Botnets of Things 僵尸物联网

撰文:杨 帆

突破技术

可以感染并控制摄像头、监视器以及其他消费类电子产品的恶意软件,可造成大规模的网络瘫痪。

重要意义

基于这种恶意软件的僵尸网络对互联网的破坏能力将会越来越大,也将越来越难以阻止。

技术成熟期

现在

主要研究者

-Mirai僵尸网络软件的创造者

-任何使网络有安全隐患的人——其中有你吗?

这是黑客史上新的一页。

2016年10月21日清晨的美国东海岸,平静得就像人们以往生活中的任何一天。上班族们像往常一样从睡梦中醒来,像往常一样吃过早饭,像往常一样拖着仍有倦意的身体前往办公室,像往常一样打开计算机,却惊讶地发现自己往常使用的网站大大咧咧地显示着“无法访问”。而还打着瞌睡、一脸懵懂的白领们中,大概很少有人意识到自己正在经历一场世界级的大规模网络瘫痪,而即使是少部分意识到发生了什么事的人,也绝对无法想象这次可能创纪录的网络瘫痪所造成的巨大后续影响。这一次的黑客攻击行为是如此划时代的,完全改变了人们对网络攻击的现有认识。可以说这次网络瘫痪犹如一个巨大的霓虹灯标语,插进了人类科技史的洪流中,向所有的人宣告着:黑客攻击的历史掀开了新的一页。

据被攻击的Dyn公司描述,当天第一波DDo S (分布式拒绝服务)攻击从早上7点开始,至9点20分Dyn公司解决了这次攻击。紧接着, 11点52分第二波攻击袭来,下午4点后黑客又进行了第三波攻击。尽管Dyn公司极力抵抗并努力修复,但仍然有包括推特、亚马逊、BBC、CNN、Airbnb、Github、Spotify、Paypal等众多知名公司受到波及。这是因为Dyn公司的主要业务是DNS(域名系统)管理。众所周知,DNS系统是因特网的重要一环,缺少了DNS,用户将无法获取网站服务器的真实地址,这也就是为什么针对一个公司的攻击会波及如此多的重要网站。

尽管有关方面指出这次的黑客攻击很有可能是目前为止世界范围内最大的一次DDo S攻击,高峰数据流量达到了惊人的1.2TB/s,但是单从这一点出发仍然无法产生如此巨大的影响。毕竟我们生活在一个网络多元化又开放地时代,摩拳擦掌的黑客们几乎每隔一段时间就会炫技般地跳出来彰显自己的存在。

而真正让这次黑客攻击载入史册的原因,是在这次攻击中第一次出现了以物联网为主的僵尸网络(Botnets)。报告指出,有证据显示黑客在这次攻击中使用了包括打印机、网络摄像头、家庭网关甚至婴儿监控器等物联网设备作为僵尸网络的攻击平台。

提到Botnet或中文名“僵尸网络”,在今天其实已经不算是新闻了,早在2004年年初,就已经出现了第一起大规模使用Botnet作为攻击手段的黑客行为。目前已知的第一个僵尸网络病毒“Bagle”的作者这样写道:

2016年10月21日的Dyn攻击事件中,美国本土的网络大面积中断服务

“Greetztoantiviruscompanies

Inadifcultworld,

Inanamelesstime,

Iwanttosurvive,

So,youwillbemine!!”

“问候你们,杀毒公司们

在一个不同的世界,

在未名的一刻,

我要生存,

为此你们都将属于我!!”

别看这样的自我介绍显得木讷,当年的“Bagle”也确实具有相当的实力。“Bagle”侵占目标Windows系统后,会使用病毒开发者的SMTP服务器向大量的目标发送含有以病毒本身作为附件的邮件,而一旦有目标系统用户打开附件,系统就会被迅速攻占并在病毒的挟持下继续向更多的目标发送病毒邮件,导致病毒呈指数级大规模地传播。这也是直到今天各大邮件提供商仍然建议用户不要打开陌生邮件的附件或链接的原因。

这就是僵尸网络主要的特点,即僵尸网络的操作者用病毒程序侵入他人的网络设备,利用C&C(命令与控制)软件,可以使众多被感染的设备完成多种一般难以使用单一设备完成的操作,如Bagle大规模发送病毒邮件,形成指数级的传播,又如DDo S能大规模发送DNS请求,导致服务器瘫痪。不过,僵尸网络病毒自诞生以来,一般选择在个人计算机以及企业主机平台间传播,而在这次黑客攻击中首次亮相的基于物联网设备的攻击方式,也把这种已经诞生十几年的“古老”手段升级到了一个新的层次。

那么为什么加入了物联网的黑客攻击会产生这么大的影响呢?这要从物联网本身说起。

物联网或许是当前IT领域最有融资潜力的几个互联网关键词之一。作为已有的因特网的延伸,物联网旨在把网络从传统的人与人之间的网络拓展到人与物的网络以及物与物(M2M)的网络。不仅使个人可以更方便地获取身边的多种信息,操控联网的设备,还可以在没有人为干涉的情况下将设备与设备之间建立关联,根据从物联网上的传感器或其他输入设备获得的信息,智能高效地运作。按照Cisco公司的预测,到2020年世界上将有501亿台物联网设备联网运作[1],那么地球上每人平均会接触到10个左右的物联网设备。考虑到世界人口的分布并不平均,在发达地区平均每个人将能接触到几十个甚至上百个物联网设备。

