Botnets of Things 殭屍物聯網

撰文:楊 帆

突破技術

可以感染並控制攝像頭、監視器以及其他消費類電子產品的惡意軟件,可造成大規模的網絡癱瘓。

重要意義

基於這種惡意軟件的殭屍網絡對互聯網的破壞能力將會越來越大,也將越來越難以阻止。

技術成熟期

現在

主要研究者

-Mirai殭屍網絡軟件的創造者

-任何使網絡有安全隱患的人——其中有你嗎?

這是黑客史上新的一頁。

2016年10月21日清晨的美國東海岸,平靜得就像人們以往生活中的任何一天。上班族們像往常一樣從睡夢中醒來,像往常一樣吃過早飯,像往常一樣拖著仍有倦意的身體前往辦公室,像往常一樣打開計算機,卻驚訝地發現自己往常使用的網站大大咧咧地顯示著「無法訪問」。而還打著瞌睡、一臉懵懂的白領們中,大概很少有人意識到自己正在經歷一場世界級的大規模網絡癱瘓,而即使是少部分意識到發生了什麼事的人,也絕對無法想像這次可能創紀錄的網絡癱瘓所造成的巨大後續影響。這一次的黑客攻擊行為是如此劃時代的,完全改變了人們對網絡攻擊的現有認識。可以說這次網絡癱瘓猶如一個巨大的霓虹燈標語,插進了人類科技史的洪流中,向所有的人宣告著:黑客攻擊的歷史掀開了新的一頁。

據被攻擊的Dyn公司描述,當天第一波DDo S (分佈式拒絕服務)攻擊從早上7點開始,至9點20分Dyn公司解決了這次攻擊。緊接著, 11點52分第二波攻擊襲來,下午4點後黑客又進行了第三波攻擊。儘管Dyn公司極力抵抗並努力修復,但仍然有包括推特、亞馬遜、BBC、CNN、Airbnb、Github、Spotify、Paypal等眾多知名公司受到波及。這是因為Dyn公司的主要業務是DNS(域名系統)管理。眾所周知,DNS系統是因特網的重要一環,缺少了DNS,用戶將無法獲取網站服務器的真實地址,這也就是為什麼針對一個公司的攻擊會波及如此多的重要網站。

儘管有關方面指出這次的黑客攻擊很有可能是目前為止世界範圍內最大的一次DDo S攻擊,高峰數據流量達到了驚人的1.2TB/s,但是單從這一點出發仍然無法產生如此巨大的影響。畢竟我們生活在一個網絡多元化又開放地時代,摩拳擦掌的黑客們幾乎每隔一段時間就會炫技般地跳出來彰顯自己的存在。

而真正讓這次黑客攻擊載入史冊的原因,是在這次攻擊中第一次出現了以物聯網為主的殭屍網絡(Botnets)。報告指出,有證據顯示黑客在這次攻擊中使用了包括打印機、網絡攝像頭、家庭網關甚至嬰兒監控器等物聯網設備作為殭屍網絡的攻擊平台。

提到Botnet或中文名「殭屍網絡」,在今天其實已經不算是新聞了,早在2004年年初,就已經出現了第一起大規模使用Botnet作為攻擊手段的黑客行為。目前已知的第一個殭屍網絡病毒「Bagle」的作者這樣寫道:

2016年10月21日的Dyn攻擊事件中,美國本土的網絡大面積中斷服務

「Greetztoantiviruscompanies

Inadifcultworld,

Inanamelesstime,

Iwanttosurvive,

So,youwillbemine!!」

「問候你們,殺毒公司們

在一個不同的世界,

在未名的一刻,

我要生存,

為此你們都將屬於我!!」

別看這樣的自我介紹顯得木訥,當年的「Bagle」也確實具有相當的實力。「Bagle」侵佔目標Windows系統後,會使用病毒開發者的SMTP服務器向大量的目標發送含有以病毒本身作為附件的郵件,而一旦有目標系統用戶打開附件,系統就會被迅速攻佔並在病毒的挾持下繼續向更多的目標發送病毒郵件,導致病毒呈指數級大規模地傳播。這也是直到今天各大郵件提供商仍然建議用戶不要打開陌生郵件的附件或鏈接的原因。

這就是殭屍網絡主要的特點,即殭屍網絡的操作者用病毒程序侵入他人的網絡設備,利用C&C(命令與控制)軟件,可以使眾多被感染的設備完成多種一般難以使用單一設備完成的操作,如Bagle大規模發送病毒郵件,形成指數級的傳播,又如DDo S能大規模發送DNS請求,導致服務器癱瘓。不過,殭屍網絡病毒自誕生以來,一般選擇在個人計算機以及企業主機平台間傳播,而在這次黑客攻擊中首次亮相的基於物聯網設備的攻擊方式,也把這種已經誕生十幾年的「古老」手段升級到了一個新的層次。

那麼為什麼加入了物聯網的黑客攻擊會產生這麼大的影響呢?這要從物聯網本身說起。

物聯網或許是當前IT領域最有融資潛力的幾個互聯網關鍵詞之一。作為已有的因特網的延伸,物聯網旨在把網絡從傳統的人與人之間的網絡拓展到人與物的網絡以及物與物(M2M)的網絡。不僅使個人可以更方便地獲取身邊的多種信息,操控聯網的設備,還可以在沒有人為干涉的情況下將設備與設備之間建立關聯,根據從物聯網上的傳感器或其他輸入設備獲得的信息,智能高效地運作。按照Cisco公司的預測,到2020年世界上將有501億台物聯網設備聯網運作[1],那麼地球上每人平均會接觸到10個左右的物聯網設備。考慮到世界人口的分佈並不平均,在發達地區平均每個人將能接觸到幾十個甚至上百個物聯網設備。

