是筆記型電腦/桌上型電腦加上路由器,或者有其他設備會連接網路,安全風險都是一樣的。根據我們的研究,家用路由器最容易遭受跨站腳本(XSS)和PHP任意程式碼注入(arbitrary code injection)攻擊,還會被用來進行DNS放大(DNS amplification)攻擊。

智慧卻不安全的設備連上網際網路,就好像邀請看起來很有親和力卻心懷鬼胎的客人進入家門。只在閘道加上簡單的鎖並無法阻止它。根據最近對家用網路所進行的侵略來看,壞人們永遠可以找到方法破門而入。更糟的是,他們會感染這些設備,將它們變成接收指令進行網路犯罪的殭屍機器,就像最近對DNS服務商DynBrian Krebs所進行的攻擊,及在多個Netgear路由器內所發現命令注入漏洞。

 

後門程式,ELF檔案和 Mirai殭屍網路

家用路由器和物聯網(IoT ,Internet of Thing)設備通常都是使用Linux,因為它的普及性和具備的成本效益。但因為Linux的可移植性,開發在x86平台上的惡意軟體也可以在少幅度或甚至完全不修改原始碼的情況下就移植到家用路由器(通常是ARM或Armel)上。

家用路由器也可能遭受惡意應用程式、腳本和ELF檔案的影響。例如BASHLITE(趨勢科技偵測為ELF_BASHLITE)在2014年被用在大規模的分散式阻斷服務(DDoS)攻擊,最近經由感染物聯網設備(主要是巴西、哥倫比亞和台灣的網路監視錄影機DVR)來打造一個分散式阻斷服務攻擊 (DDoS)殭屍網路。還可能針對ARM、英特爾和相容x86和x86-64架構來感染隱藏的後門程式。這包括了Ring 3(也就是在使用者模式執行的)Rootkit,例如Umbreonvlany,它借用了另一個針對Linux的著名rootkit – Jynx2的功能。

圖1、Linux rootkit的安裝腳本節錄

圖2、vlany的範例程式碼,一個針對ARM系統的ring3 rootkit

 

Mirai(日語的「未來」,被偵測為ELF_MIRAI)相當特別,不單是因為它的複雜性(它使用預定義的預設憑證列表)。它的原始碼發布在駭客論壇上,讓其成為一個開放原始碼的惡意軟體,現被廣泛地利用和加以修改變得更強大。它的變種被用來將TalkTalk路由器變成殭屍機器攻擊高知名度的網站讓其斷線,如 Netflix、Reddit、Twitter和Airbnb。當Mirai殭屍網路攻擊德國電信所提供的90萬台家用路由器時,也導致了客戶服務中斷。 Continue reading “如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?"

可能攻擊物聯網 (IoT) 的駭客的五種嫌疑犯

誰會想要攻擊智慧家庭?原因為何?這麼做對駭客有何好處?由於物聯網 IoT ,Internet of Thing)裝置有別於 PC 和智慧型手機,並非全都採用相同的作業系統 (至少目前市場現況是如此)。然而這一點小小的差異,就會讓駭客更難以發動大規模的攻擊。除此之外,想要破解 IoT 裝置的安全機制也需要相當的知識和適當的工具。

近年來,資安研究人員早已證明智慧型裝置確實可能遭到駭客入侵。當初研究人員駭入這些裝置的用意,只是希望引起廠商們注意產品的安全性。

但就在去年,趨勢科技研究人員以實驗證明駭客確實能夠從遠端擷取智慧型車輛的資料,甚至篡改自動化油表的油量。為了降低傷害的風險,這些實驗都是在控制的條件下進行,但歹徒可就不會這麼體貼。

現在我們已知道 IoT 裝置有可能遭駭,那麼,歹徒駭入這些功能單純的家用智慧型裝置要做什麼?以下列舉了一些可能攻擊物聯網的非典型嫌犯,以及他們的動機和他們攻擊智慧家庭的機率有多大。

網路犯罪集團

Continue reading “可能攻擊物聯網 (IoT) 的駭客的五種嫌疑犯"

想送孩子智慧型裝置?家長先問自己這 8 個問題

聰明家長的物聯網 (IoT) 裝置購買指南

聖誕購物熱潮已經熱鬧展開,在歲末購物季來臨之前為家長提供相關的網路安全常識,並協助家長了解哪些聯網裝置功能可能遭駭客用來竊取個人資料和從事詐騙,為家中成員的上網安全把關。

Santa 聖誕節 聖誕老公公

趨勢科技兒童與家庭網路安全」(Internet Safety for Kids and Families) 計畫全球總監 Lynette Owens 表示:「我們提供這些資源的用意是要協助家長保護自己的家人,防範網路隱私及安全風險。今日孩子會接觸到的一些東西(如玩具、遊戲、應用程式)有越來越多都會連上網際網路並蒐集大量資訊。我們希望協助所有消費者對這些問題的認知,尤其是家中有孩童可能會受此趨勢影響的家長們。我們相信消費者若能多一分常識,就能多一分安全。」

