近来,美国、德国互联网接连遭受大规模拒绝服务攻击,给以上国家互联网的稳定运行造成了严重影响。据境外媒体报道,这些攻击都是由摄像头、家用路由器等联网智能设备发起。事实上,我国也曾多次遭受类似情况的大规模攻击,例如,2014年12月,我国互联网DNS递归解析体系遭受大规模拒绝服务攻击,导致域名解析服务大面积出现不稳定现象,也是由摄像头、路由器等联网智能设备发起的。以视频监控设备、家用路由器和电视机顶盒等为代表的联网智能设备被入侵控制,不但会导致视频影像、个人隐私和用户数据发生泄露,若这些受感染的设备被恶意利用,还将直接危害互联网关键信息基础设施安全,应引起重视。
一、智能设备漏洞和恶意程序情况分析
从2013年起,国家互联网应急中心(以下简称“CNCERT”)加强了对智能设备安全漏洞的收集整理工作,并对智能设备上恶意代码进行了持续监测。
在漏洞分析方面,2013年以来,国家信息安全漏洞共享平台(以下简称“CNVD”)共收录智能摄像头类设备存在的安全漏洞30余个,包括弱口令高危漏洞、远程命令执行高危漏洞、未授权访问高危漏洞等。针对发现的安全漏洞,CNVD平台及时对设备运营企业进行预警和通报,并提供相关解决方案,要求尽快修复以降低安全风险。
在目前活跃在智能设备上的恶意代码进行监测分析方面,发现这些智能设备恶意代码的入侵途径一般通过Telnet和SSH等远程管理服务弱口令,破壳漏洞、web服务漏洞及其他应用协议漏洞。以当前关注度较高的Mirai木马程序(以下简称“Mirai”)为例,Mirai主要针对智能设备,且具有蠕虫感染的特点。2016年9月30日黑客Anna-senpai在论坛上公布Mirai源代码,引起了广泛的关注和其他黑客的恶意利用。截止目前,Mirai兼容多个硬件平台,CNCERT监测发现的Mirai家族文件名有mirai.arm7、mirai.arm、mirai.mips、mirai.ppc、mirai.x86。联网智能设备被Mirai入侵控制后,可被用于实施分布式拒绝服务攻击、感染入侵其他设备,且可导致被控设备存在泄露用户信息和视频影像风险。2016年10月24日至11月30日,CNCERT对利用感染Mirai的联网智能设备发动网络攻击情况进行抽样检测发现,木马程序控制服务器IP地址达2341个,疑似被控智能设备IP地址105.9万余个,恶意代码下载服务器IP 地址56个。
二、加强智能设备网络安全的建议
随着家居智能设备数量的快速增长,联网智能设备安全问题日益凸显,为有效降低智能设备的安全危险,建议:
(一)智能设备生产厂商应做好设备全生命周期的安全保障工作,具备完善的网络安全应急处置预案,包括设备出厂时做好设备安全风险评估并不使用统一的默认密码;发现设备存在漏洞或被植入恶意程序时,能够提供在线升级功能或及时通知用户进行手动修复等。
(二)智能设备用户单位应规范设备安全配置,关闭不必要的远程服务端口,修复弱口令等问题,定期开展网络安全风险评估以提高安全防护水平。及时关注设备漏洞信息,做好补丁修复工作,发现设备被植入恶意程序后,立即开展清理工作。
CNCERT将持续进行智能设备漏洞和恶意程序分析工作,并开展应急处置协调工作,如需技术支援,请联系CNCERT(电话 010-82990999,邮箱cncert@cert.org.cn)。
责任编辑:许先进
关闭