在這些設備中,智能停車場的設備可以實時幫助車主找到車位;智能辦公的設備可以改善工作環境;智能家居的設備可以防火防盜;智能建築可以調節能量消耗,節約能源;智能工廠的設備可以監控操作參數,協助工業4.0;智能城市的設備可以幫助人們合理調控市政,管理城市的交通、照明、垃圾清理等。更多的例子無法一一列舉,可以說物聯網即將、甚至已經開始全面進入了我們生活的方方面面。在這樣的情況下,我們也就不難理解為什麼這一次的黑客攻擊看似與往常類似,卻在隨後的報道中掀起了如此巨大的恐慌——它的攻擊不僅影響到網絡本身,更是將網絡攻擊延伸到了我們的生活環境,一個由物聯網組成的生活環境。試想在不久的將來,使用數以百億計的設備對目標發起黑客攻擊的情景,到那時被挾持的物聯網設備將迅速攻克任何由操縱者指定的目標服務器。

更可怕的是,將來物聯網設備被挾持也就意味著物聯網上眾多的隱私數據將非常容易地被獲得。想像一下,某個惡意的控制者將可以通過眾多的物聯網設備掌握人們生活的方方面面,能知曉一個人的從上班時間到睡眠習慣等信息,也能控制從城市的交通燈到工廠生產等城市設施。那將是一個令人更加絕望的情景。

接下來我們會花一點時間簡單討論殭屍物聯網的產生及現狀、物聯網時代的安全困境及針對物聯網設備可能存在的劫持方法、惡意軟件利用殭屍物聯網盈利的可能性,以及對未來的展望。

殭屍物聯網的過去與現在

殭屍網絡並不算是最新的技術,然而在與物聯網的結合下,殭屍網絡重新獲得了活力。現在我們回過頭來,再梳理一下殭屍網絡是如何發展到今天的。既然殭屍物聯網算是一個新詞,我們就從兩個方面來看:殭屍網絡和物聯網。「殭屍網絡」(Botnet)一詞是由「機器人」(robot,通常指病毒機器人)與「網絡」(network)兩個詞組合而來的,也形象地表明了這一技術的特點,即大量的惡意病毒機器人組成網絡。殭屍網絡指的是一定數量的擁有互聯網連接的設備被殭屍網絡擁有者所控制、操縱,從而執行一系列的任務。殭屍網絡可以用來執行DDo S(分佈式拒絕服務)、竊取數據、發送垃圾郵件以及使攻擊者接觸到被攻佔設備的信息及其網絡連接。攻擊者通常使用C&C(命令與控制)軟件掌控殭屍網絡。

一個典型的殭屍網絡一般包括以下兩個部分:C&C(命令與控制)和殭屍計算機。

命令與控制系統指由那些為惡意軟件(特別是殭屍網絡)服務的服務器以及其他相關設備所組成的系統;殭屍計算機指的是被惡意軟件入侵、連接到網絡、可以被遠程控制用來作惡的計算機。在殭屍網絡中,殭屍計算機被命令與控制系統利用來大量發送垃圾郵件或發起DDo S攻擊。而大多數殭屍計算機的真實擁有者並不會意識到他們的計算機已經「背叛」了他們。

命令與控制系統既有可能是在惡意軟件的操作者的設備上運行,也可能是在被攻擊侵佔的設備上運行。真正實施黑客攻擊的命令與控制系統普遍使用大量的DNS代理、P2P網絡結構、分佈式命令方式、網絡負載均衡及多次代理跳轉等方法增強系統面對反病毒軟件的抵抗性和面對調查的隱蔽性。不僅如此,這些服務器通常也會在多個DNS域名之間快速轉換,不斷改變自己的實際地址,令受害一方往往非常難以確定命令與控制服務器的來源。

經過多年與殭屍網絡的對抗,網絡安全的專家們也破解了多起殭屍網絡襲擊。根據早期命令與控制系統的特點,破解的方法大多集中在找到並切斷與命令與控制系統服務器的鏈接,拒絕可能是命令與控制服務器的訪問。

為了再反對抗這些對抗措施,新一代的命令與控制系統普遍不再使用單一服務器架構,轉而通過IRC通信協議或Tor匿名通信協議等,建立點對點(P2P)系統架構,就像我們常用的下載方式,不再是從單一服務器獲取指令,而是可以將多個設備作為指令來源。這樣做的結果是從此命令與控制系統不再依靠單一服務器來運行,即使反病毒一方打掉一個或多個命令與控制設備,整個系統仍能正常工作,大大提高了生存能力。

我們舉一個使用殭屍網絡惡意攻擊的例子來說明典型殭屍網絡的攻擊模式。

1.黑客通過購買或自己開發木馬病毒或開發工具,使用這些病毒或軟件來感染其他用戶的計算機,這些感染計算機的軟件就叫作「病毒機器人」(Bot)。

2.這些病毒機器人通過被感染的計算機鏈接到特定的命令與控制在線服務器。至此,病毒機器人的控制者已經可以查看或操縱被感染的計算機了。

3.此時控制者就可以根據其需求進行各種網絡破壞行為,包括監控用戶的輸入輸出來盜取密匙、使用被感染的計算機發起網絡攻擊,或是出售控制權及用戶信息來牟取利潤。

4.根據需求,控制者可以增加或減少被感染計算機的數量。

殭屍網絡容易產生規模巨大的攻擊。從2004年年初的第一次大型殭屍網絡攻擊開始,殭屍網絡以平均每年3次的大型攻擊的頻率不斷出現在網絡安全的舞台上。感染的規模從十萬一級一直到千萬一級的數量。

