新年为物联网供应商的决议:开始将兰斯视为敌对
11月,网络安全公司Invincea的研究人员报告了一种脆弱性,可能让黑客用恶意软件感染Belkin Wemo智能插头。该缺陷位于在局域网上运行的配置协议中,并不需要任何身份验证。
2015年,当来自漏洞情报公司Rapid7的研究人员分析了九个互联网连接的婴儿监视器时,他们发现了四个中的硬件凭证。这些后门帐户通过本地网络提供了对设备的管理访问权限。
使用隐藏的帐户,未经身份验证的管理协议和硬编码的加密密钥或密码在物联网和嵌入式设备世界中很常见。这些问题,默认默认配置的可能性通常不仅在消费者产品中找到,而且还在企业版中,包括防火墙和其他安全设备。
例如,本月早些时候来自SEC咨询的研究人员警告说,80种主要由公司和政府机构用于公司和政府机构的专业索尼安全摄像机有后门账户。这只是今年报告的许多案件之一。
这些基本的弱点Don“T源于不安全的编程实践 - 许多供应商也犯了罪,但在设计产品时无法考虑所有类型的攻击。因此,它们可以比与代码相关的漏洞更容易消除,这需要投资开发人员培训和安全审查。
如果设备制造商在其威胁建模中包含基于LAN的攻击,则可以轻松避免这种不安全配置,但大多数似乎都似乎将当地区域网络视为隐含受信任的环境,相信攻击者只能直接达到目标设备互联网。
不幸的是,多年来一直没有。跨站点请求伪造(CSRF)攻击劫持用户“浏览器访问恶意网站,然后使用它们通过本地网络攻击路由器和其他设备现在是常见的。
黑客也经常使用恶意软件感染笔记本电脑或电话,然后在兰斯上搜索其他系统,以至于它们可以妥协,以获得永久立足 - 一种称为横向运动的练习。
“这相信局域网”心态非常普遍,“旅行威尔首席安全研究员克雷格杨说。“CSRF或受损的智能手机应用程序的风险是巨大的,没有人似乎得到它。在许多情况下,LAN不需要暴露的漏洞,因为设备甚至需要从本地设备的身份验证。“
在几周前,验证点发现了一个大规模的恶意运动,通过CSRF攻击了人们的路由器。攻击者将恶意广告放在受欢迎的网站使用的广告网络上,并将其访问者重定向到基于Web的攻击工具包。最终目标是通过浏览器扫描其本地网络,识别其路由器并尝试危及它们。
该工具包具有129个路由器模型的数字指纹,并为其中36个开发。对于其余的,它试图使用已知的默认凭据登录。
CSRF攻击不是攻击未直接曝光的LAN设备的唯一可能性。在计算机或智能手机上运行的恶意软件也可用于此目的。
卡巴斯基实验室的研究人员最近发现了一个基于Android的恶意软件,构建了黑客路由器。一旦安装在手机上,恶意应用程序会在本地网络上对路由器的管理员Web界面进行漏洞密码猜测攻击。
许多物联网供应商基于他们的防御策略,即他们的设备将安装在路由器后面,而不是专注于确保设备本身,这是NeuStar安全研究和IoT建筑师高级总监Brian Knopf表示。“这位来自制造商的思考是无知的。”
在Linksys,Belkin and Wink的产品安全性的KNOPF提供了2013年在飞利浦色调桥上发现的2013漏洞的例子,可以在家庭或办公室控制智能灯泡。弱点源于不安全的管理协议,该协议使用基于物理MAC地址的访问令牌进行验证命令。
该缺陷仅在LAN上利用,所以发现该问题的研究员在Java中写了一个可以通过浏览器远程传送到计算机的Java中,以收集本地MAC地址并将其使用它们将Rogue命令发送到飞利浦桥。
“唯一会改变供应商的潜在思想的唯一措施是为了在没有惩罚的情况下是可执行的要求,”诺克夫说。“当然,有权做正确的事物,但他们远远超过那些唐的人寡不”。
独立安全评估员的执行合作伙伴,在DEF CON会议上,他们每年都在默认情况下,他们在默认情况下信任本地网络上的其他设备。“这违反了称为敌意或信任不情愿的基本安全设计原则。”
