IoTAegis:安全研究人員提出一種保護物聯網的解決方案

分類: 打印機驅動使用 发布时间:2018-07-31 02:15

惡意病毒肆意感染物聯網設備

物聯網設備(Internet-of-Things),如網絡攝像機,打印機,IP国产福利不卡在线视频,智能電視,智能冰箱,智能電表等,現如今已遍布我們生活的方方面面。在我們享受物聯網設備帶來便利的同時,這些設備已悄然成爲惡意攻擊者攻擊的對象。攻擊者可以利用這些設備竊取用戶信息,或利用其向攻擊目標發起網絡攻擊。

通常,使用默認登陸密碼和長期使用存在安全漏洞的固件版本是導致物聯網設備被利用攻擊的主要原因。相應地,針對物聯網設備的攻擊方式主要分爲兩種:

安全配置攻击 攻击者可能会面向弱密码或无密码保护的物联网设备发起密码攻击,例如:暴力破解和字典攻击。 一旦获得访问权限,攻击者可以进一步修改设备的配置,以防止授权用户访问或控制设备。

設備固件攻擊 攻擊者可能通過利用舊版本固件中存在的安全漏洞來感染物聯網設備。某些設備(例如2011年之前的所有HP打印機)支持遠程固件更新,而且無需檢查固件的簽名,攻擊者若能遠程訪問目標設備,便可以通過更新惡意固件來感染設備。

2016年10月21日,Dyn公司提供的DNS服務遭到了數次通過Mirai病毒感染的物聯網設備發起的大型分布式拒絕服務(DDoS)攻擊,導致多個高訪問量的網站無法正常打開,其中包括GitHub、Twitter、Reddit、Netflix和Airbnb等。據了解,Mirai病毒就是通過安全配置攻擊的方式掃描並暴力破解物聯網設備的默認密碼,進而感染設備。設備一旦被感染,會繼續正常工作,但在特定的時候,受感染設備會被遠程控制向特定的IP国产福利不卡在线视频(攻擊目標)發動攻擊,這樣的攻擊往往是大型分布式拒絕服務(DDoS)攻擊。

由于用戶缺乏網絡安全意識,當前大量網絡攝像頭、路由器、網絡打印機等仍然使用默認的用戶名密碼或舊版本的固件,面臨著被惡意代碼感染的風險。例如,據監測統計,僅Mirai病毒,世界上就有多達50萬台物聯網設備被感染,並且數量正在增長。

物聯網的安全問題已經成爲國內外學術界和工業界共同關心的問題。

物聯網設備數量衆多種類繁雜

针对物联网设备安全问题,美国德州农工大学从事網絡安全研究的郑致远博士(Dr. Zhiyuan Zheng)及其所在的研究团队在美国校园网络中收集了一些网络数据来分析网络中物联网设备的数量、种类、和安全程度。

研究發現,物聯網設備在數量上遠超傳統計算機、筆記本等計算設備。鄭致遠博士描述道:“物聯網設備的安全狀況令人堪憂,有超過58.9%的物聯網設備沒有使用最新的固件版本,而舊的固件版本很大程度上存在著安全漏洞;並且有超過51.3%的物聯網設備沒有用戶自定義密碼。”

他們發現數量最多的物聯網設備依次是互聯網国产福利不卡在线视频,打印機,AV設備,UPS(不間斷電源),路由器和網關等。這些設備如果受到損害可能會導致非常嚴重的問題。而且每個品牌的物聯網設備都有各自不同的管理頁面,進而增加了統一管理的難度。

圖1.校園網絡設備的種類劃分,物聯網設備的數量超過計算機數量

圖2.打印機最新發布軟件版本和現在使用的軟件版本對比,大量打印機仍然使用舊的軟件版本1

安全解決方案:IoTAegis

爲應對物聯網安全風險,鄭博士團隊近日提出一種解決方案IoTAegis,能有效保護物聯網設備。如圖3所示,“IoTAegis首先通過主動和被動識別的方式來發掘網絡中的物聯網設備,這些方法包括端口掃描,或者使用服務識別協議DNS-SD和UPnP等被動監聽方法來識別網絡中的物聯網設備。”鄭致遠博士介紹道,“在網絡中識別出易感染的物聯網設備以後,IoTAegis可以自動智能管理設備的安全設置,下載並安裝最新軟件版本或補丁,保證物聯網設備都使用最新版本的軟件和用戶定義的密碼,從而有效阻止網絡攻擊。”

具体来说,IoTAegis包含两种类型的配置文件(Profiles),“设备配置文件”(Device Profiles)和“协议配置文件”(Protocol Profiles),它们相当于操作系统使用的设备驱动程序。其中,“协议配置文件”负责控制用于检测设备的通讯协议(如DNS-SD,uPnp)和采集设备信息、更新密码等操作所使用的通讯协议(如HTTP);“设备配置文件”负责发掘识别设备种类和管理固件版本。

