一位不愿意透露姓名的研究人员劫持了大约42万台采用默认或者无需登录密码的在线嵌入式设备,并将其组成为一张规模庞大的僵尸网络以实现为整个互联网绘制全景地图的目标。
星期日,这位研究人员在一家致力于该项目的网站上进行了说明。在2012年3月到12月之间,这张以罗马生命女神卡纳为绰号的僵尸网络一直在进行“比互联网协议版本4[IPv4]时代以往的任何时候规模都大内容都全面的普查工作”。
该僵尸网络收集到的所有数据——总体积为9TB——已经公开发布在网上,任何人都可以选择下载并进行分析。它包括有各种各样的端口扫描结果,清楚地显示出互联网上最经常使用的服务都是什么以及人们都是采用哪些软件来运行这些服务的,所有正在使用IPv4地址的具体信息,数以百万计的路由追踪记录以及更多的其它项目。
其它研究人员指出,尽管该僵尸网络并没有表现出恶意目的,但也充分反映出配置不当的嵌入式设备确实存在有遭遇网络犯罪分子滥用的潜力。
该僵尸网络运行在不安全设备上的客户端软件是采用标准C所编写,体积仅为60KB,包含有自我传播以及设备再感染机制。该传播机制可以通过对公网IP地址进行扫描,进而找出不安全设备,再选择利用telnet协议来尝试进行远程连接。这时间,它会利用根用户:根用户、管理员:管理员、不需密码的根用户或不需密码的管理员等默认登录方式进行多次尝试。
尽管只要受感染设备选择重新启动,卡纳僵尸网络客户端就会自动删除。但是,其余的活动客户端依然会在设备再次上线后重新进入。
这位不愿意透露姓名的研究人员声称,为防止给被感染设备的正常运行造成破坏,在设计僵尸网络客户端的时间,他就已经采取了一些预防措施。他指出:“我们的二进制文件是在优先级最低的情况下运行,并且还配备有看门狗的监控,一旦发生问题,可执行文件就会立即停止运行”。此外,“我们的扫描器还将同时连接的总数限制为128个,并且运行时间最长也不会超过12秒”。
这位研究人员声称,该僵尸网络在底层次就忽略掉了被入侵设备在内部网络中的所有活动情况。“由于,我们仅仅希望将这些设备作为互联网层次的工具来使用;因此,在使用过程中我们竭尽全力选择出侵害性最小的控制方式,并对设备常规用户的隐私表示出最大程度的尊重”。
在星期二的时间,安全漏洞与风险管理公司Rapid7的研究员马克·施勒塞尔通过电子邮件指出:即便如此,在全球绝大多数国家中,这个“互联网普查2012”项目所采用的方法都属于严重违法的情况。“在使用不安全配置以及默认密码来访问的远程设备上运行代码本身就属于不道德行为;即便事前采取预防措施,不会给任何使用中设备的正常运行带来干扰,也不等于法律问题就此消失了。”
星期二的时间,负责该项目的研究人员通过电子邮件表示,自己之所以更喜欢保持匿名,正是因为并不想弄清楚法律方面的细节而被绳之以法。
尽管卡纳僵尸网络最终获得到大约42万个客户端,但设备的实际“开放”数量——使用默认或者无需访问密码的设备——则还要高得多。在互联网普查2012网站上,这位研究人员指出:“在所有开放设备中,大约有70%的属于资源实在是太有限的情况;它们根本无法运行Linux,或者仅配备了功能极为有限的远程登录界面,这导致我们几乎无法将一段二进制代码上传进去”。
这些不安全设备被按照CPU与RAM的情况进行了分类,僵尸网络的二进制代码仅仅部署在属于更多更大群体的一部分系统上,至于具体原因则是它们可能代表了使用广泛的消费级设备与工业控制或关键任务系统。
这42万台运行僵尸网络客户端的设备大约代表了所有被找到未受保护设备的25%。这位研究人员将所有未受保护设备的MAC地址——分配给网络接口的唯一硬件标识符
——都汇总了起来,最终统计显示这一数字是大约120万。
这位研究人员指出:“在研究过程中,我们发现了大量绝对不应该连接到互联网上的设备以及服务”。他进一步解释说,即便人们确信某些类型设备绝对被不会用来连接互联网,也可能至少有上千用户选择了这么做。以此类推,如果人们认为某些设备或许不应该被连接上互联网的话,实际上网的数量可能就会达到几十万台。他声称:“光打印机就有50万台,网络摄像头则有100万个,拥有根用户密码作为超级用户口令的设备就更不用说了”。
