来源:安全牛nana 转载:毕安信息
趋势科技最新研究表明,不安全物联网(IoT)设备4个月内泄露了2.1亿多条数据。被泄数据中包含的机密邮件会令工业间谍、拒绝服务攻击和针对性攻击几乎没完没了。这份65页的报告中提到了AWS的IoT设置,以之作为可以防止此类泄露的最佳实践样例。
问题出在哪儿?
这家总部位于日本东京和美国硅谷的安全公司发现,两大机器对机器(M2M)协议——消息队列遥测传输(MQTT)和约束应用协议(CoAP),有着严重的设计缺陷和部署安全缺失。
数亿消息因而经由暴露在网上的代理和服务器泄露出去。攻击者只需关键字搜索便能在网上定位这些消息。
趋势科技扫描了互联网,共在78,549个代理上找出2.09亿条MQTT消息。
不安全IoT:漏漏协议
带漏洞MQTT协议的一个样例是Douzone开发的安卓群件应用 Bizbox Alpha。
趋势科技在报告中指出:该应用使用的一个代理某段时期配置错误,在4个月里泄露了55,475条消息,其中包含1.8万封邮件消息。
趋势科技的研究团队在这些被泄消息中发现了与业务运营相关的私密信息,比如商务联系人信息及其相互间的通信。
实现及设计问题
MQTT协议还存在多个实现及设计上的问题,比如流行代理Mosquito就允许被黑客户端发送无效数据。
利用CVE-2017-7653漏洞,发送一条无效UTF-8主题字符串就能使客户端与代理断开,从而引发拒绝服务攻击。
约束应用协议(CoAP)也可致信息泄露。CoAP通过启动客户端节点向服务器节点发送请求来交换数据。
客户端随时可以向服务器发送CoAP数据包。每条请求都有几个选项,最重要的一个选项是统一资源标识符(URI),指明通往所请求资源的“路径”——与网站用的统一资源定位符(URL)类似。
研究人员扫描了网上暴露的CoAP主机,从近50万台服务器上发现了超过1900万条响应。不过,他们并没有在CoAP协议中发现设计缺陷。
趋势科技网络安全副总裁 Greg Young 表示:这些协议在设计时就没考虑过安全,但却广泛应用在任务关键环境和用例中。
这反映出严重的网络安全风险。黑客只需一点点资源就可以利用这些设计漏洞执行侦察、横向移动、数据盗窃和拒绝服务攻击。
最佳实践
趋势科技给出的最佳实践样例是 AWS IoT:
AWS IoT 中,用户(甚至非专家用户)无法以不安全的方式连接IoT设备,也不能创建 AWS IoT 后端不安全实例。该服务基本上就是个托管MQTT代理,具备以下功能:
l 强制TLS加密。除了TLS,没有别的方法可以连接到该代理。
l 强制使用设备证书实现基于TLS的相互身份验证。每个新节点必须有个新证书,用于供服务器对其进行身份验证,还要有个供节点对 AWS IoT 服务器进行身份验证的证书。如果节点掉线或被黑,管理面板可以撤销其证书。
l 禁用 QoS = 2 和保留消息。这能有效减少拒绝服务风险和威力。如果恶意发布者发送 QoS = 2 消息(消息必须经验证且要求两边都传输两次)并启用“保留选项”,将会造成消息发送无限循环,直到订阅者及所有未来订阅者ACK(告知收到)该消息。如果因为故障而某条消息没被确认,代理会一直重复发送该消息。
l 可用性。所有上述功能都封装到一个可用Web向导中,指导用户从零开始学会使用内联文档进行测试。
我们认为这种部署应为其他服务提供商所用,并作为系统集成商的参考。
充满风险的物联网时代已经来临,每个企业都应该在保护公司和客户数据安全方面提前做好防护准备!
毕安信息,全称毕安信息安全技术(上海)有限公司,是一家物联网安全公司。专注于应用软件和硬件安全防护以及整体安全解决方案,主要从事有关物联网安全,互联网安全的软硬件保护、数据加密、安全防范、下一代防火墙技术、防黑客攻击的技术研发工作,致力于向客户提供专业化的网络安全产品和数据安全防护服务。产品包括毕安云盾 I,II,III 型软件产品,以及毕安云盾安全防火墙、堡垒机等专业信息安全防护设备,能满足用户在协同平台、智慧工地、智慧建筑以及智慧城市网络安全和数据安全等业务场景的各类需求。
网络安全的核心是技术安全, 网络安全必须实现关键核心技术自主可控,对于物联网来说也不例外,安全可控是构建物联网生态并保障其发展的必由之路。毕安信息作为国内首先应用“毕安云盾”等信息安全产品于物联网安全、建筑工程信息安全领域的先驱者,将致力于研究、研发全面系统的智慧建筑网络安全、智慧城市网络安全、智慧园区网络安全、智慧工地网络安全、协同平台网络安全的解决方案及信息安全产品,为建筑物联网+互联网全生命周期的安全运营保驾护航!
