4個月泄露2億多條信息，這就是不安全的物聯網

來源：安全牛nana  轉載：畢安信息

 

趨勢科技最新研究代表，不安全物聯網(IoT)設備4個月內泄露了2.1億多條數據。被泄數據中包含的機密郵件會令工業間諜、拒絕服務侵擾和針對性侵擾幾乎沒完沒了。這份65頁的報告中提到了AWS的IoT設置，以之做爲能夠防止此類泄露的最佳實踐樣例。

問題出在哪兒？

這家總部位於日本東京和美國硅谷的安全公司發現，兩大機器對機器(M2M)協議——消息隊列遙測傳輸(MQTT)和約束應用協議(CoAP)，有着嚴重的設計缺陷和部署安全缺失。

數億消息於是經由暴露在網上的代理和服務器泄露出去。侵擾者只需關鍵字搜索便能在網上定位這些消息。

趨勢科技掃描了互聯網，共在78,549個代理上找出2.09億條MQTT消息。

不安全IoT：漏漏協議

帶漏洞MQTT協議的一個樣例是Douzone開發的安卓羣件應用 Bizbox Alpha。

趨勢科技在報告中指出：該應用使用的一個代理某段時期配置錯誤，在4個月裏泄露了55,475條消息，其中包含1.8萬封郵件消息。

趨勢科技的研究團隊在這些被泄消息中發現了與業務運營相關的私密信息，好比商務聯繫人信息及其相互間的通訊。

實現及設計問題

MQTT協議還存在多個實現及設計上的問題，好比流行代理Mosquito就容許被不法分子戶端發送無效數據。

利用CVE-2017-7653漏洞，發送一條無效UTF-8主題字符串就能使客戶端與代理斷開，從而引起拒絕服務侵擾。

約束應用協議(CoAP)也可致信息泄露。CoAP經過啓動客戶端節點向服務器節點發送請求來交換數據。

客戶端隨時能夠向服務器發送CoAP數據包。每條請求都有幾個選項，最重要的一個選項是統一資源標識符(URI)，指明通往所請求資源的「路徑」——與網站用的統一資源定位符(URL)相似。

研究人員掃描了網上暴露的CoAP主機，從近50萬臺服務器上發現了超過1900萬條響應。不過，他們並無在CoAP協議中發現設計缺陷。

趨勢科技網絡安全副總裁 Greg Young 表示：這些協議在設計時就沒考慮過安全，但卻普遍應用在任務關鍵環境和用例中。

這反映出嚴重的網絡安全風險。不法分子只需一點點資源就能夠利用這些設計漏洞執行偵察、橫向移動、數據盜竊和拒絕服務侵擾。

最佳實踐

趨勢科技給出的最佳實踐樣例是 AWS IoT：

AWS IoT 中，用戶(甚至非專家用戶)沒法以不安全的方式鏈接IoT設備，也不能建立 AWS IoT 後端不安全實例。該服務基本上就是個託管MQTT代理，具有如下功能：

l 強制TLS加密。除了TLS，沒有別的方法能夠鏈接到該代理。

l 強制使用設備證書實現基於TLS的相互身份驗證。每一個新節點必須有個新證書，用於供服務器對其進行身份驗證，還要有個供節點對 AWS IoT 服務器進行身份驗證的證書。若是節點掉線或被黑，管理面板能夠撤銷其證書。

l 禁用 QoS = 2 和保留消息。這能有效減小拒絕服務風險和威力。若是惡意發佈者發送 QoS = 2 消息(消息必須經驗證且要求兩邊都傳輸兩次)並啓用「保留選項」，將會形成消息發送無限循環，直到訂閱者及全部將來訂閱者ACK(告知收到)該消息。若是由於故障而某條消息沒被確認，代理會一直重複發送該消息。

l 可用性。全部上述功能都封裝到一個可用Web嚮導中，指導用戶從零開始學會使用內聯文檔進行測試。

咱們認爲這種部署應爲其餘服務提供商所用，並做爲系統集成商的參考。

充滿風險的物聯網時代已經來臨，每一個企業都應該在保護公司和客戶數據安全方面提早作好防禦準備!

 

畢安信息，全稱畢安信息安全技術(上海)有限公司，是一家物聯網安全公司。專一於應用軟件和硬件安全防禦以及總體安全解決方案，主要從事有關物聯網安全，互聯網安全的軟硬件保護、數據加密、安全防範、下一代防火牆技術、防不法分子侵擾的技術研發工做，致力於向客戶提供專業化的網絡安全產品和數據安全防禦服務。產品包括畢安雲盾 I，II，III 型軟件產品，以及畢安雲盾安全防火牆、堡壘機等專業信息安全防禦設備，能知足用戶在協同平臺、智慧工地、智慧建築以及智慧城市網絡安全和數據安全等業務場景的各種需求。

網絡安全的核心是技術安全， 網絡安全必須實現關鍵核心技術自主可控，對於物聯網來講也不例外，安全可控是構建物聯網生態並保障其發展的必由之路。畢安信息做爲國內首先應用「畢安雲盾」等信息安全產品於物聯網安全、建築工程信息安全領域的先驅者，將致力於研究、研發全面系統的智慧建築網絡安全、智慧城市網絡安全、智慧園區網絡安全、智慧工地網絡安全、協同平臺網絡安全的解決方案及信息安全產品，爲建築物聯網+互聯網全生命週期的安全運營保駕護航！