在这些设备中,智能停车场的设备可以实时帮助车主找到车位;智能办公的设备可以改善工作环境;智能家居的设备可以防火防盗;智能建筑可以调节能量消耗,节约能源;智能工厂的设备可以监控操作参数,协助工业4.0;智能城市的设备可以帮助人们合理调控市政,管理城市的交通、照明、垃圾清理等。更多的例子无法一一列举,可以说物联网即将、甚至已经开始全面进入了我们生活的方方面面。在这样的情况下,我们也就不难理解为什么这一次的黑客攻击看似与往常类似,却在随后的报道中掀起了如此巨大的恐慌——它的攻击不仅影响到网络本身,更是将网络攻击延伸到了我们的生活环境,一个由物联网组成的生活环境。试想在不久的将来,使用数以百亿计的设备对目标发起黑客攻击的情景,到那时被挟持的物联网设备将迅速攻克任何由操纵者指定的目标服务器。

更可怕的是,将来物联网设备被挟持也就意味着物联网上众多的隐私数据将非常容易地被获得。想象一下,某个恶意的控制者将可以通过众多的物联网设备掌握人们生活的方方面面,能知晓一个人的从上班时间到睡眠习惯等信息,也能控制从城市的交通灯到工厂生产等城市设施。那将是一个令人更加绝望的情景。

接下来我们会花一点时间简单讨论僵尸物联网的产生及现状、物联网时代的安全困境及针对物联网设备可能存在的劫持方法、恶意软件利用僵尸物联网盈利的可能性,以及对未来的展望。

僵尸物联网的过去与现在

僵尸网络并不算是最新的技术,然而在与物联网的结合下,僵尸网络重新获得了活力。现在我们回过头来,再梳理一下僵尸网络是如何发展到今天的。既然僵尸物联网算是一个新词,我们就从两个方面来看:僵尸网络和物联网。“僵尸网络”(Botnet)一词是由“机器人”(robot,通常指病毒机器人)与“网络”(network)两个词组合而来的,也形象地表明了这一技术的特点,即大量的恶意病毒机器人组成网络。僵尸网络指的是一定数量的拥有互联网连接的设备被僵尸网络拥有者所控制、操纵,从而执行一系列的任务。僵尸网络可以用来执行DDo S(分布式拒绝服务)、窃取数据、发送垃圾邮件以及使攻击者接触到被攻占设备的信息及其网络连接。攻击者通常使用C&C(命令与控制)软件掌控僵尸网络。

一个典型的僵尸网络一般包括以下两个部分:C&C(命令与控制)和僵尸计算机。

命令与控制系统指由那些为恶意软件(特别是僵尸网络)服务的服务器以及其他相关设备所组成的系统;僵尸计算机指的是被恶意软件入侵、连接到网络、可以被远程控制用来作恶的计算机。在僵尸网络中,僵尸计算机被命令与控制系统利用来大量发送垃圾邮件或发起DDo S攻击。而大多数僵尸计算机的真实拥有者并不会意识到他们的计算机已经“背叛”了他们。

命令与控制系统既有可能是在恶意软件的操作者的设备上运行,也可能是在被攻击侵占的设备上运行。真正实施黑客攻击的命令与控制系统普遍使用大量的DNS代理、P2P网络结构、分布式命令方式、网络负载均衡及多次代理跳转等方法增强系统面对反病毒软件的抵抗性和面对调查的隐蔽性。不仅如此,这些服务器通常也会在多个DNS域名之间快速转换,不断改变自己的实际地址,令受害一方往往非常难以确定命令与控制服务器的来源。

经过多年与僵尸网络的对抗,网络安全的专家们也破解了多起僵尸网络袭击。根据早期命令与控制系统的特点,破解的方法大多集中在找到并切断与命令与控制系统服务器的链接,拒绝可能是命令与控制服务器的访问。

为了再反对抗这些对抗措施,新一代的命令与控制系统普遍不再使用单一服务器架构,转而通过IRC通信协议或Tor匿名通信协议等,建立点对点(P2P)系统架构,就像我们常用的下载方式,不再是从单一服务器获取指令,而是可以将多个设备作为指令来源。这样做的结果是从此命令与控制系统不再依靠单一服务器来运行,即使反病毒一方打掉一个或多个命令与控制设备,整个系统仍能正常工作,大大提高了生存能力。

我们举一个使用僵尸网络恶意攻击的例子来说明典型僵尸网络的攻击模式。

1.黑客通过购买或自己开发木马病毒或开发工具,使用这些病毒或软件来感染其他用户的计算机,这些感染计算机的软件就叫作“病毒机器人”(Bot)。

2.这些病毒机器人通过被感染的计算机链接到特定的命令与控制在线服务器。至此,病毒机器人的控制者已经可以查看或操纵被感染的计算机了。

3.此时控制者就可以根据其需求进行各种网络破坏行为,包括监控用户的输入输出来盗取密匙、使用被感染的计算机发起网络攻击,或是出售控制权及用户信息来牟取利润。

4.根据需求,控制者可以增加或减少被感染计算机的数量。

僵尸网络容易产生规模巨大的攻击。从2004年年初的第一次大型僵尸网络攻击开始,僵尸网络以平均每年3次的大型攻击的频率不断出现在网络安全的舞台上。感染的规模从十万一级一直到千万一级的数量。

