如何保护家庭网络免受“物联网”与FUD攻击

本文深入探讨物联网设备的安全风险,分析不同攻击场景如直接网络暴露、CSRF攻击及本地网络入侵,并提供实用防护建议如禁用云连接、配置防火墙及使用VPN,帮助家庭用户有效提升网络安全防护能力。

Jump ESP, jump!: 如何保护家庭网络免受“物联网”和FUD攻击

TL;DR:大多数关于物联网的安全新闻都充满了FUD(恐惧、不确定性和怀疑)。始终要将风险放在上下文中考虑——谁能利用这个漏洞,攻击者能利用它做什么。大多数报道只涵盖了后者。

引言

几乎每天都有新闻说另一个“物联网”设备被黑客攻击。“智能”保险箱、“智能”步枪、“智能”汽车、“智能”冰箱、“智能”电视、“智能”报警系统、“智能”电表、“智能”灯泡、NAS设备、路由器。这些设备每天都在被黑客攻击。因为大多数这些设备在设计时从未将安全作为目标,其中一些甚至从未经过安全专业人士的测试,所以这些设备充满漏洞也就不足为奇了。

独立的安全研究人员发现这些漏洞,写一篇很酷的博客文章或做一个关于漏洞和利用的演示,而媒体为了获得更多点击量而忽略了这些限制。我们在新闻中读到“我们都完蛋了”,但有时风险深埋在技术术语中。请注意,我在这里指责的是新闻网站,而不是研究人员。

http://www.slideshare.net/danielmiessler/iot-attack-surfaces-defcon-2015

以下风险之间存在巨大差异:

  • 攻击者可以从互联网直接与路由器(或摄像头)通信,无需身份验证并利用漏洞。这是最坏的情况。例如,针对你的NAS的自动化勒索软件攻击非常糟糕。
  • 攻击者必须将自己定位在同一个WAN网络中(例如吉普黑客攻击中的Sprint移动网络)才能利用漏洞。这仍然非常糟糕。
  • 漏洞代码不能直接从互联网触发,但可以使用像CSRF这样的技巧来利用它(本文后面会详细说明)。
  • 漏洞代码不能直接从互联网触发,并且它使用防止跨协议脚本的协议/端口。攻击者必须在利用此漏洞之前访问本地网络。

就像最坏的情况一样,你可以找到很多连接到互联网的设备。你总是可以在 http://explorer.shodanhq.com/#/explore 找到有趣的东西,或者使用nmap截图脚本来找到你自己的东西 :)

网络暴露

大多数设备都在IPv4 NAT设备(例如家庭路由器)后面,因此默认情况下无法从互联网端访问。除非设备通过UPNP配置防火墙。或者设备具有持久云连接,并且云可以向设备发送命令。或者设备使用IPv6隧道(例如Teredo),因此可以从互联网访问。但并非家庭网络上的每个漏洞都可以直接从互联网访问。随着越来越多的设备和网络支持IPv6,这种情况可能会改变,但我希望大多数家庭路由器在其IPv6防火墙模块中默认采用拒绝配置。另一方面,由于IPv6地址数量庞大,盲目扫描IPv6设备是不可行的,但一些技巧可能有效。

如果攻击者无法直接访问设备,有一种方法可以通过用户的浏览器来黑客攻击它。只需说服受害者用户访问一个网站,并通过CSRF(跨站请求伪造)和暴力破解设备IP,就有可能黑客攻击一些设备(主要通过HTTP——如果利用可以适应简单的GET或POST命令)。

如果攻击者无法通过互联网直接攻击设备漏洞,或通过CSRF攻击,但已连接到同一网络——网络暴露显著缩小。当攻击者与你在同一网络时,我打赌你比物联网设备的安全有更大的问题……

对家庭用户的建议

  • 不要买你不需要的垃圾
  • 断开你不需要7*24小时操作的物联网设备的电源线。
  • 如果不需要,禁用云连接。例如,我有一个可以通过“云”访问的NAS设备,但我通过不为设备配置任何默认网关来禁用了它。我更喜欢通过VPN连接到我的网络,并通过它访问我所有的东西。
  • 防止CSRF攻击。我使用两个技巧。不要在家中使用192.168.0.x - 192.168.10.x网络——而是使用不常见的IP范围(例如192.168.156.x更好)。第二个技巧是我在我的主浏览器中配置了Adblock插件来阻止访问我的内部网络。每当我想访问我的内部设备时,我使用另一个浏览器。更新:在Firefox上,你可以使用NoScript ABE来阻止访问内部资源。
  • 检查你的路由器配置:
    • 禁用UPnP
    • 检查防火墙设置并禁用不必要的端口转发
    • 检查IPv6设置,并将防火墙配置为默认拒绝传入的IPv6 TCP/UDP。
  • 更改默认密码,特别是对于连接到互联网的服务。遵循密码最佳实践。
  • 运行Nmap来定位你家网络中的新物联网设备 :)
  • 运行WiFi扫描来定位新的WiFi接入点。让我与你分享一个个人经历。我搬到一个新房子,带了我自己的WiFi路由器。我插上它,然后忘记了WiFi。几个月后,结果发现我的房子里还有两个其他WiFi设备——电缆调制解调器有自己的集成WiFi,底部印有默认密码,机顶盒也一样——底部印有默认WiFi密码。不要忘记扫描ZigBee、蓝牙、IrDA、FM等……
  • 更新你的设备——如果你手头有很多空闲时间。
  • 不要允许你的客人连接到你的家庭网络。为他们设置一个独立的AP。想象一下你的侄子从你的NAS或DNLA服务器窃取你的私人照片或视频。
  • 能力越大,责任越大。你家里拥有的设备越少,你需要维护这些设备的时间就越少。
  • 阅读你的设备手册。了解不同的接口。以安全的方式配置它。
  • 如果你不需要IPv6,禁用Teredo协议。
  • 停止对垃圾黑客攻击感到惊讶。
  • 更新:禁用WebRTC:https://www.browserleaks.com/webrtc ,在Chrome中你可以使用这个扩展:https://chrome.google.com/webstore/detail/webrtc-network-limiter/npeicpdbkakmehahjeeohfdhnlpdklia
  • 更新:通过配置可以阻止内部IP地址的DNS服务器来防止DNS重绑定攻击。OpenDNS可以阻止内部IP,但这不是默认选项,你必须配置它。

对供应商的建议

对于供应商,我至少推荐以下内容:

  • 在软件开发生命周期中实施安全
  • 持续安全测试和漏洞赏金
  • 无缝自动更新
  • 选择加入云连接

对记者的建议

  • 停止FUD。拜托了。

在失去理智之前要问的问题

  • 谁能利用这个漏洞?
  • 成功利用漏洞的攻击有哪些先决条件?攻击者是否已经在你的家庭网络中?如果是,你可能还有更大的问题。
  • 攻击者在利用成功时能做什么?

最后但同样重要的是,不要忘记在物联网设备的情况下,有时用户是产品,而不是客户。物联网是为了营销目的收集数据。

http://blog.open-xchange.com/2015/02/09/iot/

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次