如果不出意外,今年黑帽大会上所提出的物联网安全问题,在不久的将来会得到更多关注。
在未来几年,数以亿计的设备都有望连接到互联网上,也就是这所谓的物联网(IoT),它激起了一场数据生成和共享的革命。然而目前还比较模糊的是,那些生产出新的连接到网络的设备厂家是否有考虑到安全性。
在2014美国黑帽大会上,各方面研究人员都谈到了与物联网有关事物的安全问题,包括容易被破解的汽车、智能恒温器和卫星通信设备。
安全行业的大师级人物Dan Geer(In-Q-Tel公司的首席信息安全官),用一个警告为会议定下了基调:由于一大波连入网络的新设备来袭,互联网的攻击面正在扩大,所以我们必须做一些准备。正如Geer过去所做的那样,他这次强调了那些大量推出IoT设备的公司应该选择是否定期对嵌入系统打补丁,而且除了补丁支持之外,需再为这些设备创建一个报废日期,也就是他们基本停止运作的时间,这些都是非常有必要的。
Geer还指出,当谈及对“软件商业成功”的理解以及当一个攻击者想要攻击某个产品,对于这些成功软件来说又会发生什么这样的问题时,他宁愿聘请一些“更悲观但是更聪明”的安全专家。但是即使是Geer,一位在安全行业诞生时就进入该行业的专家都感到要被物联网压倒。
Geer说:“没有人经历过我们现在所谈到的这样大规模的失败。当你将所有事物相连接时,没有人知道会发生什么。”
一切都可以被破解
从Geer的主题演讲中得知,黑帽大会的研究人员几乎可以破解我们所能想象的所有事物。
首先,Twitter公司的Charlie Miller和IOActive公司的Chris Valasek展示了如何用计算机操作系统控制一辆现代汽车上几乎所有的操作,从刹车到方向盘到引擎。Valasek在CNN的一个采访中表示,机动车面板上就有一个网络,如果这个网络被攻击者破解,那么他们就可以“从任意程度上模拟操作车上任何一个设备”。
举例来说,这两人展示了如何让一辆低速移动的车伪装成是机修工在修理制动器,这是当车的制动器坏掉不能运作时才能采取的操作。另一个黑客让Valasek作为乘客,当Miller正在以40英里/小时驾驶时,Valasek突然将车的方向盘完全向左打,其实这也是车在停止或以非常低的速度运行时,才可以做到的事情。
研究人员还发布了一项研究成果,确定了目前一些主要的汽车制造商,包括本田、道奇和宝马,所存在的攻击面。与此同时,2014年吉普?切诺基被认为是“最容易被破解”的车型。丰田——黑客攻击的制造商之一,提供的一份声明中谴责了像Miller和Valasek这样的研究者,丰田表示这些研究者需要到汽车上去实际体验,部分拆解汽车的面板,为黑客问题保持一个硬性连接。福特(另一家在演示文稿中被强调的制造商)的一位发言人表示企业会非常重视汽车设备的黑客攻击问题。
Miller和Valasek强调,他们的研究目的不是为了剥夺汽车上所提供的计算机系统和功能,而是想突出问题所在,希望制造商能够解决这些问题。
Miller在CNN的采访中说到:“汽车设备网络化是给我们的生活提供了便利,满足了我们的需求,但是这些设备的漏洞都是严重的问题,我们想要在这些问题变成实际的问题之前,解决掉这些麻烦。”
一方面,Miller和Valasek展示了地面交通可能遭受到的攻击;另一方面,其它研究人员展示了空中交通的危险性。
Qualys公司危险情报的主管Billy Rios,首次透露了对于攻击者来说,破解美国运输安全管理局安置在全国各地机场的安全设备是多么简单的事情。特别的是,Rio发现像Rapiscan和Morpho这样的制造商经常在产品中设置了技师账户和相关的硬性连接密码。