物联网是物理设备、车辆、建筑物和其他物品的网络,在系统嵌入了微处理器、软件、传感器、驱动器和网络连接,使这些设备之间能够互相收集和交换数据。2013年,物联网全球标准计划(Io T-GSI)将物联网定义为“信息社会的基础设施”(the infrastructure of the information society)。物联网允许物体通过现有的网络基础设施远程观测或控制,提供了将物理世界更直接集成到基于计算机的系统的平台。物联网除了能提高整个物理世界的智能化水平、减少人力劳动之外,也能提高效率、准确性和经济效益。

物联网的典型应用包括智能电网、智能家居、智能交通和智能城市等。每个设备都使用通过其嵌入式计算系统实现独一无二的身份、地址信息,能够在现有的互联网基础设施内进行互操作。

典型的物联网节点设备有以下一系列特征。

1、由于物联网设备多需要在远离电源的位置工作,因此大部分的物联网节点设备都采用电池供电。

2、受限于体积和电池的电量寿命,物联网设备需要将功耗大幅度降低,并长时间处于休眠状态,周期性地运行或给予系统反馈,来延长依靠电池的使用时间。

3、为了将功耗降低,物联网设备往往选用低端微控制器(MCU),运算速度慢,内存容量与闪存容量都较小。

4、因为存储空间的限制,物联网设备无法支持过于庞大的系统和软件。

5、由于仍处于发展的初期,物联网硬件系统缺少专门针对物联网开发的芯片,低端微控制器并不一定包含硬件加密等安全手段。

为了使2020年之际所有的501亿台以及未来更多的设备同时联网,并实现不同网络间的互相联通,大多数的物联网设备都支持新一代IPv6协议。IPv6协议将逐步取代现在已经地址不足的IPv4协议,成为未来网络的主流协议。按照协议的设定,IPv6理论上至多可以提供3.4×1038个地址给联网的设备。在这些地址的支持下,物联网的所有设备都可以直接地通过网络联通。

物联网时代的安全隐患

说了这么多,现在我们来详细梳理一下在使用物联网的过程中到底有哪些容易被利用的安全隐患。

安全隐患的来源

前面我们已经比较详细地介绍了物联网的特点,也给出了若干个可以使用物联网的情景。现在我们再从另一个角度了解一下物联网的哪些关键点会给我们带来安全上的隐患。根据物联网的结构,我们知道攻击的主要来源有以下3种。[2]

1、恶意的物联网用户。这类用户通过正常渠道购买或获取物联网设备,使用拆解、实验、测试等手段来寻找设备的弱点或可以被利用的缺陷。在找到可以恶意使用物联网设备的方法后,恶意的物联网用户可以利用这些漏洞攻占其他用户的同一种设备;逆向获取生产厂商烧录在设备中的信息,如安全协议的公匙,或是转手出售这些安全漏洞的信息。

2、不良设备生产商。这类生产厂商会在所生产的设备中蓄意留下漏洞或是之后可以被利用的缺陷,然后利用这些漏洞和缺陷盗取用户的信息和数据,根据网络情况甚至可以盗取在同一网络下其他厂商的设备信息。除了使用户的隐私和安全受损之外,也可以把“锅”甩给其他生产商,用以诋毁其他生产商的名誉。

3、心怀不轨的第三方。这类人并不在物联网的系统内,也没有系统的权限,我们一般说的黑客就属于这一类。他们往往会通过各种手段搜集、获取物联网上的信息,阻止数据的传输,甚至操纵外部的信号干扰来扰乱发送的数据。他们的目的多种多样,有的是为了获取信息,有的仅仅是为了破坏系统的正常使用。

物联网攻击的方法论

对物联网形形色色的潜在攻击方式,我们把它们根据载体分成以下几类。

1、设备拆解。物联网的设备通常都是小型的嵌入式系统,它们的具体应用决定了其在大多数情况下都处于随手可得的地方(如智能灯光的设备多数紧邻灯光控制开关),这使得它们很难确保在无人看守的情况下保持完备。一旦这些设备落入黑客的手中,它们将相当容易被破解,黑客可以查看用户的应用信息、重新烧录软件、改变硬件。这样一个被破解的设备可以被放回原有的网络中,为黑客带来更有价值的信息,或者更直接——被永远窃取。[3]

2、信息泄露。是指把信息透露给本不具有权限的利益方。其中有意外泄露、有针对目标信息的袭击,以及根据其他信息的相关性推理。黑客通常可以选择窃听特定的网络频道,从硬件拆解中获取,或是通过网络入侵。