这位研究人员声称:“我们希望其它研究人员能够从收集到的数据中找到有价值的内容,这次公开发布将会给公众当前对于网络安全的错误认识敲响警钟;尽管所有人都在热衷于谈论顶级威胁以及网络战争,但只要四个简单到甚至毫无智商档次的telnet默认远程登录密码就给予我们访问几十万消费者以及世界各地成千上万台工业设备的权力”。
在电子邮件中,这位研究人员还指出:这类设备被用于潜在恶意行为之上的几率非常高。实际上,在部署卡纳僵尸网络的时间,他就发现了一种被称作Aidra的分布式拒绝服务(DDoS)自运行病毒已经运行在数千台公共设备上了。
于是,他决定对网络进行一下调整,让自有僵尸网络客户端控制的设备能够避免被Aidra感染。他解释说:“我们并没有对任何设备进行彻底改变,只要选择重新启动就可以清除所有调整”。也就是说,“我们认为这种做法带来的附加损害会远远低于Aidra利用这些设备可以带来的风险”。
这位研究人员声称,随着时间的推移,卡纳僵尸网络不仅从Aidra手里获得了越来越多的系统,而且也成功地将这种恶意程序清除了出去。最终,只有大约3万台运行不含互锁机制的管线阶层微处理器(MIPS)的平台无法实现有效清除,原因就是Aidra早已经在上面扎根了。
防病毒软件厂商比特梵德的一位高级电子威胁分析师波格丹·博泰扎图在电子邮件中指出,运行嵌入式操作系统的设备为网络犯罪行为提供了一片潜力巨大的沃土。“尽管这些设备有能力运行恶意软件,但它们依然很少会使用入侵检测模式。事实上,这些高度专业化的设备本身就属于计算机;唯一的差别之处就是运行的软件不同而已”。
博泰扎图指出,这位研究人员发现有僵尸网络客户端运行在这些设备之上,已经证明了嵌入式领域也会发生类似问题,但由于目前并不存在相应的检测机制,这样的观点往往就会被忽视。
施勒塞尔声称:“当前的现实情况就是,成千上万台连接到互联网上的设备在安全方面的问题比人们通常预计到的情况糟糕得多”。并且,“在这些设备里的一种上找到另一张僵尸网络也不会是什么大新闻——在过去的时间,其它研究已经证实了公共互联网上的安全状况属于非常令人担忧的情况”。
一月份,一项来自Rapid7的安全研究人员公布的研究结果就已经显示出,由于通用即插即用(UPnP)协议标准在部署过程中存在有危险漏洞,从而导致包括路由器、打印机、媒体服务器、IP摄像机、智能电视以及更多其它类型在内数以千万计拥有网络功能的设备都可以被攻击者通过互联网入侵。
施勒塞尔进一步指出,不幸的是,这个普遍存在的问题是无法利用一种简单解决方案来予以彻底消除的。“只有设备制造商在处理安全方面出现的问题时保持更为认真的态度,并与学术界共同努力确认并清除掉潜藏的漏洞,嵌入式设备的安全性才能获得真正意义上的提高”。
施勒塞尔介绍说,市面上已经出现了针对其中一些问题的技术解决方案,供应商也已经选择使用。“举例来说,供应商可以预先就为设备设置好随机密码,并将包含具体信息的口令贴在机身上。尽管这种做法会导致成本上升一点,但却属于物有所值的解决方案。此外,利用二维条码来提供“初始安装网址”也属于一种可行选择。实际上,任何解决方案都比脆弱的默认初始密码强得多”。
这位不愿意透露姓名的研究人员通过电子邮件指出:“这属于供应商的责任”。关键的问题就在于,“它们绝不能指望用户利用远程方式进行登录并修改密码”。
博泰扎图同意供应商存在更喜欢默认密码而忽视安全方面问题,并且不愿意逼迫用户进行调整的观点。不过,他也指出,对用户进行基本培训也是非常有必要的。他认为,只有所有者才能决定如何使用设备,将什么服务暴露在互联网上,以及部署哪些安全控件。
他认为:“用户之所以需要获得连接上互联网的设备应该采取什么最佳措施的说明,就在于确保能够安全接入网络就属于供应商的责任”。
否则的话,随着从汽车到冰箱,以及咖啡壶在内越来越多的设备都被连接到互联网上,安全方面的问题只会变得更加糟糕。
博泰扎图指出:“就如同任何其它计算机一样,这些设备也很容易遭遇攻击并被利用”。