Harrington说,假设信任而不是敌意是有问题的原因,所谓的踩踏石攻击是其中之一。这些是攻击,其中黑客妥协的系统已经拥有某种程度的信任或访问他们的最终目标。
其中一个攻击导致2013年的目标违约,影响超过1亿客户。在这种情况下,攻击者通过损害加热,通风和空调(HVAC)系统而开始,使其最终达到公司的销售点网络。
许多小型电子设备乍一看,攻击者似乎对攻击者具有很大的价值,因为它们具有低计算能力。但这可能是欺骗性的:他们的妥协不太可能被检测到,它们可用于发射针对位于同一网络上的更多有价值目标的攻击。
“没有充分考虑当地网络上的信任模型,每个额外的设备都安装了一种新的方式来危及网络,”Harrington说。
2016年,嵌入式设备中有大约100个简要的违约凭据报告,根据漏洞情报公司风险安全的统计数据。自2013年以来,有大约550个这样的弱点报道。
“即使在IOT成为大肆宣传的情况下,嵌入式设备具有Paltry Security,”Carsten Eiram,Carsten Eiram,Carsten Eiram,Carsten Eiram,基于风险的安全性的首席研究官。“当您从安全角度来看,这些设备往往落后于正常软件10年。这是一个很大的部分是他们相比收到的审查。“
根据EIRAM的说法,它很难说某些物联网设备是否受到不安全的配置问题困扰,因为他们的创造者不考虑当地威胁或者因为他们一般而言,他们无能为力。
“我认为对嵌入式设备/物联网供应商的呼吁不是如此:“你需要认真对待安全性,没有将基于LAN的攻击视为轻微的”尽可能多地“,你需要开始关心安全性;”,“Eiram说。“但是,一些供应商应该考虑基于LAN的攻击,以便在威胁模型之外,他们肯定必须开始包括它。”
在EIRAM的经验中,一些供应商甚至考虑有人能够发现他们的硬编码密码或反向工程师的可能性。
EIRAM表示,它令人担忧的是,许多公司没有控制谁,在什么情况下将IOT设备带入其网络的政策。EIRAM表示,这会产生一个甚至跟踪这些设备的公司甚至跟踪这些设备的问题,使其更加重要。
根据Antivirus供应商Bitdefender的首席安全研究员Alex Balan,根据Alex Balan的说法,消费者面临类似的问题。他们将这些新设备 - 从智能恒温器和传感器到互联网连接的门铃和安全摄像机 - 进入他们的家庭而不限制谁可以访问它们。然后,他们与朋友和家庭成员分享他们的Wi-Fi密码,他们将自己的潜在受感染的笔记本电脑和智能手机带入他们的网络。
“你应该问自己一个简单的问题:“我的家庭网络可以被黑了吗?”,“巴兰说。“如果答案是肯定的,那么问自己为什么你有这种弱的安全政策,考虑到网络里面的所有敏感数据 - 你从工作中下班回家的私人照片,文档,文件。如果答案是没有,那么你要么真的很棒或严重误导。“
直到供应商正常开始锁定其设备,您可以做一些事情。首先,确保将路由器固定到您可以的最佳状态,因为它将网关进入您的网络,可能是最具目标类型的嵌入式设备。在最少的更改其默认管理员密码并尝试更改其默认LAN IP地址,以使自动化CSRF攻击更难。
如果您的路由器提供创建虚拟LAN(VLAN)的选项,请使用此功能将其在自己的网段中的IOT设备隔离,并仅在需要管理它们时连接到该网络。许多IOT设备可以通过基于云的服务进行管理,以便除了您不需要通过本地网络访问它们的初始设置之外。
如果您的路由器允许您创建访客Wi-Fi网络,则可以使用它作为IOT设备的VLAN替代方案。访客网络通常与主网络隔离,并且仅提供对连接到它的设备的Internet访问。如果您决定这样做,请为访问您的家的人使用同一客户Wi-Fi网络。
公司应始终监控其新连接的设备的网络,以便立即删除那些已经授权的人。批准的IOT设备应放在具有强大访问策略的内部防火墙后面,因此它们可以“T由网络上的其他计算机攻击。