3、隐私疏漏。与上面的信息泄露不同,隐私疏漏往往并不都依靠系统漏洞或接触权限。实际上,由于人们在物联网时代之前对隐私保护的警惕性不高,黑客很多时候可以通过非加密的信息分析推测出用户的一系列隐私信息。而专业黑客也可以通过其他用户的信息来源和数据流通的分析来做出判断。[2]

4、拒绝服务。是指当用户需要用到物联网的某些服务时,这些服务无法使用。不要与之前的僵尸网络中的分布式拒绝服务搞混,这里特指物联网上的服务无法使用。相比前面几种情况,拒绝服务的方法众多且相对容易。[3]

5、窃取密匙。是指使用其他用户的密匙进入其他用户的加密的物联网设备。密匙的获取方式不限,如来源于钓鱼网站。

6、权限提升。是指恶意用户通过虚假的高权限来接触本不属于其权限范围内的服务和利益。

7、虚假数据。有时为了干扰物联网系统的某些服务的正常运行,黑客会设法干扰或操纵传感器数据,如电磁波或物理手段的干扰。

8、间接方法。基于一系列对公开信息的分析从而得到加密信息的方法。比如黑客可以监控网络、执行特定命令的时间、特定命令的能量消耗、数据流量、电磁信号的变化等技术手段,来揭示加密的信息。

针对物联网攻击的潜在危害

为了更加清晰地认识使用物联网网络攻击的严重性,笔者认为有必要指出一些常见情况下针对物联网的攻击可能造成的危害。同时也因为我们主要在讨论具体的技术可能性,对于很多人来说并不太容易理解这些安全与隐私隐患对用户有哪些影响。现在让我们暂时抛开技术细节,从具体应用的角度来审视安全与隐私问题,看看哪里需要我们重视。[2]

驱动器

在物联网词汇中,驱动器的作用类似于计算机中很多对特定任务的控制操作。在物联网的世界中,所谓的驱动器可以被网络中的用户通过一定的信号远程操纵,或通过现实中的开关操纵,用来控制其他物联网系统以外的设备。

安全方面:针对驱动器的恶意攻击会在几个不同方面带来危害。在能源管理中,如果驱动器被黑客入侵并在未授权的情况下更改能源开关,会造成能源损失,进而造成经济损失。在更加严格的能源使用场景中还会因为能源消耗过多或不足造成更多问题,如冰箱或恒温温室。在智能汽车领域,这种攻击造成的后果更为严重,比如对汽车油门刹车的控制攻击可能危及车辆驾驶人员的生命。更为极端的情况,比如在智能医疗领域,驱动器很可能被用于控制药物注射等,黑客的攻击将非常容易引起医疗事故,造成致命的伤害。

传感器

传感器是物联网中的重要组成部分,作为整个系统大部分数据输入的来源,可以说整个物联网系统的运行和服务都必须依靠不同传感器的数据作为依据。

安全方面:正如前文所说的,传感器收集的数据很有可能会成为黑客攻击的源头之一。比如通过物理方法操纵数据,可能会对网络造成意想之外的破坏,或者造成物联网其他设备的异常行为。在能源管理应用中,驱动器会因错误的传感器数据而执行错误的命令,在错误的时机意外开启或关闭,这样一来会造成与上文讲到的类似的结果,直接或间接地造成经济损失;但这种情况下至少用户不用操心泄露大量的信息。然而在智能医疗使用场景中,虚假传感器数据将对病人造成错误诊断,随后使用不恰当的应对方法,很容易造成过敏反应甚至致命的严重后果。[4]

隐私方面:这里我们需要着重讨论,因为在很多情况下,传感器的数据汇总起来可以很容易地推导出使用者的很多习惯,有一些甚至连使用者本人也不一定会意识到。物联网比你更了解你自己,但你却不想让黑客也比你更了解你自己。举例来说,在能源管理情景中,黑客可以通过传感器的数据,推算出使用者出门离家的时间、晚上入睡及早上起床的时间、根据能量消耗对比特定设备的能量签名(耗电设备工作时产生的独特能量消耗曲线)来推测使用者在使用哪些电器。在智能医疗情景中,传感器的数据可以直接转换成病人的病情、治疗的阶段、治疗的效果等。

RFID(射频识别)标签

RFID(射频识别)是一种广泛用来识别设备身份的技术,通常由两部分组成:RFID阅读器和RFID标签。RFID标签是一种被动的身份标签,如今被广泛附加在各种设备上,而标签中的身份ID可以通过RFID阅读器来读取。RFID的推广在很大程度上是因为它们方便好用、价格低廉,而且被标签的设备不需提供额外的电力或数据连接。然而RFID在安全和隐私方面却让人充满疑虑。

安全方面:正是由于RFID简单的结构,导致它们很难为专业的安全机制提供足够的支持。比如,只要处于同一个标准频率,任何人都可以轻易用阅读器读取任意设备的RFID标签并获取其中的身份信息。因此,为了方便设备识别所开发的技术很可能会造成信息的外泄。在智能汽车中,黑客可以使用改造过的阅读器在较远的位置读取使用者与汽车之间的通信,有些通信内容则可以被用来破译加密密匙,导致汽车被盗。[5]

