当前的网络(信息)安全现状,与圈内时不时搞起的xx大会那股热闹劲相比,其实要冷一些。
除了一些甲方、乙方大厂在安全上投入重资以维护自身利益,还有更多以安全为生的乙方在艰难前行;对于其他厂商,安全显得可有可无,更多的是业务优先,是对法律法规和安全事件的被动响应;而对大多数非业内人士来说,更不知网络(信息)安全为何物,也许只能在被盗了网银、受了诈骗才会感受到。
人们不关注,是因为不涉及到他们的切身利益,而在下个十年,我想这种状态会变得不一样,因为iot(物联网)的迅猛发展。
“在(2015年)5月20日召开的华为网络大会上,华为预测,到2025年,物联网设备的数量将接近1000亿个,新部署的传感器速度将达到每小时200万个”
虽然不知道这个数据华为是怎么预测出来的,但是从侧面说明了在未来物联网必然会高度发达,当各种智能设备渗入到社会的角角落落、进入千家万户、被人们穿戴在身,管理着人们的吃、穿、玩、住、用、行时, 网络(信息)安全问题就与人们的生活质量、财产甚至人身安全安全分不开了。试想,当你使用的智能家居、医疗设备可能被人远程监控、破坏,甚至家庭、个人生活被24小时直播到网络上;当给孩子使用的智能设备,可能成了被人跟踪的帮凶;当你使用自动驾驶汽车,搂着妹子唱着歌,汽车却出现被人控制的迹象……,你能不关注吗?
届时,网络(信息)安全的服务对象的重心将转向以家庭为单位,就像买房需要装修、需要安装防盗门一样普及。
一、Ipv6与 IOT
当前我们主要使用的ipv4,不排除保留地址总共也只有不到43亿可用ip地址:
>>> print(2**32)
4294967296 #ipv4总数
而物联网需要接入的终端数量如果在2025年达到1000亿以上,那么即便使用NAT技术,ipv4也是远远不够用的,所以ipv6的大规模普及在所难免。
Ipv6在不排除保留地址的情况下,可用的ip地址有:
>>> print(2**128)
340282366920938463463374607431768211456 #ipv6总数
是ipv4的多少倍呢?
>>> print((2**128)/(2**32))
79228162514264337593543950336 #ipv6/ipv4 倍数
这么多可用ip,在未来较长的一段时间是不愁没ip用了。
然而,随着海量的终端接入,ipv6的普及应用,会带来什么样的安全挑战呢?
二、安全挑战
(1)攻击方
既然要攻击,那就得先找到被攻击的目标 ,查找目标资产,当前我们惯用的套路有这些:
- 查询域名、子域名
- 查找对外服务,如邮箱、app
- 大目标可以通过as号查询ip范围
- ipv4全网扫描匹配指纹
- 针对员工的社会工程学
- 搜索引擎、代码库、文库、注册机构、专业资料库等搜索目标信息
看起来,这些技巧大部分在ipv6普及之时还是能用的,但是仔细想想呢?
由于物联网接入的终端数量巨大,必然产生海量请求和处理数据,后端使用云平台势在必行,CDN、云防护必不可少,这会对通过域名去查找目标产生严重影响。
而通过as号查询ip范围或进行全网扫描指纹匹配,在ipv6海量地址面前,
也会变的难有用武之地,以阿里巴巴目前所申请的ipv6网段2401:2e00::/32 为例,里面包含多少可用ip呢
>>> print(2**(128-32))
79228162514264337593543950336 #阿里巴巴目前申请的ipv6地址数量
是目前ipv4全部ip数量的多少倍呢
>>> print(2**(128-32)/(2**32))
18446744073709551616 #阿里所有ipv6/ipv4 倍数
这也就是说,如果目前攻击者扫描ipv4全网只要一天,那么同等条件下,他扫描阿里巴巴所使用的ipv6网段,需要50539024859478223年!!!而且有这么多富余ip,是可以玩出很多坑人的花样来的!
而目前支持ipv6的扫描工具也并不多,nmap可以,可是效率低下,zmap、masscan等ipv4下的全网扫描神器并不支持ipv6。尽管如此,相信黑客们解决这类技术问题会很拿手,未来会有更多支持ipv6、效率更高的扫描器出现。
在未来物联网巨大终端数量下,接入的同一家制造商的设备数量可能以亿为单位,这就意味着,当一类设备被发现漏洞,那么上亿的设备都有可能成为攻击者的“肉鸡”,这就需要攻击者具有高效的分布式攻击框架去攻击、控制,这类攻击框架应该高度自动化、智能化,能够进行病毒式的几何倍级感染,当攻击者拥有足够的“肉鸡”资源,扫描整个ipv6地址也许并不是幻想!这样的攻击框架可能很快就会出现!
