搞大事！13.7亿数据泄露案，物联网设备只能坐以待毙？

时间：2017-03-09 15:24:38

关键字：大数据数据泄露物联网黑客

手机看文章

扫描二维码
随时随地手机看文章

[导读]近日，著名的“数据泄露猎人”Chris Vickery在Twitter上说自己将在美国当地时间3月6日公布一起“14亿身份泄露大案。”

近日，著名的“数据泄露猎人”Chris Vickery在Twitter上说自己将在美国当地时间3月6日公布一起“14亿身份泄露大案。”

次日他又发了另一条推文中，Vickery 又继续卖关子，不过将可能被泄露的数据量精确到13.7亿。

而就在不久前， Vickery再次发表了一篇博文，这个13.7亿数据泄露的真相如约而至：

一个叫“江城数字媒体”(River city Media)的公司，伪装成一个合法的营销公司，但其实背后是两个知名的垃圾邮件制造者在提供业务支撑，每天发送10亿规模的垃圾邮件，堪比一个“垃圾邮件帝国”。

一个错误的备份不经意间暴露他们的整个工作数据库，导致所有用户的数据完全曝光，其中包含超过13亿7000万个电子邮件地址，并记录有一些额外的细节，如姓名，真实的地址和IP地址。

这些收集来的电子邮件通过技术手段进行自动化信息关联、数据筛选。在利益的驱使下进行数据交换、售卖，最终形成一个庞大的数据库。

Vickery 指出：

他们12个人每天就能发送十亿级别的垃圾邮件，其中显然包含了非常多的自动化操作，成熟的技术手段，甚至不少非法的黑客技术，比如非法IP劫持、Slowloris 攻击等等。

经过验证，Vickery 发现此次泄露的13.7亿数据中，其中相当一部分是准确的。

看到网友对这次事件的热烈讨论和由此产生的担忧，iot101君忍不住轻哼一声，和物联网时代由数据安全带来的事故相比，这种邮箱、姓名等信息的泄露问题简直就是小儿科嘛!

近期一个发生在台湾的安全事件值得一提

台湾46所学校的网络打印机突然印出了一张署名为Emerson Rodrigues的恐吓信，要求在指定时间前需支付3个比特币的保护费，扬言若未付款就发动攻击来瘫痪学校网络。

教育部清查后证实，在这46所收到黑客威胁信的学校中，其中大专院校占59%，其次中小学校占25%，由于还有部分县市尚未通报给主管机关，受害数量或许更多。此外，教育部同时指出，在黑客入侵的打印机中，HP打印机数量最多占73%，其次是EPSON占了7%。

根据教育机构资安通报平台公告解释，因部分学校打印机和物联网设备使用默认密码，以及大部分联机打印机使用外网IP，相关信息暴露在网络上，造成黑客入侵打印恐吓讯息或作为攻击工具。

更有报道称：卡巴斯基研究室发现，目前有500台Win32环境的服务器，专门感染Windows装置，成了Windows版殭尸网络Mirai的散布者(所谓Mirai则专门以物联网设备(IoT)为感染目标形成僵尸网络而著名)。其中，有些主机是中文系统，服务器主机甚至设置在台湾维护，从事窃取中国设备制造商的程序代码签署凭证。Windows版Mirai主要感染采用Windows操作系统的IP摄影机、DVR、家庭媒体、树莓派装置和香蕉派装置。此外，卡巴斯基实验室全球研究分析团队进一步说明，多数人误以为Windows版Mirai是最近刚出现的原生IoT殭尸网络，但其实是既有的Windows殭尸网络，利用了可以感染Windows装置的Mirai变种来扩大规模。

回顾2016年常用的物联网设备攻击手段

不要以为14 亿身份泄露曝光事件与物联网时代丝毫没有关系，事实上黑客使用的是相同的攻击方法，Slowloris攻击则是最广为人知的方法。而唯一不同的就是攻击的对象转为物联网设备而已。

在智能化解决方案供应商Radware ERT团队的全年不断地回顾并分析这些攻击后，得出了一个结论：在2016年，攻击者最常用的两个攻击是突发式攻击，又名“打了就跑”攻击，另一个是高级持续性拒绝服务(ApDoS)攻击。

就拒绝服务攻击而言，2016年应该算是多事之秋了。在这一年里，整个行业遭遇了有史以来规模最大的攻击，并出现了很多测试并挑战现代防御措施的新攻击方法。Radware发现许多攻击者使用了随机间隔的高容量突发式攻击，这些攻击可以持续数周，包含有多个可以同时攻击所有网络层的攻击载体。这些类型的攻击很可能引发网络服务器SLA的频繁中断，并阻碍合法用户访问服务。

另一方面，黑客也在寻求可以实行网络瘫痪式攻击的新载体和方法。2016年，Radware注意到物联网(IoT)被广泛用于创建强大的僵尸网络，以及BlackNurse、ICMP攻击等许多新的攻击载体。最值得注意的是某用户在HackForum上发布的Mirai僵尸网络源代码。该僵尸网络利用了在基于BusyBox的IoT设备上发现的60多个出厂默认凭证，创建了迄今为止最为强大的僵尸网络。Mirai背后更令人关注的因素之一就是通用路由封装(GRE)攻击载体。这一相对较新的方法在数据包中封装了包含大量的数据，试图使接收网络因解封负载时而耗尽资源。

DDOS攻击最简单产生效果，因为一般设备都会固定死服务器地址，只要源源不断的建立连接发送数据，很快就可以耗尽服务器资源。并且绝大部分物联网云平台非常脆弱，在此非法数据攻击之下，可以靠近CPU、内存、带宽，并产生大量错误日志消耗硬盘资源。所有固定指向该服务器的硬件设备，将全部无法使用网络功能。

其他物联网设备攻击方法

重放攻击RelayAttach

反复给设备上电断电，观察数据包变化情况。如果多次上电断电得到的数据包相同，那么就完全具备了重放攻击的条件。那么只需要把这个数据包内容按照十六进制字符复制下来，然后借助工具向服务器相应端口快速发送海量请求。基于安全评估需要，超级码神工具提供该功能。重放攻击最大优势是不怕一切防火墙，因为发过去的数据包都是合法数据包，防火墙必须放行!

业务数据干扰

一般硬件跟服务端通信指令分为三种：登录验证、心跳、业务数据传输。目前国内小公司生产的联网设备，约有90%根本没有登录验证，这就为业务数据干扰攻击提供了可能。这些小公司几乎没有互联网系统开发经验，大多数从串口设备控制转化而来，熟悉Modbus(没有验证)，直接进行业务数据透传，根本没有验证和心跳。更多的公司没有能力去做联网通信模块，直接采购其它小公司的联网模块，最多的就是串口透传模块。而模块提供商为了降低模块使用复杂度以及提升兼容性，更不会去做验证。

如果多个数据包格式完全一样，只有局部数据变化，很有可能就是直接透传的数据。这个时候，安全评估人员不仅可以解码得到设备出来的数据，还可以伪造数据发给服务端。

WiFi攻击

最近两年WiFi在智能硬件中的应用非常流行。一般WiFi模块有3种用法：

模块自身带有一些IO口，可以实现简单的开关控制。模块厂商会开放控制协议。

串口透传，单片机发给模块的任何数据，模块都会发给对应的云平台，云平台下发的数据也可以通过串口收到

SoC片上开发，自定义协议

很显然，前面两点简单易用，但正是这个原因，通信协议根本没有加密，也没有设备的身份验证。目前在市场上99%模块都是这样，比如最流行的ESP8266。至今为止，尚未见到过做了安全处理的WiFi模块。

Zigbee攻击

Zigbee宣称很安全，但是进入国内以后，所有厂商基于商业壁垒需要，都会修改Zigbee协议，或者加上不同的密码。Zigbee模块跟WiFi模块类似，前面两点同样非常容易攻击。不管Zigbee协议是多么的安全，同一家模块厂商生产的Zigbee模块通信密码都是完全一样的，除非客户特别要求。也就是说，如果安全评估人员想攻击Zigbee设备或Zigbee网关，只需要去同一个Zigbee模块厂家购买一个模块即可。