隐私方面:RFID的一大特色应用是追踪被标签的设备,因此在黑客攻击的情况下可能造成严重的地理位置隐私泄露。在智能医疗中, RFID标签可以与病人的电子病历结合,因此RFID信息外泄也就意味着病人的病例及医疗系统的信息都有被破解的危险。[5]

网络、NFC(近场通信)以及因特网

物联网设备依靠网络连接在彼此之间通信。根据具体应用的不同,通信协议之间也有很多区别。同样,它们的安全协议与隐私保护政策也不尽相同。

安全方面:由于物联网的规模巨大,在同一个应用中使用多个生产商的设备平台几乎是必然的,不同平台间通信协议的安全协议也不同,这本身就增加了潜在漏洞存在的可能性。进一步来说,物联网设备大部分都将使用无线网络来通信,这也增加了网络被恶意攻击的风险。如果黑客已经入侵了特定的网络频道,将可以轻易地获得几乎所有的通过网络传输的设备信息和数据。在很多情况下,如两辆智能汽车通过网络交换位置信息来规避对方时,这类攻击将可能导致两车相撞。

隐私方面:网络是物联网设备之间传输数据的主要方式,因此也是隐私泄露的重灾区。比如在智能汽车使用临近数据节点下载本地地图及交通数据时,黑客可以通过这些信息知晓使用者的目的地、汽车状态等。而且由于智能汽车往往集成一系列电子设备,黑客可以通过监控网络信息来了解使用者的很多其他信息,如歌曲列表或中意的电台等。

物联网时代的安全防范及隐私保护

当然,前文所述的各种安全和隐私方面的隐患,绝不是想阻止物联网设备的普及和发展。我们应当明确,在智能化的道路上物联网是非常有必要也是相当重要的一环。因此,我们想着重从行业的发展以及赢取用户的信任角度,总结一下为了达到对安全和隐私有所保障的物联网产品究竟应该满足哪些要求。

安全特性

物联网中的所有安全特性的最终目标都是为了保证用户的保密信息不被泄露和保证物联网本身不被恶意攻击侵入。具体到实际问题,物联网提供方应在产品中努力做到提供以下安全特性。

1、物联网中的设备应当杜绝被非授权方破解、重新编程或丢失信息的可能。物联网的设备必须在可能存在的物理恶意攻击以及拒绝服务下始终保持自身的绝对安全,在此基础之上保持整个系统的安全信息与用户的数据,同时又不影响用户更新设备的驱动程序等正常操作。

2、物联网中的设备必须有被保护的存储空间,用来存放加密的用户信息与系统信息。比如ARM芯片中集成的Trust Zone硬件安全模块。

3、物联网的每一个设备都应内嵌一个完整的访问控制机制,用以防止设备被未被授权的恶意一方访问,进而成为进攻整个系统的漏洞。在传感器或是驱动器等物联网设备上实现这样的访问机制可能会比较困难,因为这类设备普遍只有非常有限的内存容量。然而我们仍然认为所有的物联网设备必须有一套访问机制,因为一旦一台设备的访问被黑客突破,整个网络的信息都会面临泄露的危险,就像前文所讲的那样。[6]

4、应该保证用户和物联网之间交换数据的安全,以保持系统的完整性和保密性。如果数据的完整性被破坏,则意味着系统的正常运作被中断,将可能导致对用户的财务甚至人身损害。[7]

5、应采用识别和授权机制。只有授权的实体可以访问具有读写权限的物联网设备。理想的物联网设备需要拥有识别系统中的其他设备的能力,即拥有能够识别假冒者的能力。比如驱动器、传感器、RFID及网络。

6、整个系统必须在使用正常范围的参数情况时保持正常运作。除此之外,还需在恶意用户执行某些异样的行为时能够及时调整、适应,比如对设备的物理损坏,而且对手所造成的损害对系统运行的影响必须尽可能小。

7、在最坏的情况下,当系统中有物联网设备已经被黑客攻占时,整个系统应具备对于可能不再信任的设备一定的识别能力,比如当一个设备在本应该周期性更新数据时中断,或是暂时从网络中断开,则系统有理由怀疑该设备有可能已经不可被继续信任。相应的措施包括不再向该设备发送包含保密数据的通信,以及向使用方汇报可疑设备,直到有理由认定该设备已经被“消毒”为止。

8、与上一条相关的,系统提供方应当具有对所有设备是否被黑客攻占的诊断机制,以决定该设备是否可以继续在网络中使用。通常来说,只需清除所有数据并重新编程即可。然而当面对包含针对开发者的木马或是用户机密数据的情况,仍然需要谨慎。

隐私特性

介绍完安全特性后,我们接下来介绍一下物联网应提供的隐私保护特性。[8]

1、在用户和物联网设备之间交换的数据应该被保护,以使攻击者即使窃听通信也无法推断出关于用户的信息。攻击者不应通过推断获得任何关于用户的使用特定应用的时间、用户的身份或任何其他敏感信息。