物聯網是物理設備、車輛、建築物和其他物品的網絡,在系統嵌入了微處理器、軟件、傳感器、驅動器和網絡連接,使這些設備之間能夠互相收集和交換數據。2013年,物聯網全球標準計劃(Io T-GSI)將物聯網定義為「信息社會的基礎設施」(the infrastructure of the information society)。物聯網允許物體通過現有的網絡基礎設施遠程觀測或控制,提供了將物理世界更直接集成到基於計算機的系統的平台。物聯網除了能提高整個物理世界的智能化水平、減少人力勞動之外,也能提高效率、準確性和經濟效益。

物聯網的典型應用包括智能電網、智能家居、智能交通和智能城市等。每個設備都使用通過其嵌入式計算系統實現獨一無二的身份、地址信息,能夠在現有的互聯網基礎設施內進行互操作。

典型的物聯網節點設備有以下一系列特徵。

1、由於物聯網設備多需要在遠離電源的位置工作,因此大部分的物聯網節點設備都採用電池供電。

2、受限於體積和電池的電量壽命,物聯網設備需要將功耗大幅度降低,並長時間處於休眠狀態,週期性地運行或給予系統反饋,來延長依靠電池的使用時間。

3、為了將功耗降低,物聯網設備往往選用低端微控制器(MCU),運算速度慢,內存容量與閃存容量都較小。

4、因為存儲空間的限制,物聯網設備無法支持過於龐大的系統和軟件。

5、由於仍處於發展的初期,物聯網硬件系統缺少專門針對物聯網開發的芯片,低端微控制器並不一定包含硬件加密等安全手段。

為了使2020年之際所有的501億台以及未來更多的設備同時聯網,並實現不同網絡間的互相聯通,大多數的物聯網設備都支持新一代IPv6協議。IPv6協議將逐步取代現在已經地址不足的IPv4協議,成為未來網絡的主流協議。按照協議的設定,IPv6理論上至多可以提供3.4×1038個地址給聯網的設備。在這些地址的支持下,物聯網的所有設備都可以直接地通過網絡聯通。

物聯網時代的安全隱患

說了這麼多,現在我們來詳細梳理一下在使用物聯網的過程中到底有哪些容易被利用的安全隱患。

安全隱患的來源

前面我們已經比較詳細地介紹了物聯網的特點,也給出了若干個可以使用物聯網的情景。現在我們再從另一個角度瞭解一下物聯網的哪些關鍵點會給我們帶來安全上的隱患。根據物聯網的結構,我們知道攻擊的主要來源有以下3種。[2]

1、惡意的物聯網用戶。這類用戶通過正常渠道購買或獲取物聯網設備,使用拆解、實驗、測試等手段來尋找設備的弱點或可以被利用的缺陷。在找到可以惡意使用物聯網設備的方法後,惡意的物聯網用戶可以利用這些漏洞攻佔其他用戶的同一種設備;逆向獲取生產廠商燒錄在設備中的信息,如安全協議的公匙,或是轉手出售這些安全漏洞的信息。

2、不良設備生產商。這類生產廠商會在所生產的設備中蓄意留下漏洞或是之後可以被利用的缺陷,然後利用這些漏洞和缺陷盜取用戶的信息和數據,根據網絡情況甚至可以盜取在同一網絡下其他廠商的設備信息。除了使用戶的隱私和安全受損之外,也可以把「鍋」甩給其他生產商,用以詆毀其他生產商的名譽。

3、心懷不軌的第三方。這類人並不在物聯網的系統內,也沒有系統的權限,我們一般說的黑客就屬於這一類。他們往往會通過各種手段搜集、獲取物聯網上的信息,阻止數據的傳輸,甚至操縱外部的信號干擾來擾亂髮送的數據。他們的目的多種多樣,有的是為了獲取信息,有的僅僅是為了破壞系統的正常使用。

物聯網攻擊的方法論

對物聯網形形色色的潛在攻擊方式,我們把它們根據載體分成以下幾類。

1、設備拆解。物聯網的設備通常都是小型的嵌入式系統,它們的具體應用決定了其在大多數情況下都處於隨手可得的地方(如智能燈光的設備多數緊鄰燈光控制開關),這使得它們很難確保在無人看守的情況下保持完備。一旦這些設備落入黑客的手中,它們將相當容易被破解,黑客可以查看用戶的應用信息、重新燒錄軟件、改變硬件。這樣一個被破解的設備可以被放回原有的網絡中,為黑客帶來更有價值的信息,或者更直接——被永遠竊取。[3]

2、信息洩露。是指把信息透露給本不具有權限的利益方。其中有意外洩露、有針對目標信息的襲擊,以及根據其他信息的相關性推理。黑客通常可以選擇竊聽特定的網絡頻道,從硬件拆解中獲取,或是通過網絡入侵。

