为什么物联网设备会成为僵尸网络备受吸引的攻击目标？

最近一家总部位于特拉华州的实体珠宝店在防御了一起大规模多极的DDoS攻击之后无法获取它的在线资源。DDoS攻击是一种通过向服务器提交大量相似的请求而使服务器超负荷最终崩溃的网络攻击手法。

DDoS攻击并不是什么新鲜事，但完全由物联网设备发起的DDoS攻击确实十分罕见。这种攻击背后的罪魁祸首是一个由25000个缺乏抵抗力的网络闭路电视摄像头组成的僵尸网络，这些拥有高传输带宽连接的网络闭路电视摄像头分散在世界各个角落。

物联网僵尸网络的兴起，是2016年网络安全发展趋势的一大预测。特拉华州珠宝事件背后的技术细节又一次警告我们物联网僵尸网络可以有多危险。随着越来越多无防御能力的物联网设备每天都连接到互联网上，恶意僵尸程序的控制者更容易为僵尸机器死忠军队招募到新兵——而他们的下一个目标可能就是你的智能冰箱、灯泡、烧水壶或门锁。

以下是关于物联网僵尸网络你所需要知道的一些知识，以及用来抵御这个日益严重的威胁你所能采取的一些措施。

为什么物联网设备会成为僵尸网络备受吸引的攻击目标？

物联网设备的防御功能远低于个人电脑和智能手机等通用计算机设备，这一点已经成为常识。“与个人电脑或服务器不同的是，大部分物联网设备没有受到很好的保护——有的甚至一点保护都没有。”网络安全公司Imperva Incapsula的一名高级经理Igal Zeifman如此说道，“尽管许多物联网设备都连接高速宽带，并像普通电脑一样拥有许多处理功能。”

Imperva Incapsula这家公司因好几次在僵尸网络威胁爆发之际发出警告而闻名。早在2014年3月这家公司就发过这样的预警。

Zeifman认为闭路电视摄像头和网络摄像头尤其需要特别关注。其他专家的研究工作证实了Zeifman的观点。Arbor Networks的研究人员最近发现网络犯罪分子通过改编臭名昭著的僵尸网络恶意软件LizardStresser的源代码来感染物联网设备，这其中90%的攻击目标是可连接网络的相机。Matthew Bing是这项研究的一名工作人员，他在所发表的一篇博客里描述到，僵尸网络节点所累积的带宽已被用来对银行、游戏网站、互联网服务供应商和政府机构发起高达400 Gbps的DDoS攻击。

最后一次有人登录家里的灯泡进行tcpdump来检测是否有流氓数据包是什么时候？

——Deepindher Singh

有一些问题根源于物联网设备固有的局限性。“设备本身的局限致使防恶意软件、防病毒和防火墙等此类代理无法在设备上运行以保护自己，因此，很难将传统的信息技术安全实践运用在物联网设备上。”Subex的业务拓展专家Preetham Naik说道。这些局限包括计算和存储限制，以及只能使用精简版的操作系统，比如Linux精简版系统。

正如Zeifman指出，高级计算力、高连接性和薄弱的安全性能使物联网设备成为“僵尸网络招募的完美候选人”。

与此相关的还有物联网设备基本自治的本质。“基本问题是大部分物联网设备是为了实现某个非常具体的功能而存在的’东西’。”物联网制造商75F的创始人兼CEO，Deepindher Singh说，“一旦搭建完毕，我们往往会忘记它们实际上是连接到互联网上的，它们实际上是非常容易受到攻击的。”

Singh认为，提到目前没有方法或者说仅能使用web浏览器或应用程序这些繁琐的访问方法来监控每个设备时，有限用户接口是导致物联网设备安全问题被忽视的另一个因素。“最后一次有人登录家里的灯泡进行tcpdump来检测是否有流氓数据包是什么时候？”他煞有介事地问道。

制造商和消费者也有责任

不是所有的一切都与不可改变的物联网局限性有关。正如云安全公司Zscaler的EMEA区域首席信息安全官Chris Hodson在SC杂志上阐释的那样，严格的市场时限和昂贵的硬件成本使物联网设备的安全开发生命周期通常都被加速或者被忽视。

“制造商正在寻找负担得起的硬件组件，增加利润空间。”Hodson说，“物联网设备中便宜的、轻量级的组件往往缺乏提供基本安全服务（比如加密）的能力，因为硬件完全无法支持。”

Subex公司的Naik强调制造商必须采用“安全设计”作为发展策略。“考虑到物联网设备的使用时间将比信息技术设备更长久，”他说，“设备的补丁和维护能力应该成为设计中的一个重要考虑因素。”Naik还强调在将第三方组件集成到物联网产品前制造商应仔细检测这些组件。奥地利本土的咨询公司SEC在去年11月发布的一份报告中揭示了在物联网设备间再使用未进行评估的组件所存在的安全隐患。

prpl基金会的首席安全策略师Cesare Garlati强调物联网必须在硬件和芯片层面内嵌安全保护，他指出“补丁在管理员优先级列表上并不靠前”。

防卫者需要堵上所有的漏洞——而攻击者只需要找到一个。

Galarti的评论也让人想起导致物联网僵尸网络发展的另一个流行甚广的问题，那就是消费者对物联网安全问题的巨大忽视。

例如，LizardStresser僵尸网络通过尝试它在Shodan搜索引擎上找到的设备的默认凭证来获取攻击目标。 这是一个非常有效的策略，因为大多数消费者从未改变物联网设备的默认出厂设置。