2、物联网设备之间交换的消息不得泄露用户的身份或个人信息。

3、来自设备的信号必须以保护隐私的方式发送,以便不暴露设备的功能,因为这些信息可以被用来推测关于用户应用的信息。

4、物联网设备应该仅仅在绝对必要时保存个人用户信息的记录,而即使是在这种情况下,设备也应该只保存有限的时间。

5、物联网系统只应收集不会暴露用户的个人信息的数据,如整合后的数据。具体来说就是保存建筑物中的人数的记录,而不是与他们的身份相关的数据,如姓名、身份及视觉图像。

6、应该让用户知道正在捕获数据的内容和时间。

7、用户必须能够安全地从设备中删除所有的私人数据,比如在设备要转售时。

黑客使用僵尸物联网如何牟利

在讲完用户和生产商角度的情况后,我们换一个角度,设想一下使用僵尸物联网的黑客如何用这类技术牟取经济利益。

以前僵尸网络的一大使用方法是制造所谓的“点击欺骗”。点击欺骗的目的是让广告商误以为很多人在点击、阅读他们的广告内容。制造点击欺骗的方法有很多,最简单的通常就是将谷歌广告的广告插入到黑客名下的网页中。因为谷歌广告会根据广告被浏览和点击的次数来给予网页拥有者相应的报酬,所以这时黑客只要调动自己控制的几百万台设备轮番点击,钱就到手了。

而由于物联网的加入,同样的情况下黑客可调集的设备将呈几何数量增长。同时,未来的更多公司将开展基于点击量或浏览量的报酬机制,这类网络欺诈行为将会一而再再而三地出现。

类似地,很多垃圾邮件过滤功能都依靠能识别出每天群发大量邮件的计算机,进而屏蔽这类计算机的邮件。而使用僵尸网络则完全避开了这类垃圾邮件过滤功能,因为邮件不再由同一台计算机发出,而是分散到了几百万台设备上。

黑客可以利用僵尸网络庞大的设备数量和分布式计算能力,更快地破解密码,入侵多种在线账户、比特币挖矿,或是做任意一种需要大量联网计算机能做的工作。

这也是僵尸网络被认为是“三大生意”之一的原因。

迄今为止我们所见到的大都是DDo S攻击,如本文一开始所举的Dyn的例子,可能就只是因为Dyn惹恼了一些黑客。

然而更多的黑客团体将被经济利益驱使加入。不良政客会利用僵尸网络来关停其不喜欢的媒体新闻。这类攻击在将来势必成为网络安全战争中重要的技术手段。

未来展望

我们可以断言,物联网在未来几年会逐步加快部署和扩大联网规模,完成初步的先行热门应用建设。在这些数以百亿计的新鲜的网络设备投入使用后,僵尸网络这一攻击形式将乘着这股风头达到一个新的高度。

现在市场上已经出现了针对物联网而设计的安全软件以及隐私加密服务[9,10]。然而在真正的大规模攻击开始之前,很难说这些软件和服务能发挥多少效力。毕竟物联网服务面临着我们从未面对过的大量信息的产生、加密、传输、应用以及存储,而物联网本身的特征又无法调用无限的资源和处理能力来保护每一个环节。

很遗憾,但是就现在的情况来看,在与僵尸物联网的攻防战中,黑客的攻击一方有更多的优势。我们有理由相信,类似对Dyn的攻击,利用物联网作为载体的攻击模式不会是个例,更多的攻击将会出现。

最后,我们不应感到失落,毕竟所有新技术的发展和应用都会伴随着恶意的破坏和阻挠。而要真正消除这些破坏所带来的影响,需要的正是更多的科研与工程力量的投入。

专家点评

邬贺铨

中国互联网协会理事长、中国工程院院士。

美国《麻省理工科技评论》发布了2017年10大突破性技术,僵尸物联网(Botnets of Tings)被列入其中,而且这种过去就有的僵尸网络从以PC为对象转到以物联网节点为对象。2016年10月,美国东部的网络因物联网设备被木马控制引发域名解析遭受拒绝服务攻击(DDo S)而瘫痪,僵尸物联网受到全球的关注,这也是将其入选2017年10大突破性技术的主要原因。

一般情况下,物联网比互联网安全。因为相对智能手机操作系统上百万行代码和PC操作系统数千万行代码,传感器操作系统也就一万行代码,传感器因软件程序简单而少有漏洞,而且物联网通常是企业性或区域性,不需要连到公众互联网,避免了遭遇外部黑客和木马的攻击。

管理上的疏忽会将外网病毒引入内部物联网。2010年,一种名为“震网”的蠕虫病毒通过U盘被带入伊朗的核电站设备,侵入了西门子公司提供的工控系统,导致20%的离心机报废。2015年年底,乌克兰伊万诺-弗兰科夫斯克地区首府的电网局部停电事件,也是因为U盘将邮件的木马带入了电网控制系统。另外,当物联网节点以无线自组织网方式互联时,可能无法识别恶意加入的物联网节点,该异己节点不仅获取物联网信息还可能有潜伏的木马。