3、隱私疏漏。與上面的信息洩露不同,隱私疏漏往往並不都依靠系統漏洞或接觸權限。實際上,由於人們在物聯網時代之前對隱私保護的警惕性不高,黑客很多時候可以通過非加密的信息分析推測出用戶的一系列隱私信息。而專業黑客也可以通過其他用戶的信息來源和數據流通的分析來做出判斷。[2]

4、拒絕服務。是指當用戶需要用到物聯網的某些服務時,這些服務無法使用。不要與之前的殭屍網絡中的分佈式拒絕服務搞混,這裡特指物聯網上的服務無法使用。相比前面幾種情況,拒絕服務的方法眾多且相對容易。[3]

5、竊取密匙。是指使用其他用戶的密匙進入其他用戶的加密的物聯網設備。密匙的獲取方式不限,如來源於釣魚網站。

6、權限提升。是指惡意用戶通過虛假的高權限來接觸本不屬於其權限範圍內的服務和利益。

7、虛假數據。有時為了干擾物聯網系統的某些服務的正常運行,黑客會設法干擾或操縱傳感器數據,如電磁波或物理手段的干擾。

8、間接方法。基於一系列對公開信息的分析從而得到加密信息的方法。比如黑客可以監控網絡、執行特定命令的時間、特定命令的能量消耗、數據流量、電磁信號的變化等技術手段,來揭示加密的信息。

針對物聯網攻擊的潛在危害

為了更加清晰地認識使用物聯網網絡攻擊的嚴重性,筆者認為有必要指出一些常見情況下針對物聯網的攻擊可能造成的危害。同時也因為我們主要在討論具體的技術可能性,對於很多人來說並不太容易理解這些安全與隱私隱患對用戶有哪些影響。現在讓我們暫時拋開技術細節,從具體應用的角度來審視安全與隱私問題,看看哪裡需要我們重視。[2]

驅動器

在物聯網詞彙中,驅動器的作用類似於計算機中很多對特定任務的控制操作。在物聯網的世界中,所謂的驅動器可以被網絡中的用戶通過一定的信號遠程操縱,或通過現實中的開關操縱,用來控制其他物聯網系統以外的設備。

安全方面:針對驅動器的惡意攻擊會在幾個不同方面帶來危害。在能源管理中,如果驅動器被黑客入侵並在未授權的情況下更改能源開關,會造成能源損失,進而造成經濟損失。在更加嚴格的能源使用場景中還會因為能源消耗過多或不足造成更多問題,如冰箱或恆溫溫室。在智能汽車領域,這種攻擊造成的後果更為嚴重,比如對汽車油門剎車的控制攻擊可能危及車輛駕駛人員的生命。更為極端的情況,比如在智能醫療領域,驅動器很可能被用於控制藥物注射等,黑客的攻擊將非常容易引起醫療事故,造成致命的傷害。

傳感器

傳感器是物聯網中的重要組成部分,作為整個系統大部分數據輸入的來源,可以說整個物聯網系統的運行和服務都必須依靠不同傳感器的數據作為依據。

安全方面:正如前文所說的,傳感器收集的數據很有可能會成為黑客攻擊的源頭之一。比如通過物理方法操縱數據,可能會對網絡造成意想之外的破壞,或者造成物聯網其他設備的異常行為。在能源管理應用中,驅動器會因錯誤的傳感器數據而執行錯誤的命令,在錯誤的時機意外開啟或關閉,這樣一來會造成與上文講到的類似的結果,直接或間接地造成經濟損失;但這種情況下至少用戶不用操心洩露大量的信息。然而在智能醫療使用場景中,虛假傳感器數據將對病人造成錯誤診斷,隨後使用不恰當的應對方法,很容易造成過敏反應甚至致命的嚴重後果。[4]

隱私方面:這裡我們需要著重討論,因為在很多情況下,傳感器的數據匯總起來可以很容易地推導出使用者的很多習慣,有一些甚至連使用者本人也不一定會意識到。物聯網比你更瞭解你自己,但你卻不想讓黑客也比你更瞭解你自己。舉例來說,在能源管理情景中,黑客可以通過傳感器的數據,推算出使用者出門離家的時間、晚上入睡及早上起床的時間、根據能量消耗對比特定設備的能量簽名(耗電設備工作時產生的獨特能量消耗曲線)來推測使用者在使用哪些電器。在智能醫療情景中,傳感器的數據可以直接轉換成病人的病情、治療的階段、治療的效果等。

RFID(射頻識別)標籤

RFID(射頻識別)是一種廣泛用來識別設備身份的技術,通常由兩部分組成:RFID閱讀器和RFID標籤。RFID標籤是一種被動的身份標籤,如今被廣泛附加在各種設備上,而標籤中的身份ID可以通過RFID閱讀器來讀取。RFID的推廣在很大程度上是因為它們方便好用、價格低廉,而且被標籤的設備不需提供額外的電力或數據連接。然而RFID在安全和隱私方面卻讓人充滿疑慮。

安全方面:正是由於RFID簡單的結構,導致它們很難為專業的安全機制提供足夠的支持。比如,只要處於同一個標準頻率,任何人都可以輕易用閱讀器讀取任意設備的RFID標籤並獲取其中的身份信息。因此,為了方便設備識別所開發的技術很可能會造成信息的外洩。在智能汽車中,黑客可以使用改造過的閱讀器在較遠的位置讀取使用者與汽車之間的通信,有些通信內容則可以被用來破譯加密密匙,導致汽車被盜。[5]

