趨勢科技最新研究表明,不安全物聯網(IoT)設備4個月內洩露了2.1億多條數據。被洩數據中包含的機密郵件會令工業間諜、拒絕服務攻擊和針對性攻擊幾乎沒完沒了。這份65頁的報告中提到了AWS的IoT設置,以之作為可以防止此類洩露的最佳實踐樣例。
問題出在哪兒?
這家總部位於日本東京和美國硅谷的安全公司發現,兩大機器對機器(M2M)協議——消息隊列遙測傳輸(MQTT)和約束應用協議(CoAP),有著嚴重的設計缺陷和部署安全缺失。
數億消息因而經由暴露在網上的代理和服務器洩露出去。攻擊者只需關鍵字搜索便能在網上定位這些消息。
趨勢科技掃描了互聯網,共在78,549個代理上找出2.09億條MQTT消息。
不安全IoT:漏漏協議
帶漏洞MQTT協議的一個樣例是Douzone開發的安卓群件應用 Bizbox Alpha。
趨勢科技在報告中指出:該應用使用的一個代理某段時期配置錯誤,在4個月裡洩露了55,475條消息,其中包含1.8萬封郵件消息。
趨勢科技的研究團隊在這些被洩消息中發現了與業務運營相關的私密信息,比如商務聯繫人信息及其相互間的通信。
實現及設計問題
MQTT協議還存在多個實現及設計上的問題,比如流行代理Mosquito就允許被黑客戶端發送無效數據。
利用CVE-2017-7653漏洞,發送一條無效UTF-8主題字符串就能使客戶端與代理斷開,從而引發拒絕服務攻擊。
約束應用協議(CoAP)也可致信息洩露。CoAP通過啟動客戶端節點向服務器節點發送請求來交換數據。
客戶端隨時可以向服務器發送CoAP數據包。每條請求都有幾個選項,最重要的一個選項是統一資源標識符(URI),指明通往所請求資源的“路徑”——與網站用的統一資源定位符(URL)類似。
研究人員掃描了網上暴露的CoAP主機,從近50萬臺服務器上發現了超過1900萬條響應。不過,他們並沒有在CoAP協議中發現設計缺陷。
趨勢科技網絡安全副總裁 Greg Young 表示:這些協議在設計時就沒考慮過安全,但卻廣泛應用在任務關鍵環境和用例中。
這反映出嚴重的網絡安全風險。黑客只需一點點資源就可以利用這些設計漏洞執行偵察、橫向移動、數據盜竊和拒絕服務攻擊。
最佳實踐
趨勢科技給出的最佳實踐樣例是 AWS IoT:
AWS IoT 中,用戶(甚至非專家用戶)無法以不安全的方式連接IoT設備,也不能創建 AWS IoT 後端不安全實例。該服務基本上就是個託管MQTT代理,具備以下功能:
- 強制TLS加密。除了TLS,沒有別的方法可以連接到該代理。
- 強制使用設備證書實現基於TLS的相互身份驗證。每個新節點必須有個新證書,用於供服務器對其進行身份驗證,還要有個供節點對 AWS IoT 服務器進行身份驗證的證書。如果節點掉線或被黑,管理面板可以撤銷其證書。
- 禁用 QoS = 2 和保留消息。這能有效減少拒絕服務風險和威力。如果惡意發佈者發送 QoS = 2 消息(消息必須經驗證且要求兩邊都傳輸兩次)並啟用“保留選項”,將會造成消息發送無限循環,直到訂閱者及所有未來訂閱者ACK(告知收到)該消息。如果因為故障而某條消息沒被確認,代理會一直重複發送該消息。
- 可用性。所有上述功能都封裝到一個可用Web嚮導中,指導用戶從零開始學會使用內聯文檔進行測試。
閱讀更多 安全牛 的文章