图3. IoTAegis解决方案构成

IoTAegis使用事件驱动(Event-driven)的体系架构, 比如 “DNS-SD配置文件”一旦通过mDNS协议监听到网络内的主机及其开放服务,继而会生成事件,并告知相应的“设备配置文件”(例如,若发现主机开放_printer._tcp服务则对应通知Unix 打印机“设备配置文件”)执行信息采集、设备识别、配置管理、固件更新等一系列跟进操作。

IoTAegis解決方案基于四項關鍵功能:主機發現、設備識別、配置管理,以及固件更新。

(a)主機發現

IoTAegis借助于Avahi客户端库构建“DNS-SD配置文件”,用于被动监测网络上的服务和主机,或利用Nmap 和 Zmap等开源程序主动扫描特定端口并识别主机。例如识别开放TCP端口80和443的非SCADA设备,以及开放TCP端口502(Modbus协议)、TCP端口20,000(DNP3协议)和UDP端口47,808(BACnet协议)的SCADA设备。

(b)設備識別

IoTAegis根据不同通讯协议所对应的服务,自动识别物联网设备类型。例如,_printer._tcp对应于Unix打印机,_pdl-datastream._tcp对应于页面描述语言(PDL)打印机,而_ipp._tcp对应于Internet打印协议(IPP)打印机。此外,利用DNS-SD TXT 记录中的键值对,可进一步获取设备品牌和型号信息。

當設備的識別信息不足或沒有發布DNS-SD數據時,IoTAegis可以通過“協議配置文件”發起特定請求,再由“設備配置文件”根據反饋信息識別設備。例如,可以向設備發起HTTP請求,再根據HTTP索引頁面匹配設備簽名。“協議配置文件”不限于HTTP協議,可以根據需要進行擴展,相應地,可以開發新的“設備配置文件”及程序邏輯以識別更多設備。

(c)配置管理

IoTAegis提供了安全配置管理的功能,當設備使用簡單的HTTP身份驗證時,IoTAegis會嘗試使用默認身份驗證信息登錄,如登錄成功,IoTAegis會自動更新用戶名和密碼,並存儲在密碼管理工具中,用戶可以通過訪問密碼管理工具獲取密碼並登陸設備。除了默認密碼配置問題之外,IoTAegis還能檢測到一些開啓但並未使用的網絡端口,這些端口爲網絡攻擊提供了更多潛在的威脅。用戶可以根據不同設備,在“設備配置文件”中管理並更新所開啓的通訊協議和安全設置。因此,IoTAegis的“設備配置文件”可以替代物聯網供應商提供的設備配置軟件,統一的用戶管理界面更方便用戶管理連接到其家庭或工作網絡中的各種設備。

(d)固件更新

對于檢測到的設備,IoTAegis會自動下載相應的遠程固件更新(RFU)文件並與當前設備固件的版本比對,對仍使用舊版本的設備,IoTAegis會將RFU文件傳輸到設備相應端口進行更新。在將固件更新到最新版本之前,有時需要一些邏輯將非常舊的固件更新爲中間版本,IoTAegis會將這些邏輯包含在“設備配置文件”中,從而准確控制更新過程。下載並傳輸固件後,打印機將執行RFU文件中包含的更新命令,無需用戶幹預。利用IoTAegis的固件更新功能,網絡上的物聯網設備可以使用最新版本的固件,以防止攻擊者利用已知漏洞發起網絡攻擊。

IoTAegis并非解决此问题的唯一方案,網絡安全公司诺顿开发的Norton Core提供了智能家庭路由器解决方案。郑致远博士也对比分析了IoTAegis和Norton Core的不同:“Norton Core通过网络层的流量监测来发现可疑的物联网设备,而IoTAegis是通过设备层的安全管理来保护物联网设备。两者采用的方法不同。”

IoTAegis意在防範Mirai等惡意軟件攻擊,爲整個物聯網安全領域帶來很大的改變。該解決方案能有效的更新物聯網設備的安全設置,並且方案成本很低,靈活性高,可以跟現有的網關路由器結合,適用于大型工作網絡和小型家庭網絡。據了解,IoTAegis已經被國內外很多院校機構使用來保護物聯網設備。該研究成果也被國內外一些媒體報道,包括Infosecurity等。

IoTAegis只是鄭博士和所在團隊的研究成果之一,他們的研究方向還包括利用機器學習和隨機過程解決工業控制系統,汽車系統,智能電網等的安全問題,這些領域極爲重要並很有挑戰。關于更多該團隊的研究成果,請登錄其實驗室網站。

文中提及的研究成果和图片均来自论文“Zhiyuan Zheng, Allen Webb, A. L. Narasimha Reddy, Riccardo Bettati, IoTAegis: A Scalable Framework to Secure the Internet of Things, Invited Paper at IEEE ICCCN, July 2018.” 。郑致远博士毕业于美国德州农工大学计算机工程专业,研究方向包括網絡安全,工业控制系统和物联网安全,现工作于Pinterest。Allen Webb毕业于美国德州农工大学计算机工程专业,主要研究網絡安全,现工作于Google。Reddy教授和Bettati教授工作于美国德州农工大学,研究方向包括網絡安全,操作系统,计算机存储系统等。