隱私方面:RFID的一大特色應用是追蹤被標籤的設備,因此在黑客攻擊的情況下可能造成嚴重的地理位置隱私洩露。在智能醫療中, RFID標籤可以與病人的電子病歷結合,因此RFID信息外洩也就意味著病人的病例及醫療系統的信息都有被破解的危險。[5]

網絡、NFC(近場通信)以及因特網

物聯網設備依靠網絡連接在彼此之間通信。根據具體應用的不同,通信協議之間也有很多區別。同樣,它們的安全協議與隱私保護政策也不盡相同。

安全方面:由於物聯網的規模巨大,在同一個應用中使用多個生產商的設備平台幾乎是必然的,不同平台間通信協議的安全協議也不同,這本身就增加了潛在漏洞存在的可能性。進一步來說,物聯網設備大部分都將使用無線網絡來通信,這也增加了網絡被惡意攻擊的風險。如果黑客已經入侵了特定的網絡頻道,將可以輕易地獲得幾乎所有的通過網絡傳輸的設備信息和數據。在很多情況下,如兩輛智能汽車通過網絡交換位置信息來規避對方時,這類攻擊將可能導致兩車相撞。

隱私方面:網絡是物聯網設備之間傳輸數據的主要方式,因此也是隱私洩露的重災區。比如在智能汽車使用臨近數據節點下載本地地圖及交通數據時,黑客可以通過這些信息知曉使用者的目的地、汽車狀態等。而且由於智能汽車往往集成一系列電子設備,黑客可以通過監控網絡信息來瞭解使用者的很多其他信息,如歌曲列表或中意的電台等。

物聯網時代的安全防範及隱私保護

當然,前文所述的各種安全和隱私方面的隱患,絕不是想阻止物聯網設備的普及和發展。我們應當明確,在智能化的道路上物聯網是非常有必要也是相當重要的一環。因此,我們想著重從行業的發展以及贏取用戶的信任角度,總結一下為了達到對安全和隱私有所保障的物聯網產品究竟應該滿足哪些要求。

安全特性

物聯網中的所有安全特性的最終目標都是為了保證用戶的保密信息不被洩露和保證物聯網本身不被惡意攻擊侵入。具體到實際問題,物聯網提供方應在產品中努力做到提供以下安全特性。

1、物聯網中的設備應當杜絕被非授權方破解、重新編程或丟失信息的可能。物聯網的設備必須在可能存在的物理惡意攻擊以及拒絕服務下始終保持自身的絕對安全,在此基礎之上保持整個系統的安全信息與用戶的數據,同時又不影響用戶更新設備的驅動程序等正常操作。

2、物聯網中的設備必須有被保護的存儲空間,用來存放加密的用戶信息與系統信息。比如ARM芯片中集成的Trust Zone硬件安全模塊。

3、物聯網的每一個設備都應內嵌一個完整的訪問控制機制,用以防止設備被未被授權的惡意一方訪問,進而成為進攻整個系統的漏洞。在傳感器或是驅動器等物聯網設備上實現這樣的訪問機制可能會比較困難,因為這類設備普遍只有非常有限的內存容量。然而我們仍然認為所有的物聯網設備必須有一套訪問機制,因為一旦一台設備的訪問被黑客突破,整個網絡的信息都會面臨洩露的危險,就像前文所講的那樣。[6]

4、應該保證用戶和物聯網之間交換數據的安全,以保持系統的完整性和保密性。如果數據的完整性被破壞,則意味著系統的正常運作被中斷,將可能導致對用戶的財務甚至人身損害。[7]

5、應採用識別和授權機制。只有授權的實體可以訪問具有讀寫權限的物聯網設備。理想的物聯網設備需要擁有識別系統中的其他設備的能力,即擁有能夠識別假冒者的能力。比如驅動器、傳感器、RFID及網絡。

6、整個系統必須在使用正常範圍的參數情況時保持正常運作。除此之外,還需在惡意用戶執行某些異樣的行為時能夠及時調整、適應,比如對設備的物理損壞,而且對手所造成的損害對系統運行的影響必須盡可能小。

7、在最壞的情況下,當系統中有物聯網設備已經被黑客攻佔時,整個系統應具備對於可能不再信任的設備一定的識別能力,比如當一個設備在本應該週期性更新數據時中斷,或是暫時從網絡中斷開,則系統有理由懷疑該設備有可能已經不可被繼續信任。相應的措施包括不再向該設備發送包含保密數據的通信,以及向使用方匯報可疑設備,直到有理由認定該設備已經被「消毒」為止。

8、與上一條相關的,系統提供方應當具有對所有設備是否被黑客攻佔的診斷機制,以決定該設備是否可以繼續在網絡中使用。通常來說,只需清除所有數據並重新編程即可。然而當面對包含針對開發者的木馬或是用戶機密數據的情況,仍然需要謹慎。

隱私特性

介紹完安全特性後,我們接下來介紹一下物聯網應提供的隱私保護特性。[8]

1、在用戶和物聯網設備之間交換的數據應該被保護,以使攻擊者即使竊聽通信也無法推斷出關於用戶的信息。攻擊者不應通過推斷獲得任何關於用戶的使用特定應用的時間、用戶的身份或任何其他敏感信息。

