Telnet是一个非常古老的协议。 维基百科
报告说,它是在1969年开发的,多年来在Unix / Linux和Windows系统下都已广泛用于对计算机和服务器的远程访问(telnet可能包含在Windows NT和Windows 2000中)。 。 相同的Wikipedia报告说,逐渐不再使用Telnet来支持更安全的SSH协议。 这样的事情就发生了,除了数百万个自治网络设备(主要是路由器和IP摄像机)“响应”该协议以外,通常是在所有者不知情的情况下发生的。
两周前,我们讨论了
Mikrotik路由器中的漏洞。 但是,该漏洞-仍然存在一些漏洞。 卡巴斯基实验室上周发表的一项
研究表明,对物联网设备的所有攻击中,绝大多数(四分之三)是对Telnet协议的攻击。 如果您的设备响应此协议,尤其是可以从Internet访问的协议,请考虑是否应该停止该协议。 仅有一个例外:如果您通过Telnet广播
《星球大战》 。
卡巴斯基实验室的专家使用传统的方式收集数据-使用锅。 实际上,如果您组装了一个使用Telnet协议从任何可用硬件响应端口23的系统,将其直接连接到Internet并等待几分钟,您将在日志中看到使用通用默认密码的登录尝试。 这些以前受感染的系统正试图通过不断地在Internet上扫描新的易受攻击的设备来扩展僵尸网络。 用于该研究的hanipot稍微复杂一些:它们不仅记录了登录尝试,而且还记录了攻击者在“成功”渗透之后试图做什么。
这是一些一般数字。 物联网设备的恶意软件变体数量持续增长:今年7个月检测到的修改量是2017年的近三倍。 他们最经常尝试攻击Telnet协议(占所有攻击的75.40%),其次是SSH(11.59%-还希望至少禁用密码输入,甚至最好重新分配端口)。 其余(13.01%)是使用其他协议的攻击,例如同一Mikrotik路由器的自定义控制接口。
每五分之一的攻击导致Mirai僵尸网络下载了一种恶意软件变体。 僵尸网络的创建者已被
捕获 ,但其源代码已上载给公众,因此捕获2016年开始流行的人员无法阻止进一步的攻击。 您可以
在此处阅读有关Mirai的更多信息,但是下图清楚地显示了哪些登录集-僵尸网络密码正在尝试扩展。
通过这些对,很有可能识别出易受攻击的设备:IP摄像机,机顶盒,数字录像机,网络打印机等。 僵尸网络的创建者之间存在一定的竞争:因此,对通过Telnet或SSH协议接受它们的任何设备的大量请求,以及在成功攻击后倾向于更改密码的趋势-否则下一个将尝试在设备上安装其监视软件。
按国家,“攻击者”的分布方式是这样的。 巴西位居第一,在有关物联网僵尸网络的新闻中已经多次提及巴西。 总共,“ hanipot”记录了1200万次攻击,其中包含86,560个唯一IP地址,另有27,000个IP参与了恶意软件的分发。 有趣的是,攻击IP的数量远远少于受感染设备的总数。 可能有几种解释:找到受NAT感染的设备,仅使用僵尸网络的一小部分进行攻击或进行其他操作。 通常情况下,跟踪网络犯罪分子的行为仅提供部分信息。
当僵尸网络用于预期目的时,您可以评估它的功能。 2016年,Dyn DNS提供商的攻击能力
超过了每秒1兆比特,这是由Mirai僵尸网络控制的超过10万台设备执行的。 但是,卡巴斯基实验室专家正确地指出,数百万只仅使用默认密码覆盖的设备的“天堂生活”将随着时间的流逝而消失。 下一步是利用IoT设备中的漏洞,不需要默认密码。 这样的更复杂的攻击可以通过死神僵尸网络进行。
以下是一些给出的漏洞示例:对D-Link 850L路由器具有
完全控制权; IP摄像机具有通过序列号从外部“
直接访问 ”的功能,并具有进一步的密码破解功能; 可以访问
最简单 ,最简单的假Cookie的CCTV系统。
但这就是将来的一切,但是就目前而言,上面的图清楚表明,超过90%的IoT攻击是司空见惯的暴力行为。
尚无漏洞。 我什至不会谈论专门的管理界面,但是报告中
已经写了
很多有关它们的内容。
这是某种根本没有基本补救办法的情况。 二十年前,使用不安全的POP3协议连接到邮件服务器,然后以明文形式将密码传输到Messenger服务器是很平常的事。 互联网还年轻而天真。 现在要以对安全的态度来生产设备-好吧,说得很轻巧,短视。 怎么办 首先,请勿使IoT设备可从网络访问。 VPN可以帮助所有人。 当然,此建议对拥有IP摄像机的用户毫无用处,但不知道Telnet和VPN是什么。
我们是否希望制造商逐步改善IoT设备的安全性? 这不会取消数以百万计的明显易受攻击的产品的网络可用性,与智能手机和笔记本电脑不同,这些产品多年未更新。 一切都太糟糕了,以至于著名的密码学家布鲁斯·施耐尔(Bruce Schneier)要求对该行业进行州监管-好吧,以至于人们对加密技术本身怀有敌意。 还有其他方法吗? 不太清楚。
这是
给您的
最新消息 。 在WD My Cloud路由器中发现漏洞。 我引用:“由于Western Digital网络驱动器的CGI接口的实现允许使用cookie进行身份验证,因此攻击者可以在会话期间通过在其中包含cookie:username = admin字符串来发送HTTP请求以执行任何命令。”
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。