物联网已成黑客盛宴?巴斯光年实验室点评2017年网络安全事件
每到年底,我们都会收到来自派出所民警的贴心关怀:“防火防电防偷盗”,如今这三防得再加上一防了,那就是对网络风险的防御。在万物互联的时代,我们享受着网购、网游、移动支付等诸多便利,而这也给犯罪分子提供了新“灵感”。据统计, 2016 年中国因数据泄露引发的经济损失高达 915 亿元。许多信息网络漏洞和攻击工具被不法分子商品化,使信息安全威胁的范围进一步扩大。
在今年的各种PWN会议(破解大会)上,极客团队们现场演示了许多骇人的破解,扩大NFC刷卡距离以盗刷别人的信用卡,无需指纹密码就能堂而皇之地打开你家的智能门锁,超声波攻击Apple Siri即可将木马植入手机,远程操控心脏起搏器输出高压电流杀人......这些恐怖的故事随时有可能变成现实。
那么黑客现在又有了哪些“黑魔法”,我们又该如何防范网络风险呢?记者采访了蚂蚁金服巴斯光年安全实验室,请他们从专业技术层面为我们解读 2017 年发生过的代表性网络安全事件,为业界和用户揭示智能设备的安全风险和保护手段。
1、CIA和NSA黑客工具包泄露
今年三四月份,美国中央情报局(CIA)和美国国家安全局(NSA)的黑客工具包分别遭公布。这些工具的攻击对象包括微软、安卓、苹果iOS、Apple OS X和Linux等操作系统以及某些智能电视、路由器等网络节点单元和智能设备。其中,Windows漏洞EternalBlue(永恒之蓝)的泄露,更是为勒索病毒“WannaCry”的爆发埋下伏笔。
巴斯光年点评:
各国政府都会研究一些用于安全对抗与制衡的具有极强攻击性的漏洞利用攻击套件,它们既是网络空间安全实力的体现,同时也是一种安全隐患。因为这种武器化的漏洞一旦泄露,对企业个人乃至政府部门会构成极大的安全威胁。WannaCry就是一个典型的案例。在网络空间安全重要性日益显露的今天,如何防止网络空间的武器化攻击套件被窃取滥用,这是需要慎重考虑的问题。
2、WannaCry勒索病毒席卷全球
5 月 12 日,一个名为“WannaCry”的勒索蠕虫病毒在全球大范围爆发并蔓延, 100 多个国家的数十万名用户中招,其中包括医疗、教育等公用事业单位和有名声的大公司。这款病毒对计算机内的文档、图片、程序等实施高强度加密锁定,并向用户索取以比特币支付的赎金。
巴斯光年点评:
WannaCry是全球首款通过武器化的系统漏洞实现传播的勒索蠕虫病毒。依托于被泄露的Windows漏洞“永恒之蓝”,只要开机联网且漏洞存在,它就能入侵电脑。比起传统蠕虫病毒依附下载安装等被动式传播,WannaCry通过漏洞,主动扫描网段式的传播速度可以说是建立了蠕虫传播速度的新纪录,相当于原来是靠徒步,现在飞车前行。在WannaCry蠕虫爆发之后,还陆续出现了更多的以美国国家安全局(NSA)泄露的武器化漏洞为基础、进行远程攻击并传播的蠕虫病毒,这也标志这制作蠕虫病毒的技术的进一步提升。另外,要求以比特币形式支付赎金的操作也很心机,区块链系统中,支持匿名的收付方式让警方难以根据金钱流向查人。
公共系统频繁成为勒索病毒的受害者,医院、电力、机场、交通等因遭受攻击瘫痪,严重影响整个社会运转和民众生活。面对已公布的漏洞以及勒索病毒爆发和后期变种时,相关政府部门应迅速制定措施,引导并更新基础设施的各种漏洞补丁。
3、勒索病毒冒充“王者荣耀辅助工具”
今年 6 月,一款冒充“王者荣耀辅助工具”的勒索病毒,通过PC端和手机端的社交平台、游戏群等渠道大肆扩散,威胁几乎所有Android平台,设备一旦感染后,病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密,如不支付勒索费用,文件将会被破坏,还会使系统运行异常。