消费者对安全问题缺乏认识无法刺激供应商生产更安全的产品。“供应商试图改变现状，但这代价很高。”Fraunhofer研究所的研究员Steffen Wendzel说，“由于客户并不为安全买单，供应商也并没有从中真正获利。”由Wendzel合著的一份研究论文详述了在物联网开发和使用过程中的不同参与方对其安全意识的缺乏是如何造就缺陷产品的产生。

ZScaler公司的Hodson进一步阐述观点说，“直到消费者要求在硬件开发生命周期里嵌入安全保护，制造商不会有任何压力来改变他们的方法。”

Zeifman建议制造商可以通过教育消费者和执行更严格的安全策略来减少些安全问题所带来的破坏。“比如，制造商可以做出更大的努力来实现更好的密码管理策略和定期固件更新。”他说。

Naik表示赞同，强调说供应商应该将设置复杂的密码作为他们产品的要求。“客户应该被强制修改密码，并且必须经常修改密码。”他补充道。

物联网僵尸网络将不仅仅只是HTTP攻击

虽然目前大多数物联网僵尸网络是针对web服务器和应用服务器，但他们可以被用来造成更大的破坏。

云的强大之处在于它的弹性以及对变化的进化和适应能力，这些变化扭转了物联网僵尸网络的威胁局面。

“我认为物联网僵尸网络的终极目标并不是发送垃圾邮件。”Fraunhofer研究所的研究员Wendzel说，“相反，只有他们真使用了他们的物理功能才合理。他们要么监测环境（执行监视），要么改变环境（执行实际行动）。这点使得物联网僵尸网络比传统僵尸网络更为危险。”他在论文中就这个问题进一步作了阐述。

“例如，假如你是某个智能城市／区域的石油或天然气的本地供应商，那你就能够攻击那个城市的智能家居系统。”Wendzel说，“这样做，你就可以调高供暖等级。结果，人们需要消耗更多的石油／天然气，就会很快再来买你的石油／天然气。”

如何保护你免受物联网僵尸网络的困扰

综合判断和物联网安全实践（比如修改密码、关闭不需要的功能）在规避一些更为基本但极其有效的攻击（比如强力设备证书扫描）上大有效果。

但是随着物联网僵尸网络的兴起，攻击者将开发更复杂的方法来锁定目标，诱捕不受保护的脆弱的物联网设备，并利用这些设备来进行大规模的DDoS攻击。这就要求有更高级的保护措施。

“缓解这样的攻击依靠网络的扩展能力和计算资源的扩大能力，以及精确分析传入流量以清除恶意访问者的能力。”Imperva Incapsula公司的Zeifman说。他认为这些可以通过基于云计算的安全解决方案来实现，而非内部安全工具。

Imperva Incapsula公司的云安全平台，Zeifman描述道，利用云的力量同时执行多种功能，比如检查传入流量，通过行为检测、签名检测、IP历史检测和对从数百万端点收集的大量信息进行交叉检查以识别威胁。这个平台由多个可扩展的组件组成，包括一个Web应用程序防火墙（WAF）和一个DDoS攻击缓解系统。

云的强大之处在于它的弹性以及对变化的进化和适应能力，这些变化扭转了物联网僵尸网络的威胁局面。“检测方法跟犯罪者可获取的攻击途径一样多种多样。”Zeifman说道，“随着物联网僵尸网络的发展，安全解决方案也随之发展，这种关系经常被描述为无限循环的猫鼠游戏。”

Subex的网络监控平台通过一种三层防御机制来保护物联网不受僵尸网络的攻击，这种防御机制基于签名检测、启发式检测和异常检测。据Naik所说，一个覆盖了不同物联网设备架构的物联网蜜罐网络检测到了新的威胁签名；通过分析个人设备行为来识别异常，这种分析根据传输周期、有效载荷大小、协议和端口等参数进行；一个整合的入侵检测系统（IDS）检测到僵尸网络对物联网生态系统的侵入；通过WAF来保证物联网网络接口的安全。

75F公司的Singh认为物联网僵尸网络的传播应该通过执行正确的设计和开发策略来从源头上遏制。他创立公司时专注于坚持一个他将之描述为“拥有保护所有本地设备的安全网关”的范式。物联网网关更能够运行安全解决方案，这给计算资源有限的物联网设备增加了一层保护。

75F还增加了用户体验模块，例如触摸屏、设备和网关的液晶显示，以最小化远程TCP访问的需要。在需要远程访问的情况下，在设置过程中创建独特的密码以防止强力攻击。

75F彻底检查测试设备，而不急于运送；这消除了OTA升级的必要性，Singh解释说，黑客可以通过OTA升级来推送恶意更新。

总而言之，物联网僵尸网络是众多安全威胁中的一种，就像其他网络安全威胁一样，防卫者需要堵住所有的漏洞——而攻击者只需要找到一个。因此，当物联网僵尸网络成为当前明确存在的危险时，只有在参与其中的每个人——包括消费者、制造商和IT专家——的共同努力下才能制止这种威胁。

作者：Ben Dickson：Crunch网络撰稿人