2、物聯網設備之間交換的消息不得洩露用戶的身份或個人信息。

3、來自設備的信號必須以保護隱私的方式發送,以便不暴露設備的功能,因為這些信息可以被用來推測關於用戶應用的信息。

4、物聯網設備應該僅僅在絕對必要時保存個人用戶信息的記錄,而即使是在這種情況下,設備也應該只保存有限的時間。

5、物聯網系統只應收集不會暴露用戶的個人信息的數據,如整合後的數據。具體來說就是保存建築物中的人數的記錄,而不是與他們的身份相關的數據,如姓名、身份及視覺圖像。

6、應該讓用戶知道正在捕獲數據的內容和時間。

7、用戶必須能夠安全地從設備中刪除所有的私人數據,比如在設備要轉售時。

黑客使用殭屍物聯網如何牟利

在講完用戶和生產商角度的情況後,我們換一個角度,設想一下使用殭屍物聯網的黑客如何用這類技術牟取經濟利益。

以前殭屍網絡的一大使用方法是製造所謂的「點擊欺騙」。點擊欺騙的目的是讓廣告商誤以為很多人在點擊、閱讀他們的廣告內容。製造點擊欺騙的方法有很多,最簡單的通常就是將谷歌廣告的廣告插入到黑客名下的網頁中。因為谷歌廣告會根據廣告被瀏覽和點擊的次數來給予網頁擁有者相應的報酬,所以這時黑客只要調動自己控制的幾百萬台設備輪番點擊,錢就到手了。

而由於物聯網的加入,同樣的情況下黑客可調集的設備將呈幾何數量增長。同時,未來的更多公司將開展基於點擊量或瀏覽量的報酬機制,這類網絡欺詐行為將會一而再再而三地出現。

類似地,很多垃圾郵件過濾功能都依靠能識別出每天群發大量郵件的計算機,進而屏蔽這類計算機的郵件。而使用殭屍網絡則完全避開了這類垃圾郵件過濾功能,因為郵件不再由同一台計算機發出,而是分散到了幾百萬台設備上。

黑客可以利用殭屍網絡龐大的設備數量和分佈式計算能力,更快地破解密碼,入侵多種在線賬戶、比特幣挖礦,或是做任意一種需要大量聯網計算機能做的工作。

這也是殭屍網絡被認為是「三大生意」之一的原因。

迄今為止我們所見到的大都是DDo S攻擊,如本文一開始所舉的Dyn的例子,可能就只是因為Dyn惹惱了一些黑客。

然而更多的黑客團體將被經濟利益驅使加入。不良政客會利用殭屍網絡來關停其不喜歡的媒體新聞。這類攻擊在將來勢必成為網絡安全戰爭中重要的技術手段。

未來展望

我們可以斷言,物聯網在未來幾年會逐步加快部署和擴大聯網規模,完成初步的先行熱門應用建設。在這些數以百億計的新鮮的網絡設備投入使用後,殭屍網絡這一攻擊形式將乘著這股風頭達到一個新的高度。

現在市場上已經出現了針對物聯網而設計的安全軟件以及隱私加密服務[9,10]。然而在真正的大規模攻擊開始之前,很難說這些軟件和服務能發揮多少效力。畢竟物聯網服務面臨著我們從未面對過的大量信息的產生、加密、傳輸、應用以及存儲,而物聯網本身的特徵又無法調用無限的資源和處理能力來保護每一個環節。

很遺憾,但是就現在的情況來看,在與殭屍物聯網的攻防戰中,黑客的攻擊一方有更多的優勢。我們有理由相信,類似對Dyn的攻擊,利用物聯網作為載體的攻擊模式不會是個例,更多的攻擊將會出現。

最後,我們不應感到失落,畢竟所有新技術的發展和應用都會伴隨著惡意的破壞和阻撓。而要真正消除這些破壞所帶來的影響,需要的正是更多的科研與工程力量的投入。

專家點評

鄔賀銓

中國互聯網協會理事長、中國工程院院士。

美國《麻省理工科技評論》發佈了2017年10大突破性技術,殭屍物聯網(Botnets of Tings)被列入其中,而且這種過去就有的殭屍網絡從以PC為對像轉到以物聯網節點為對象。2016年10月,美國東部的網絡因物聯網設備被木馬控制引發域名解析遭受拒絕服務攻擊(DDo S)而癱瘓,殭屍物聯網受到全球的關注,這也是將其入選2017年10大突破性技術的主要原因。

一般情況下,物聯網比互聯網安全。因為相對智能手機操作系統上百萬行代碼和PC操作系統數千萬行代碼,傳感器操作系統也就一萬行代碼,傳感器因軟件程序簡單而少有漏洞,而且物聯網通常是企業性或區域性,不需要連到公眾互聯網,避免了遭遇外部黑客和木馬的攻擊。

管理上的疏忽會將外網病毒引入內部物聯網。2010年,一種名為「震網」的蠕蟲病毒通過U盤被帶入伊朗的核電站設備,侵入了西門子公司提供的工控系統,導致20%的離心機報廢。2015年年底,烏克蘭伊萬諾-弗蘭科夫斯克地區首府的電網局部停電事件,也是因為U盤將郵件的木馬帶入了電網控制系統。另外,當物聯網節點以無線自組織網方式互聯時,可能無法識別惡意加入的物聯網節點,該異己節點不僅獲取物聯網信息還可能有潛伏的木馬。