巴斯光年点评:
作为移动互联网的头号终端,手机面临的攻击日益增加,开放的Android系统更是如此。 2017 年上半年中国网络安全报告显示,排名前 5 位的手机病毒均是针对Android系统。在最近几次的PWN活动中,巴斯光年安全实验室演示利用某安卓手机系统漏洞,远程在手机中静默地安装恶意应用及植入恶意图片,成功窃取了现场演示观众的照片。
目前Android ROM存在的安全问题非常严重,很多病毒通过ROM进行传播,植入系统底层,无法查杀,还能获取到系统所有权限,导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件、泄露个人信息等,甚至会损毁SIM卡、芯片等硬件,造成使用者无法正常使用手机。用户需尽量避免刷一些第三方提供的ROM,因为开发者代码质量良莠不齐,很容易存在安全漏洞。整个行业急需加大对ROM安全的关注,作为移动设备基础设施,保障用户根本安全。另外值得注意的是,借势热门APP和仿照计算机病毒的手机病毒越来越多,用户下载APP插件时需注意辨别。
4、央视调查发现大量家庭摄像头被入侵
今年 6 月,央视《每周质量报告》调查发现网上有众多家庭摄像隐私在售,黑客利用弱口令密码大范围扫描家用摄像头进行破解,可获得IP地址和登录密码,远程操作别人家的摄像头。随后在质检总局的抽检中,采样品牌涵盖市场关注度前 5 位产品的情况下, 40 批次产品中有 32 批次存在安全漏洞,占比高达80%。
巴斯光年点评:
物联时代,智能产品越来越多,功能大幅升级。然而由于IOT(物联网)设备开发水平尚未成熟,其在“云端+终端+手机APP”的业务环节上,安全漏洞频出,设备安全机制甚至已知漏洞的修复程度都明显落后业界平均水平。对攻击者而言是一个是低攻击成本,高隐形收益的的不二对象。 2016 年,Mirai蠕虫病毒批量控制全球大量摄像头发起DDOS攻击,导致许多网站宕机;在XDEF 2017 安全峰会上,巴斯光年安全实验室的安全研究人员也演示了,通过Wi-Fi可以远程在微单上安装具有勒索和窃取照片功能的恶意软件,从而获取操作系统的最高权限,通过相机远程获取各种图片信息。
值得重视的是,大量在桌面操作系统已经修复的安全漏洞在IOT设备上可能被重新利用,而这些与物理世界连密更密切的设备一旦被操控会带来更可怕的后果,甚至威胁到人身财产安全。IOT设备的安全性需要全行业的重视,各方应从网络数据传输的安全、协议层数据的合规、系统层漏洞的修补、固件的加固与加密校验以及硬件设计的安全封闭等多个环节保障用户的信息安全和使用安全。同时,也要关注公共系统在物联网设备使用上的安全性。
采访中,巴斯光年安全实验室的安全攻防技术负责人曲和强调,如今的安全问题已经不是一家公司、一个领域能够抵抗的。即使是系统开发相对封闭的苹果,也会需要其他公司在漏洞修复上的支持。大量的黑客试图通过各种手段获取对用户设备的远程控制权,在XPwn2017 未来安全探索盛会上,巴斯光年安全实验室对市场上 7 大主流智能手机进行了破解演示。通过让用户扫描一个恶意的二维码,导向到一个包含漏洞利用的攻击性网页链接,之后黑客便可远程获取用户设备的控制权,读取修改删除用户隐私文件。
作为普及率最高的移动网络终端,智能手机的使用安全关乎大量用户,降低使用风险要关注以下几点:尽量不给手机越狱、关闭手机的开发者模式(如Android中的调试模式)、从安全可信任的应用市场中下载软件; 不使用缺少信任的免费WIFI上网;在邮件短信中不点击不明链接、二维码、图片,不安装不明的应用程序,谨防手机木马;手机丢失或中木马以后,应及时联系手机服务运营商和支付服务商进行挂失。