是時候關注物聯網接入設備安全

文/鄭先偉

是時候關注物聯網接入設備安全

文/鄭先偉

11月教育網運行平穩，未發現影響嚴重的安全事件。近期值得關注的安全事件是發生在十月下旬的針對美國基礎網絡服務運營商DYN的大規模DDOS攻擊，攻擊使得DYN公司的DNS解析服務陷入癱瘓，進而引發了依托這些DNS服務解析域名的大批網站無法提供正常服務。事后對攻擊流量進行分析時，發現大部分的攻擊流量來源于一個叫做Mirai的僵尸網絡，該僵尸網絡里主要的受控設備都是物聯網設備，其中又以網絡攝像頭居多。物聯網設備的安全問題由來已久，各類原來獨立的設備在沒有考慮安全因素的情況下就匆匆地接入了網絡，必然帶來大量的安全問題。這些網絡攝像頭被用來進行DOS攻擊還是小事，如果被用來直接監控現實世界，那就會讓我們毛骨悚然，而實際上類似的操作Mirai可以輕松地實現。因此，物聯網接入設備的安全是時候該引起大家的注意了。

隨著上層對網絡信息安全的重視，網絡安全事件也越來越得到各單位的重視，大量的安全事件通過各種渠道被快速分發到當事人的手里，需要投訴到CCERT來解決的事件數量也就越來越少了。

2016年10月～11月安全投訴事件統計

近期需要關注的病毒木馬還是各類比特幣敲詐病毒，因為一旦被這類病毒感染必然會給用戶帶來損失。由于比特幣交易的監管困難，這類敲詐方式得不到有效抑制，類似的病毒模式會在今后很長一段時間里呈現高發態勢，而且加密的對象也會花樣翻新。最近就檢測到有加密Oracle數據庫來進行敲詐的病毒，這類病毒通過Oracle數據庫的組件工具進行傳播，一旦數據庫管理員在網絡上下載了有問題的組件工具并登錄數據庫，包含在組件里的腳本就會加密數據庫里的數據，并要求管理員支付若干個比特幣進行解密操作。因此使用正版的數據庫軟件及到正規的軟件源上下載軟件就變得尤為重要了。

11月需要關注的漏洞有如下這些：

1. 微軟發布了11月的例行安全公告，本次公告共14個，其中5個為嚴重等級，9個為重要等級。這些公告修補了Windows系統、IE瀏覽器、EDGE瀏覽器、Office軟件、Office Service、SQL Server及WEB APP中的27個安全漏洞。建議用戶盡快使用系統的自動更新功能更新相關的系統及程序。公告的詳細信息：https://technet.microsoft.com/ zh-cn/library/security/ms16-nov.aspx

2. Nginx軟件是目前互聯網上使用較為廣泛的WEB前端反向代理服務軟件，Nginx軟件最近被發現存在安裝包對系統日志文件讀取權限控制不嚴導致的權限提升漏洞，本地的普通權限用戶可以利用這個漏洞獲得Root權限，而如果Nginx網站上存在漏洞，可能導致遠程的攻擊者獲得服務器的系統權限。目前各系統都發布了新版本的Nginx來修補這個漏洞，使用Nginx搭建網站的管理員應該盡快更新自己的程序版本，因為該漏洞的攻擊代碼已經在網絡上公布，存在漏洞的系統隨時有被攻擊的風險。

3. NTP是目前互聯網上主要的時鐘同步協議，Ntpd是實現NTP時鐘同步的程序，改程序被廣泛應用于各系統當中。最近NTPD的官方團隊發布了最新的NTPD版本（4.2.8p9和4.3.94），用于修補之前版本中存在的多個拒絕服務漏洞。其中特別需要關注的是Windows系統中的NTPD程序，如果用戶向Windows系統中的NTPD服務發送特定的UDP數據包，可能導致NTPD進程崩潰，并進一步促發Windows系統拒絕服務。各系統管理員應該盡快更新自己系統所使用的NTPD服務。

安全提示

大部分的物聯網設備目前對安全的考慮都不足，或多或少都會存在網絡安全問題，并且這些設備中的系統升級往往比較困難，在出現安全問題時不能及時有效的自動升級。因此學校對于各類物聯網設備的網絡部署需要多考慮安全因素，不能過份地依賴設備本身的安全防護，而是需要借助傳統的網絡安全手段加強這些物聯網設備的安全防護，例如利用防火墻來嚴格限制物聯網設備的網絡訪問范圍。對于學校來說，目前問題比較多的物聯網設備，包括網絡攝像頭、網絡打印機等。

（作者單位為中國教育和科研計算機網應急響應組）