接入到公網的物聯網節點的安全問題更嚴峻。首先,一些物聯網節點是通過公眾網絡相連的,例如城市交通攝像頭可能會通過公網連到監管中心,上述的美國發生的互聯網部分癱瘓事件就是眾多攝像頭被木馬控制而發起DDo S攻擊所致,由於攝像頭一般是8Mbps甚至是高清視頻,其持續流量比PC和手機還要高,發生DDo S攻擊的峰值流量就更高。其次,雖然PC和手機會被木馬控制但並非都處於工作狀態,而物聯網節點是永遠在線的,這就增加了物聯網被木馬控制的機會,被稱為「物聯網谷歌」的Shodan是提供互聯網在線設備的搜索引擎,可搜索並破解全球在線且有信息漏洞的網絡攝像頭、路由器和信號燈等設備。然後,通常大量廉價的物聯網節點沒有什麼安全措施或雖有訪問密碼但較PC和手機而言相對簡單且容易被破解,也無法像PC那樣安裝功能複雜的防火牆,因此出現了無人機被植入黑客套件後受控在指定位置懸停或著陸偷窺,無人駕駛車被木馬控制在行進中打開車門或其他操作,由此可見,人們對機器人殺人的擔心也不是沒有道理。最後,通常PC 和手機並不直接與被控制的物品或設備相連,而物聯網與控制系統卻直接關聯,尤其是隨著產業互聯網的發展,物聯網會被嵌入到基礎設施和生產管理流程中,物聯網節點一旦被控制其危害就更大。

物聯網的安全需要從源頭做起。物聯網在沒有必要通過公眾互聯網連接時就不要聯到外網,在需要連接到外網時,物聯網最好通過具有隔離功能的網關再聯。但仍然有分佈的物聯網設備(如城市攝像頭)可能需要通過公網相連,加大物聯網設備的訪問密碼的長度是一種保護方法,但還需要定期對全網物聯網設備用DDo S清理軟件來掃瞄。最近出現的區塊鏈技術的P2P互聯特徵適用於物聯網應用,區塊鏈的驗證和共識機制及數據加密技術可驗證登錄到物聯網節點的任意網絡終端的身份,有助於識別惡意加入的物聯網節點,避免利用物聯網的DDo S攻擊,但對節點的計算能力要求很高,一般物聯網可望而不即。殭屍物聯網因為其危害性以及目前還沒有有效的防禦手段,被列為2017年10大突破性技術的原因也希望能引起足夠的重視。

專家點評

方春生

美國辛辛那提大學計算機博士,現任美國硅谷Fire Eye公司首席數據科學家。他從2012年起在硅谷從事大數據和人工智能在世界五百強企業安全應用的研發工作,擁有12項美國專利,發表了20餘篇關於機器學習的學術文章,對於APT(高持續性威脅)、botnet(殭屍網絡)、內部威脅有比較深入的研究。曾擔任EMC(易安信)/Pivotal、Greylock投資硅谷初創公司首席數據科學家。

不久前,《麻省理工科技評論》2017年全球10大突破性技術排行榜出爐,其中有一個「不速之客」登上榜單,那便是「殭屍物聯網」。這是一種可以感染並控制攝像頭、監視器以及其他消費類電子產品的惡意軟件,是會造成大規模網絡癱瘓的技術。有人說,其他突破性技術都是用來造福人類的,而這項技術是來「壞菜」的。最近它壞得最嚴重的一次菜是在2016年10月,黑客操控感染了惡意軟件Mirai(日語「未來」的意思)的物聯網設備,發起了DDo S攻擊,影響波及Twitter、Reddit等知名網站,引起了美國大面積的網絡癱瘓。然而,Mirai也只是殭屍物聯網的一種,哪怕殺死了Mirai,還有QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM等更多的「寄生蟲」。殭屍物聯網作為兩大技術熱點——物聯網和殭屍網絡的交集,讓我們一起來瞭解一下它的背景。

其實從科技史上看,任何快速發展的技術都會帶來安全方面的暫時性漏洞。回想當年的互聯網,也在安全問題上炸過鍋,比如在互聯網早期FTP服務器的用戶名密碼都是明文在網上傳送的。目前對於殭屍物聯網的畏懼,更多的是來自於對未知的畏懼。我們熟識的《失控》這本書的作者、被稱為先知的Kevin Kelly,在1994年就對互聯網的發展給出了預言,如今看來都是真知灼見。現在我們對物聯網及殭屍物聯網這樣的科技新物種持有的心態,與當年站在互聯網風口迷茫的人們別無二致。凱文·凱利(Kevin Kelly)的新作《必然》再一次預言了我們面前的科技新物種的未來走向,並給出了其變遷的12條路徑。現在的我們,恰是站在了凱文·凱利所說的巨變時代的第一步「形成」,也就是雛形的階段。在這個階段最應該做的就是:正視殭屍物聯網以及它身後的時代。

我們已經知道了殭屍物聯網是什麼,那麼它通常通過什麼方式入侵呢?以Mirai為例,Mirai 是一種自動識別物聯網設備的軟件,它能識別並讓物聯網上具有安全漏洞的設備染上病毒,變成殭屍網絡的一部分,然後對它們進行集中控制。之後,物聯網就會被嵌入分佈式拒絕服務(DDo S)攻擊,然後大量的垃圾流量會湧入目標服務器,從而使服務器癱瘓。

其實,DDo S只是殭屍物聯網的牛刀小試,是眾多攻擊方式中的一種而已。據統計,殭屍網絡的潛伏期可以長達200多天卻不被發現,而入侵的入口往往非常簡單而不易察覺。譬如一些看似正常的釣魚郵件,附件是帶有病毒的惡意文件,一旦點擊便中招。這裡常用的漏洞就是Zero Day(零日攻擊)。病毒進入後會在局域網內進行掃瞄,尋找其他設備,以非常智能的一整套攻擊方式(Advanced Persistent Treat,APT)一步步入侵。針對企業、政府、醫院等大型機構,黑客利用殭屍網絡,竊取數據等有價值的信息,再以隱蔽、持久的方式把數據發送出去。