2015 年,一家跨國性電子學習產品廠商因為遭到駭客入侵而造成資料外洩,駭客竊取了超過 630 萬筆兒童相關個人資料以及 480 萬筆家長帳號,此事件也充分顯示這類事件對兒童和家庭有多大影響。

趨勢科技提醒,家長在為家中孩童採購可連網的智慧裝置為佳節禮物時,請先思考並瞭解以下八大孩童資訊安全要點:

  1. 是否需要輸入個人資訊?您是否放心公開孩子的姓名、住址或個人照片
  2. 是否具備照相和錄影功能?您是否清楚這些資料會儲存在哪裡及還有誰可以查看這些資料
  3. 是否提供雙向通話功能?裝置能不能設定防止陌生人跑來和您的孩子聊天
  4. 是否用到語音或人臉辨識功能?生物特徵是每個人獨一無二的資料,萬一洩漏出去,就能用來辨認您孩子的身分
  5. 是否用到GPS功能?裝置是否內建安全機制來防止陌生人追蹤您孩子的位置
  6. 是否有可用來收音的麥克風?裝置是否會記錄聲音資料?裝置未使用時會不會還在持續錄音
  7. 是否可以收發文字訊息?是否可以過濾通訊名單,只允許您信賴的對象和兒童溝通文字訊息
  8. 是否將孩子的資料和活動記錄儲存在雲端?裝置所配合的雲端廠商是否讓人放心

除了以上快速的檢視之外,在為孩子採購今年的禮物之前,消費者還可先做一項小小的物聯網( IoT ,Internet of Thing)裝置安全知多少的互動式測驗來看看自己對 IoT 產品的了解有多少。此外,詳細的購買指南可提供更多資訊來協助家長認識智慧型玩具和其他連網裝置有哪些功能可能帶來隱私和安全風險,以避開網路犯罪集團針對歲末佳節所設下的陷阱。

iot-kid1 Continue reading “想送孩子智慧型裝置?家長先問自己這 8 個問題"

「快起來,你爸爸在找你。」總在夜晚出現的隱形人,竟是它…

從舒適到災難:智慧家庭的風險

我們真的要讓全世界的駭客連結到我們的廚房、空調以及其他家用設備嗎?尤其是我們的門鎖?

當原本應該為生活帶來舒適便利的東西頓時變成一場災難,該怎麼辦?

時間發生在 2015 年 4 月,美國華盛頓的一對夫妻陷入了一個令人寢食難安的狀況。好一陣子,他們的三歲兒子一直在抱怨有個隱形人會在晚上出來跟他講話。一開始,他們還一直叫小孩不要亂講,直到有一天他們真的聽到陌生人的聲音從他們兒子房間裡安裝的嬰兒監視器中傳出。

那個聲音說:「小朋友,快起來,你爸爸在找你。」

更令他們毛骨悚然的是,他們發現該裝置的攝影鏡頭竟然還會跟著他們移動,那鬼魂般的聲音接著說:「看看是誰來了。」

這只是眾多家庭物聯網(IoT ,Internet of Thing裝置遭駭的恐怖故事之一。

家庭物聯網裝置的設計都是以功能為優先考慮,其次才想到安全

人們應該要能安心地使用智慧型裝置,但今日的現況並非如此。今日家庭物聯網裝置的設計都是以功能為優先考慮,其次才想到安全。因此,當這些酷炫裝置上市時,經常暗藏一些消費者在購買當下考慮不到的安全風險。這不禁讓人懷疑,消費者是否真有辦法在興沖沖地將這些裝置帶回家之前,仔細想清楚它們的好處與風險。

駭客將知道屋主是否在家,或者他們監視的對象是否正在前往某處。當然,這些是較極端的情況,但卻一點也不誇張。

嬰兒監視器直播隱私

首先是隱私的問題。許多物聯網裝置都具備錄影和錄音的功能,或者會將影音資料傳送至雲端處理。萬一駭客有辦法攔截這些內容,那就能看到並聽到屋內的狀況。再回頭看看前述嬰兒監視器的案例,由於駭客找到了裝置的軟體漏洞,因此就能將這些原本讓家長隨時關心兒童狀況的裝置變成現成的監視器材。

iot

語音助理蒙上監聽陰影

某些物聯網裝置 (如自動化語音助理) 會隨時等候使用者下達語音指令,然後將語音內容傳送至雲端處理,並在幾秒之內做出回應。過去已發生許多關於這類裝置傳送過多語音資料的爭議Continue reading “「快起來,你爸爸在找你。」總在夜晚出現的隱形人,竟是它…"