近日,湖北省破獲首例入侵物聯網計算機信息系統刑事案件。經統計��,受害公司因超百臺設備被惡意升級�、10萬臺設備“被”離線而無法使用���。
互聯網發展早期,企業往往對安全建設缺乏重視��。如今��,在物聯網產業發展時期�����,好像也有同樣的征兆和趨勢�����。有專家對隱私護衛隊表示���,這起案件或許暴露出物聯網企業在搶占市場時�����,業務優先�,缺乏對安全的充分考慮。
據警方介紹���,3月21日-22日��,位于光谷總部國際的“微鋒”(化名)科技有限公司的客服接到來自全國各地商家的電話�,反映購買的物聯網設備出現故障����,比如自助洗衣機�����、自助充電樁、自助吹風機����、抓娃娃機����、搖搖車等均脫網無法運行�����。
偵破過程中�,網警通過解密故障設備的源代碼���,提取分析公司服務器的日志���,發現從3月21日20時開始�,服務器收到大量偽造的終端離線報文��,通過溯源分析����,網警鎖定了犯罪嫌疑人��。
經過50多天的偵查�,5月13日,民警在位于東湖新技術開發區精工科技園的“微天地”科技公司抓獲嫌疑人謝某�、王某�����。經審查核實�����,謝某系“微鋒”公司前員工,其2018年初離職時帶走了原公司產品的源代碼,后與王某共同成立了新公司��,成為原公司的競爭對手。
警方介紹說,為提高自己產品的市場占有率,謝某�����、張某購買了“微鋒”的物聯網終端設備并進行破解���,然后利用離職時帶走的源代碼���,偽裝成終端設備���、以每秒三至四千條的速度給服務器發送離線報文����,并且�,由于服務器基本沒有驗證機制,不會判斷終端身份合法性����,“盲目”相信終端發過來的信息���,最終導致10萬臺設備離線����。
此外,謝某���、王某還利用“微鋒”公司的物聯網服務器的漏洞���,將終端設備惡意升級�����,導致100余臺設備系統損壞,無法正常工作���。
目前���,武漢東湖高新技術開發區公安分局依法以涉嫌破壞計算機信息系統罪將謝某、王某刑事拘留��,案件在進一步深挖中�����。
針對上述企業暴露的安全問題�����,隱私護衛隊向多位行業專家咨詢出現問題的原因��。
幾維安全安服專家羅浩對隱私護衛隊分析說,案例中物聯網的網絡架構是典型的“云管端”架構��,通過云端服務器對智能終端進行工作管控��。攻擊者立足于通信管道����,通過對通信協議憑證的偽造分別對云端和智能終端發起了攻擊�。
問題一:物聯網終端不安全
據了解�,每一個物聯網終端設備有一張物聯網卡���,類似手機卡,不能打電話���,主要功能是聯網��。通過物聯網卡���,終端設備可以和云端進行交流��。
上述案例中�����,羅浩表示��,偽裝成終端設備與服務器交流,方法之一是破解物聯網卡,獲取終端與云服務器間的通信協議,再加上謝某從前公司帶走的源代碼�����,攻擊者可以實現偽裝終端�,欺騙服務器���。
問題二:10萬臺設備離線可能暴露的問題
隱私護衛隊發現��,案件中離線的設備數量高達10萬臺�,攻擊者是如何做到的呢���?
有專家對隱私護衛隊表示���,有的終端在設置編號時會采取順位遞增的方式���,比如編號為0001����、0002……,攻擊者可以利用這個漏洞�,偽裝成所有終端設備向服務器發送離線通知�����。
該專家還表示�,解決方案之一是企業在為終端設備編號時采取隨機編號�,“這種技術的成本并不大�����,可能是企業不重視安全或者這塊的能力儲備不具備吧�����?���!?/p>
羅浩提供了另一種解釋:由于攻擊者曾在“微鋒”任職�,了解服務器的運算能力��、處理請求的最大吞吐量等,知道如果按照每秒三至四千條的報文向服務器發送無效請求,服務器在一秒內無法處理這么多請求。
按照正常設備“先進先處理”原則��,多出來的請求需排隊等候處理�����,超過一定時長被定為無效超時���,最終無效請求讓服務器處理分身乏術��,有效請求又遲遲得不到響應��,這也可能導致服務器拒絕服務�,與之相連的數10萬臺設備也就下線了�。
問題三:服務器存在安全漏洞
多位專家對隱私護衛隊表示����,攻擊者偽裝終端設備成功欺騙服務器,還暴露出另一個問題:服務器沒有安全認證機制�����。
梆梆安全技術專家對隱私護衛隊解釋了驗證機制:服務器如果有安全認證,終端發送的離線通知可能是“服務器���,我是XX��,這是我的簽名,我下線了啊�����?����!狈掌髟隍炞C簽名成功之后會答復“好”;沒有安全認證則不會校驗終端服務器的身份是否合法���,這意味著,在此情況下�,偽裝的終端很容易欺騙成功。
“云端服務器缺乏對接入物聯網終端設備的認證和簽名驗證機制�,難以區分非法接入終端數據和惡意攻擊����,在出現惡意攻擊時將造成極大的影響和損失�����?�!卑埠阈畔⑽锫摼W安全專家王輝解釋說�����。
此外,針對攻擊者利用物聯網服務器的漏洞,將終端設備惡意升級�,導致100余臺設備系統損壞無法使用的問題���,羅浩表示�����,這可能是由于攻擊者掌握核心源碼���,通過偽裝成服務器��,利用終端可線上升級的功能����,下發惡意升級包��,欺騙終端更新升級����,最終導致設備無法正常運行。
文/南都個人信息保護研究中心研究員 尤一煒
通訊員:黃赤橙