接入到公网的物联网节点的安全问题更严峻。首先,一些物联网节点是通过公众网络相连的,例如城市交通摄像头可能会通过公网连到监管中心,上述的美国发生的互联网部分瘫痪事件就是众多摄像头被木马控制而发起DDo S攻击所致,由于摄像头一般是8Mbps甚至是高清视频,其持续流量比PC和手机还要高,发生DDo S攻击的峰值流量就更高。其次,虽然PC和手机会被木马控制但并非都处于工作状态,而物联网节点是永远在线的,这就增加了物联网被木马控制的机会,被称为“物联网谷歌”的Shodan是提供互联网在线设备的搜索引擎,可搜索并破解全球在线且有信息漏洞的网络摄像头、路由器和信号灯等设备。然后,通常大量廉价的物联网节点没有什么安全措施或虽有访问密码但较PC和手机而言相对简单且容易被破解,也无法像PC那样安装功能复杂的防火墙,因此出现了无人机被植入黑客套件后受控在指定位置悬停或着陆偷窥,无人驾驶车被木马控制在行进中打开车门或其他操作,由此可见,人们对机器人杀人的担心也不是没有道理。最后,通常PC 和手机并不直接与被控制的物品或设备相连,而物联网与控制系统却直接关联,尤其是随着产业互联网的发展,物联网会被嵌入到基础设施和生产管理流程中,物联网节点一旦被控制其危害就更大。

物联网的安全需要从源头做起。物联网在没有必要通过公众互联网连接时就不要联到外网,在需要连接到外网时,物联网最好通过具有隔离功能的网关再联。但仍然有分布的物联网设备(如城市摄像头)可能需要通过公网相连,加大物联网设备的访问密码的长度是一种保护方法,但还需要定期对全网物联网设备用DDo S清理软件来扫描。最近出现的区块链技术的P2P互联特征适用于物联网应用,区块链的验证和共识机制及数据加密技术可验证登录到物联网节点的任意网络终端的身份,有助于识别恶意加入的物联网节点,避免利用物联网的DDo S攻击,但对节点的计算能力要求很高,一般物联网可望而不即。僵尸物联网因为其危害性以及目前还没有有效的防御手段,被列为2017年10大突破性技术的原因也希望能引起足够的重视。

专家点评

方春生

美国辛辛那提大学计算机博士,现任美国硅谷Fire Eye公司首席数据科学家。他从2012年起在硅谷从事大数据和人工智能在世界五百强企业安全应用的研发工作,拥有12项美国专利,发表了20余篇关于机器学习的学术文章,对于APT(高持续性威胁)、botnet(僵尸网络)、内部威胁有比较深入的研究。曾担任EMC(易安信)/Pivotal、Greylock投资硅谷初创公司首席数据科学家。

不久前,《麻省理工科技评论》2017年全球10大突破性技术排行榜出炉,其中有一个“不速之客”登上榜单,那便是“僵尸物联网”。这是一种可以感染并控制摄像头、监视器以及其他消费类电子产品的恶意软件,是会造成大规模网络瘫痪的技术。有人说,其他突破性技术都是用来造福人类的,而这项技术是来“坏菜”的。最近它坏得最严重的一次菜是在2016年10月,黑客操控感染了恶意软件Mirai(日语“未来”的意思)的物联网设备,发起了DDo S攻击,影响波及Twitter、Reddit等知名网站,引起了美国大面积的网络瘫痪。然而,Mirai也只是僵尸物联网的一种,哪怕杀死了Mirai,还有QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM等更多的“寄生虫”。僵尸物联网作为两大技术热点——物联网和僵尸网络的交集,让我们一起来了解一下它的背景。

其实从科技史上看,任何快速发展的技术都会带来安全方面的暂时性漏洞。回想当年的互联网,也在安全问题上炸过锅,比如在互联网早期FTP服务器的用户名密码都是明文在网上传送的。目前对于僵尸物联网的畏惧,更多的是来自于对未知的畏惧。我们熟识的《失控》这本书的作者、被称为先知的Kevin Kelly,在1994年就对互联网的发展给出了预言,如今看来都是真知灼见。现在我们对物联网及僵尸物联网这样的科技新物种持有的心态,与当年站在互联网风口迷茫的人们别无二致。凯文·凯利(Kevin Kelly)的新作《必然》再一次预言了我们面前的科技新物种的未来走向,并给出了其变迁的12条路径。现在的我们,恰是站在了凯文·凯利所说的巨变时代的第一步“形成”,也就是雏形的阶段。在这个阶段最应该做的就是:正视僵尸物联网以及它身后的时代。

我们已经知道了僵尸物联网是什么,那么它通常通过什么方式入侵呢?以Mirai为例,Mirai 是一种自动识别物联网设备的软件,它能识别并让物联网上具有安全漏洞的设备染上病毒,变成僵尸网络的一部分,然后对它们进行集中控制。之后,物联网就会被嵌入分布式拒绝服务(DDo S)攻击,然后大量的垃圾流量会涌入目标服务器,从而使服务器瘫痪。

其实,DDo S只是僵尸物联网的牛刀小试,是众多攻击方式中的一种而已。据统计,僵尸网络的潜伏期可以长达200多天却不被发现,而入侵的入口往往非常简单而不易察觉。譬如一些看似正常的钓鱼邮件,附件是带有病毒的恶意文件,一旦点击便中招。这里常用的漏洞就是Zero Day(零日攻击)。病毒进入后会在局域网内进行扫描,寻找其他设备,以非常智能的一整套攻击方式(Advanced Persistent Treat,APT)一步步入侵。针对企业、政府、医院等大型机构,黑客利用僵尸网络,窃取数据等有价值的信息,再以隐蔽、持久的方式把数据发送出去。

