上个月安全博客KrebsonSecurity被创纪录的大规模物联网DDoS攻击下线后,信息安全界和人权组织就曾指出两点趋势:第一,物联网僵尸网络取代集权国家成为互联网言论的终极审查者。基于物联网僵尸网络的超大规模DDoS攻击,已经展现了自己在言论审查方面的“威权”,已经远超任何一个国家政府的审查能力。甚至在美国这样一个标榜言论自由的国家,没有人能够保护Krebs这样一个享有盛誉的安全技术博客。其次,DDoS不再是公有云的“利好”。过去,公有云服务提供商依靠其强大的基础设施和带宽资源,成为饱受DDoS摧残的网站的避风港。但是面对洪峰值高达665Gbps的物联网DDoS攻击,美国著名云计算服务提供商Akamai的工程师曾经一度尝试“兵来将挡,水来土掩”,但最后全线告急不得不“丢卒保车”,放弃了对Kebs网站的庇护。
事件还原(以下部分内容由安全牛提供):
美国东部时间周五(10月21日)早上7点,东海岸的人们纷纷发现推特、Spotify、Etsy、Netflix等网站都访问不了了,软件代码管理服务GitHub也是一片混乱。原来,是美国最大互联网DNS管理公司之一的Dyn公司,遭遇了垃圾流量洪水攻击,十分效率地将成片地区的服务和网站冲垮。
亚马逊在周五承认:“亚马逊网络服务(AWS)的一些客户,在连接托管在北弗吉尼亚的一部分AWS终端时遭遇了网络出错的情况。不过,问题已解决。”
东海岸的断网2小时后便停止,但中午时又卷土重来。断网的影响在周五早上扩散到了西海岸。之后,问题影响区域已遍及全美和欧洲部分地区。影响范围包括Twitter、Spotify、Github、Reddit、Airbnb、PayPal、Netflix、Yelp在内的大量互联网知名网站。
截至目前,对像推特、Reddit和Netflix这种大型流行网站的成功攻击还很少见。美国国土安全部(DHS)副新闻秘书称:“DHS正在调查所有可能原因。”
DDoS中的哥斯拉:僵尸物联网
一些网络安全公司已经查出了此次网络瘫痪的直接原因:为受影响网站提供基础DNS管理优化服务的Dyn公司的DNS基础设施遭遇到了创纪录的超大规模(据说流量超过1Tbps)的DDoS攻击,导致相关网站域名无法解析。仅仅一个月前,安全博客KrebsonSecurity遭遇到了 665 Gbps 的DDoS攻击,刷新了当时的DDoS攻击流量世界纪录。
攻击Krebs(665GB)和Dyn(超过1TB)的超大规模DDoS“洪荒之力”是从哪来的呢?
线索显示两次攻击来自同一个源头:僵尸物联网。有证据显示攻击流量的一部分来自几个月开始成形的一个僵尸物联网Botnet网络Mirai,根据360网络研究院的分析统计,Mirai是一个十万数量级别的Botnet,由互联网上的IoT设备(网络摄像头等)构成,8月开始被构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。
Mirai恶意软件的分布
攻击的发生可能与Dyn公司在前一天在非常有影响力的NANOG会议上发表互联网DDoS相关的黑产分析演讲有关,就是演讲后的数小时攻击就被发动,可以视为黑产的测试和报复。也有消息说攻击活动有其政治背景,与阿桑奇及维基泄密网站有关,但目前并无确凿证据证明其关联性。
互联网瘫痪不再是科幻电影
有消息说,参与导致本次北美断网DDoS攻击的Mirai Botnet节点只占其总数的十分之一,那么如果整个Botnet被调动起来进行攻击将会是什么样的后果?美国掉线,甚至互联网瘫痪,数字经济“停盘”已经不再是科幻灾难片中的场景,而是非常现实的威胁,甚至不需要国家级别的网络战就能达成。
实际上,早在上个月,著名安全专家布鲁斯·施奈尔就曾表示,核心互联网公司不断见证对其网络的DDoS攻击承受和响应能力的探测,有人正试图找到击溃整个互联网的方法。
智能硬件和物联网行业面临安全大整改
智能硬件和物联网行业的安全性问题向来严重,包括家庭路由器、媒体服务器、网路摄像头、智能电视、智能冰箱、网络门铃、智能门锁这些联网设备都频频爆出安全漏洞,但大多数用户并未意识到脆弱的物联网安全问题不仅仅会威胁到用户个人的人身和信息安全,更可能威胁到国家关键基础设施,甚至搞瘫互联网。距离2014年IT经理网报道首个“只会发发垃圾邮件”的物联网僵尸网络DDoS攻击仅仅过去了两年,僵尸物联网就创下了1Tbps的DDoS新世界记录,搞瘫了半个美国。
网络犯罪分子之所以将重点转向物联网设备,原因非常简单,物联网设备通常缺乏反垃圾邮件、杀毒软件的防护,而且也没有专门的IT团队或安全警报应用和安全补丁服务。很多物联网设备和智能硬件厂商,要么是创业公司不愿意在安全上多花一分钱,要么是传统家电厂商,压根没有做好安全的能力。这些企业生产的智能硬件和物联网设备,危害性要远超三星公司出品的Note7手雷。
在最近的超大规模物联网僵尸网络DDoS攻击中,中国两家物联网智能摄像头厂商:中国大华(DAHUA)公司和中国杭州的雄迈科技(XiongMai Technologies)成为国外安全界的抨击对象,安全专家们认为这两家中国智能网络摄像头制造商的产品安全性非常糟糕,甚至低级到采用默认密码,而且用户无法修改,极易遭到僵尸网络劫持。对此我们呼吁广大智能硬件物联网厂商从开发的源头就加强产品安全测试、管理和评估,从APP、网络协议、加密算法、固件、硬件、密码等多个攻击面入手提高整体安全性,具体可以参考给物联网设备制造商的十点安全整改建议。
政府监管方面,正如一位安全业界人士所指出的,由于本次事件导致攻击的一个组成部分是IoT(物联网)设备,因此国家对于所有这些可能连接上网的设备是否可以考虑加强监管,对上线设备做基本的安全性评测和认证,对于明显存在安全性问题的设备不允许生产和销售直到整改完成。