殭屍物聯網的發展態勢如何?Gartner 在2017年1月的報告中提到,2017年全世界會有84億個Io T設備,到2020年世界上會有200億個。這個天文數字意味著未來的設備將不計其數,比全球人口的數量還要多。據Gartner統計,未來to C(消費者物聯網產品)的設備會比to B(企業物聯網產品)稍微多一些。Io T設備量大,計算能力相對較弱,功耗較低,海量的Io T設備被各種各樣的廠商生產出來之後,在給大眾提供各種便利和智能的同時,如果安全漏洞沒有及時補上,將有可能帶來一些意想不到的甚至毀滅性的影響。目前的Mirai用作DDo S攻擊只是冰山一角,預計以後會有更多的攻擊浮出水面。

然而,說起目前對抗殭屍物聯網的措施,我們無法將所有的力量傾注於技術的原因是:第一,Io T設備的覆蓋面太廣,目前監測和防治的成本太高;第二,退一步說,即使有了有效的安全產品,誰來部署呢?消費者家裡的設備被用來作DDo S,對消費者個人並沒有太大的損失,所以不太可能寄望於消費者會部署家用防火牆等安全產品;第三,我們也還不知道誰來買單:消費者不太可能帶來推動力;Io T廠商本來利潤已經很低,更不願意承擔這個責任。那麼就只能寄望於to B(企業用戶、ISP)或to G(政府)有可能會牽頭來制定Io T安全的行業標準。

對於後知後覺的個體來說,我們需要正視的是,未來我們與越來越多的設備之間將產生越來越緊密的聯繫,我們將會過上「少了一樣就脫節」的生活,也正如凱文·凱利所說的,未來是一種「霍洛思(Holos)世界」。

目前,對殭屍物聯網的「全民認知度」和「以企業和政府牽頭的Io T生態的構建」是不可或缺的。

在生活中又有哪些關鍵點可以讓我們防患於未然?一要意識到你枕邊的鬧鐘、手腕上的手錶都可能成為殭屍物聯網的一部分;二要做到經常升級,經常監控;三是經常修改你的Io T設備的密碼並保護好密碼。在我們享受Io T的便利和炫酷的同時,也要讓其成為防範殭屍物聯網的關鍵環節。

專家點評

鄔怡

擁有10餘年的安全體系架構設計經驗,阿里雲高級安全專家。

物聯網已經廣泛應用在國防公安、工業互聯網、個人智能終端等各個領域,未來將徹底改變人類的生活方式。安全已經成為物聯網產業面臨的最大挑戰,尤其是「工業物聯網」,其安全性方面造成的危害遠超普通的個人設備。由於物聯網技術仍處於發展初期,尚未構築一整套成熟的物聯網安全保障體系。

全球範圍內不設防的海量物聯網設備,為黑客提供了大量的入侵操縱機會。2013年,Linux.Darlloz蠕蟲利用PHP漏洞感染路由器、攝像頭、家用路由器;2015年,菲亞特-克萊斯勒召回了100多萬輛存在安全漏洞的汽車;2016年,Mirai蠕蟲採用分佈式拒絕服務攻擊Dyn,造成美國互聯網大面積癱瘓,引發各國政府和民眾對物聯網安全威脅的重大關注。

現在,黑客能輕易買到任何的物聯網設備,通過細緻分析某類設備的弱點後,通過遠程攻擊操控「物聯網肉雞」。一旦其中一台設備被入侵,任何相同廠商和型號的設備都將被黑客批量控制。而設備廠商很難對全球已售出的數百萬台設備全面升級或關閉。這將導致即使發現物聯網設備的安全問題,也很難在短時間內徹底解決根源隱患,大量的物聯網設備因為無人管理而淪為黑客的「肉雞」。分佈式拒絕服務攻擊僅僅是物聯網設備廣為人知的安全問題之一,全球跨國物聯網攻防大戰剛剛開始,在雲計算高度安全的保障下,針對智能終端的更多攻擊方法將持續被黑客開發出來,會給各國帶來巨大損失。

因為涉及國家安全、商業健康、個人財產等幾乎所有的領域,現在急需各國政府、物聯網廠商和網絡安全廠商聯手積極解決物聯網的安全問題,防止物聯網安全威脅愈演愈烈,最後造成整個物聯網技術體系的崩潰。安全廠商應和設備廠商緊密合作,設計構建一套更安全的物聯網生態。建議國家從政策層面對物聯網安全立法,制定合規標準。物聯網安全應該用系統工程思路來設計和管理物聯網,將安全融入物聯網設備的完整的生命週期。在架構上引入更豐富的安全體系,從平台訪問到數據交互驗證,從賬戶信息加密到縱深防禦,從設備雲端到應用雲端鑒權,強化在端和系統之間的安全防護。

缺乏安全防護能力的中小物聯網企業應使用公共雲服務商提供的物聯網平台,這樣不僅能大大加快物聯網系統的開發進度,同時還能夠應用全球領先的安全技術保證自身物聯網系統的安全。通過跨產業的共同努力,打造出更加安全健康的物聯網世界。

《科技之巔2》