僵尸物联网的发展态势如何?Gartner 在2017年1月的报告中提到,2017年全世界会有84亿个Io T设备,到2020年世界上会有200亿个。这个天文数字意味着未来的设备将不计其数,比全球人口的数量还要多。据Gartner统计,未来to C(消费者物联网产品)的设备会比to B(企业物联网产品)稍微多一些。Io T设备量大,计算能力相对较弱,功耗较低,海量的Io T设备被各种各样的厂商生产出来之后,在给大众提供各种便利和智能的同时,如果安全漏洞没有及时补上,将有可能带来一些意想不到的甚至毁灭性的影响。目前的Mirai用作DDo S攻击只是冰山一角,预计以后会有更多的攻击浮出水面。

然而,说起目前对抗僵尸物联网的措施,我们无法将所有的力量倾注于技术的原因是:第一,Io T设备的覆盖面太广,目前监测和防治的成本太高;第二,退一步说,即使有了有效的安全产品,谁来部署呢?消费者家里的设备被用来作DDo S,对消费者个人并没有太大的损失,所以不太可能寄望于消费者会部署家用防火墙等安全产品;第三,我们也还不知道谁来买单:消费者不太可能带来推动力;Io T厂商本来利润已经很低,更不愿意承担这个责任。那么就只能寄望于to B(企业用户、ISP)或to G(政府)有可能会牵头来制定Io T安全的行业标准。

对于后知后觉的个体来说,我们需要正视的是,未来我们与越来越多的设备之间将产生越来越紧密的联系,我们将会过上“少了一样就脱节”的生活,也正如凯文·凯利所说的,未来是一种“霍洛思(Holos)世界”。

目前,对僵尸物联网的“全民认知度”和“以企业和政府牵头的Io T生态的构建”是不可或缺的。

在生活中又有哪些关键点可以让我们防患于未然?一要意识到你枕边的闹钟、手腕上的手表都可能成为僵尸物联网的一部分;二要做到经常升级,经常监控;三是经常修改你的Io T设备的密码并保护好密码。在我们享受Io T的便利和炫酷的同时,也要让其成为防范僵尸物联网的关键环节。

专家点评

邬怡

拥有10余年的安全体系架构设计经验,阿里云高级安全专家。

物联网已经广泛应用在国防公安、工业互联网、个人智能终端等各个领域,未来将彻底改变人类的生活方式。安全已经成为物联网产业面临的最大挑战,尤其是“工业物联网”,其安全性方面造成的危害远超普通的个人设备。由于物联网技术仍处于发展初期,尚未构筑一整套成熟的物联网安全保障体系。

全球范围内不设防的海量物联网设备,为黑客提供了大量的入侵操纵机会。2013年,Linux.Darlloz蠕虫利用PHP漏洞感染路由器、摄像头、家用路由器;2015年,菲亚特-克莱斯勒召回了100多万辆存在安全漏洞的汽车;2016年,Mirai蠕虫采用分布式拒绝服务攻击Dyn,造成美国互联网大面积瘫痪,引发各国政府和民众对物联网安全威胁的重大关注。

现在,黑客能轻易买到任何的物联网设备,通过细致分析某类设备的弱点后,通过远程攻击操控“物联网肉鸡”。一旦其中一台设备被入侵,任何相同厂商和型号的设备都将被黑客批量控制。而设备厂商很难对全球已售出的数百万台设备全面升级或关闭。这将导致即使发现物联网设备的安全问题,也很难在短时间内彻底解决根源隐患,大量的物联网设备因为无人管理而沦为黑客的“肉鸡”。分布式拒绝服务攻击仅仅是物联网设备广为人知的安全问题之一,全球跨国物联网攻防大战刚刚开始,在云计算高度安全的保障下,针对智能终端的更多攻击方法将持续被黑客开发出来,会给各国带来巨大损失。

因为涉及国家安全、商业健康、个人财产等几乎所有的领域,现在急需各国政府、物联网厂商和网络安全厂商联手积极解决物联网的安全问题,防止物联网安全威胁愈演愈烈,最后造成整个物联网技术体系的崩溃。安全厂商应和设备厂商紧密合作,设计构建一套更安全的物联网生态。建议国家从政策层面对物联网安全立法,制定合规标准。物联网安全应该用系统工程思路来设计和管理物联网,将安全融入物联网设备的完整的生命周期。在架构上引入更丰富的安全体系,从平台访问到数据交互验证,从账户信息加密到纵深防御,从设备云端到应用云端鉴权,强化在端和系统之间的安全防护。

缺乏安全防护能力的中小物联网企业应使用公共云服务商提供的物联网平台,这样不仅能大大加快物联网系统的开发进度,同时还能够应用全球领先的安全技术保证自身物联网系统的安全。通过跨产业的共同努力,打造出更加安全健康的物联网世界。

《科技之巅2》