就Morpho Itemiser这个产品而言,它是一台检测爆炸物和毒品的扫描仪。Rio发现该设备依赖一个技术员级别,硬编码的密码,如果改变了账户或密码就会破坏机器的功能。Rio指出,有几种方法可以进入这个机器,包括通过组织接入互联网的工资管理系统。
Rios说根据他和Terry McCorkle的研究结果,美国国土安全部7月发表了一篇公告,警告包含了硬编码凭据并可以被远程操控的Morpho Itemiser 3v 8.17设备。Morpho公司的一个代表在黑帽大会上表示老版本Itemiser所存在问题,会在今年年底通过替漏洞打上补丁而解决,而且公司会重视产品的安全性。虽然Rios还是质疑新的Itemiser DX是否能解决安全问题,但是他没法购买包含类似漏洞的产品来进行研究。
Rios强调,美国运输安全管理局(TSA)以后需要以更严格的安全标准来衡量供应商的产品。
Rios在黑帽大会演讲时说:“美国运输安全管理局(TSA)有足够权力让事情往正确的方向发展,而且他们也有责任这么做。”他还补充道,他自己只是一个拥有一台笔记本,而且没有预算的研究者就可以做到这样的地步,这意味着每个人都可以为物联网安全作出贡献。
而且编码的凭证不仅仅只是影响地面上的安全,正如IOActive的首席安全顾问Ruben Santamarta所指出的,飞机上的卫星通信(SATCOM)、军事/航空航天工业与轨道卫星沟通时也存在类似的问题。
事实上,Santamarta以前还就这个问题发布了白皮书,发现他所研究的五个制造商的产品中都存在硬编码凭证,包括Cobham Plc.、Harris公司、EchoStar公司的Hughes网络系统, Iridium Communications公司和日本无线株式会社。硬编码凭证将让卫星通信装置给恶意攻击者提供潜在的操控可能性,如Cobham AVIATOR 700设备,其用于飞机上的通信、乘客在飞机上使用的wifi。Santamarta说Cobham公司的一个代表告诉他,他们的设备只有可能在两种情况下受到攻击,一种是有人物理访问该设备,一种是网络没有正确安装。
然而,Santamarta还是提出警示,他认为虽然不能肯定黑客会真正攻击这些设备,但是他仍旧希望看到生产商能够解决这个问题。
Santamarta说:“事实上漏洞还在这里,所以有可能被攻击,也可能不被攻击,但是归根究底有些东西还是应该被完善。”
呼吁采取行动
虽然黑帽大会的黑客行为有时被描述为华而不实,但是惠普近期发布的一项研究提供了一些关于物联网安全问题的数据。根据调查结果,物联网70%的设备都存在易受攻击的漏洞;使用用户界面的60%设的备都存在如跨站点脚本和弱凭证这样的漏洞;只有70%的设备都使用了加密的网络服务。
这些数据都已经明确地将安全行业放在了准备进攻的位置。而安全行业的领导人物之一就是Sonatype公司的首席技术官,也是I Am The Cavalry组织的共同创办人Josh Corman。I Am The Cavalry组织专门保护可能影响公共安全或人类健康的设备和系统。
不久之前,I Am the Cavalry组织给汽车制造商,还有Miller和Valasek这些研究者发了一封公开信,呼吁汽车行业和安全研究员之间的合作。信中还提出了五点安全最佳实践清单——Five Star Automotive Cyber Safety Program,供生产商去完善。这封信作为一份请愿书被张贴在Change.org,至今收到的签名超过300个。
Corman说他希望安全行业可以继续和各厂商还有华盛顿的政客合作,以确保物联网的安全。
Corman在接受卡达尔半岛电视台(Al-Jazeera America)的一个采访中讲到:“我们正在试图达到一个目标:让设计、构建和部署数字基础设施的人们都能够更加自觉地考虑到目前所做的事情对人类生活会造成的影响。”