然而,通过主动扫描的方式查找目标,在ipv6面前始终像是大海捞针,攻击者们的成本经不起这样消耗,我想他们会寻找更“廉价”“便捷”的攻击方式:
1.针对web等公开服务的攻击将更为频繁激烈
因为CDN、云安全防护的普及,攻击者需要极大成本才能获取到目标真实ip,他们所能接触到的可能只有web服务,所以针对webserver、中间件、Web应用框架、web应用、email、mobile app等公开的服务,攻击者将投入更大成本去尝试。
2.攻击开发商加入后门
攻击者可能会收集目标各种指纹,针对这些指纹进行分析,重点关注更新较为频繁的资源,然后通过各种手段(技术手段 or 政治手段 or 金钱美女)攻击这些资源的开发商,加入后门等,比如在openssl里加入逻辑后门(只是举个栗子,不要说我装逼冲过来打我)。
3.攻击目标合作伙伴
这个世界总有一些猪队友,攻击他们比攻击正主来的轻松愉快,第三方的合作伙伴往往是一个优质跳板,相信不少厂商已经吃过这个苦头。
4.入侵线下实体店、办公场所
大厂商一般都有自己的实体营业厅、实体店,没有这些那总得有个办公场所吧,进入实体店、营业厅,各种取号机、体验机、自助机、共享密码弱密码的Wi-Fi,这些可都是进入目标的通道,对攻击者来说这是个成本极低但成功率极高的方式。
5.社工、收买目标员工
来自内部的威胁是可怕的,不管是无意还是有意,内部员工被攻陷所造成的危害更加隐蔽。预测以后针对运维人员、开发人员的攻击会更多,如在运维、开发工具中投毒。
6.直接入职充当卧底
马克思说:“资本如果有百分之五十的利润,它就会铤而走险,如果有百分之百的利润,它就敢践踏人间一切法律,如果有百分之三百的利润,它就敢犯下任何罪行,甚至冒着被绞死的危险”。所以,只要有足够的利益,攻击者入职当卧底也不是不可能。
7.寻找基础设施漏洞
网络离不开路由交换防火墙,这些基础设施的漏洞所能造成的危害不言而喻,前段时间泄漏的NSA文件有力证明了安全设备本身也不一定安全。攻击目标上游网络的基础设施进行监控,会让目标的安全检测手段完全无感,就像我会经常关注自家的网络是否安全,各种安全手段,但是我很清楚我的上网行为在运营商那里是透明的,而我无能为力。
8.攻击运营商
除了厂商自己,运营商应该拥有最全的厂商ip资产列表,拿下运营商即可知道目标有哪些资产(当然这并不是很容易),更进一步,攻击者可以做更多操作,比如攻击者是否可以把原本分配给目标的ip分配给自己呢?
9.攻击资源管理机构
如SSL证书颁发机构。
我相信这些方式有人在做了。
(2)防守方
这里的防守方,主要是指设备制造商、运营商(为什么是这两个呢?)
设备制造商
就制造商而言,他们在安全上关注的更多的是核心产品代码、知识产权的私有性,而对于产品的安全性,更多的是用户对安全的日益关注,倒逼他们重视产品安全,在产品安全性上加大投入,但是安全不是一蹴而就的,一个优秀的产品架构能防止发生很多安全问题,也能在发生安全问题是快速封堵问题(注意我用了封堵而不是修复)。
目前来看,大部分所谓的智能设备制造商并没有这种能力,甚至很少投入精力关注。这就导致目前一些制造商的产品很容易就被人利用,很多IOT设备成了DDOS这颗毒瘤的帮凶,如近期恶意木马Mirai控制大量设备打出了超过1TB 的DDOS攻击总流量!
很多所谓的智能设备本身的安全性就很糟糕,更糟糕的事,它们很多都会连接到制造商的云平台,目的是方便客户进行远程控制使用,也方便自家售后服务,但是从以前的测试结果来看,这些制造商的云平台安全性让人担忧,各种越权甚至是直接拿到系统权限浏览数据库,用户的隐私暴露无疑!
这些设备投入市场被客户使用之后,往往会发生大规模的攻击事件,而制造商却束手无策,声誉必然受到打击!
然而,即便制造商有很强的安全能力,也不能保证产品一定不会出现安全问题,所以制造商需要具有应对这种安全事件的应急机制,来保障未来可能以亿为单位的产品的安全响应能力。
运营商
运营商在网络安全上,有天然的优势,但是到目前为止他们在网络安全这个市场上少有作为,也许是他们财大气粗看不上网络安全这点利润吧。但我相信运营商未来在安全上会发挥更大能量,就如当年因为通过共享抓鸡太过猖獗,电信屏蔽135,445端口一样。
安全相对于主业务来说,往往发展的要滞后一些,所以当IOT发展到一定程度,而安全还没有得到应有得投入时,在以亿为单位的产品数量下,必然有很多资产无法得到有效监管,大量IOT设备可能成为“肉鸡”而不为管理者所知,被用来挖矿、成为各种分布式攻击框架的节点,各种超大流量的DDOS攻击更加频繁,运营商在网络安全上的角色将至关重要,设备制造商在安全上应该会积极与运营商合作,我们拭目以待!
附: