勤叶众信风险咨询顾问公司总经理万幼筠
造成北美前两周周末许多知名网络服务业者大当机,其实是骇客利用全世界的监视器针对这些全球网络服务业者发动DDoS(分散式阻断式服务)攻击,借此瘫痪重要的网络服务。而日前也追查到,这些用来作为发动DDoS的傀儡网络(Botnet)是大约50万台的网络摄影机,都是采用来自使用中国雄迈((XiongMai)科技网络摄影机机板的白牌网络摄影机。
根据勤业众信风险咨询事业部总经理万幼筠分享的资料显示,台湾采用雄迈机板的网络摄影机数量达29,461台,高居全世界第四名,而这些网络摄影机形成的傀儡网络,不仅确认台湾的确是傀儡网络的高风险区,更重要的是,在全球网络攻击无国界的情况下,台湾也在全球DDoS这样的网络攻击事件中,扮演帮凶的角色。
针对Dyn的DDoS攻击,台湾有将近3万台网络摄影机是帮凶
美国网络效能管理公司Dyn代管的DNS网域管理服务,在10月下旬遭到来自Mirai恶意程式组成的傀儡网络(Botnet)发动大规模的DDoS攻击,甚至导致许多包括Twitter、Amazon、Spotify及Netflix等使用Dyn域名服务的社交网站,以及其他华尔街日报、卫报等新闻媒体网站,都发生难以连上网站的困境。从资安专家的事后分析发现,这次针对Dyn的DDoS攻击有三波攻击,不仅涉及上千万个IP地址,攻击流量甚至高达1.2Tbps,也成为迄今攻击流量最大的DDoS攻击。
从资安专家的分析发现,发生在Dyn的DDoS攻击,幕后来自于有一大批网络摄影机组成的傀儡网络,这些网络摄影机经调查,其实都是采用中国雄迈科技卖给白牌DVR网络摄影机的机板和监控软件,关键点在于,这些网络摄影机提供Telnet连网功能,加上使用预设的使用者名称root以及固定密码xc3???,反而让骇客可以透过远端操控的方式,让这些网络摄影机成为发动DDoS攻击的洪水大军。
万幼筠则表示,从这份非经由正式管道得到的资讯可以看到,目前全世界使用雄迈机板的网络摄影机,安装数量最多的是越南,数量超过9万2千台,其次为巴西(7万台)和土耳其(4万2千台)、台湾(近3万台)和中国(近2.7万台);第六名~第十名依序为:俄罗斯(2万3千台)、韩国(2万2千多台)、泰国(1万8千台)、印度(约1万7千台)和英国(1万5千台)。
物联网装置固件更新困难,雄迈科技宣布召回早期设备检修
雄迈科技也于日前发布声明稿表示,除了呼吁该公司的产品使用者,应该立即更改预设密码之外,也将召回在美国销售的部分产品。雄迈科技也指出,该公司在2015年4月的时候,就已经关闭该公司网络摄影机机版的连接埠功能,在之前的产品也透过固件升级的方式提升产品安全性,但无论如何,就算这批早期销售的产品都不升级,也都不会影响网络摄影机的功能。
雄迈科技也在新闻稿中指出,使用该公司机版的网络摄影机要能够成为被骇客控制的傀儡网络,也必须同时具备三个条件,分别是:使用2015年4月以前,还没有固件升级的产品,加上没有更改产品预设使用者名称和密码,且该产品是直接暴露在对外的公共网络上,并缺乏例如防火墙的防护的情况下,才可能会成为骇客利用的标的。
但是,因为这些网络摄影机如果没有修改预设的密码,都可能带来安全和隐私上的担心,所以,雄迈科技也在10月25日发布新闻稿宣布,会针对早期在美国销售的100万像素卡片式网络摄影机、镜头可转动的100万像素网络摄影机、100万像素全景网络摄影机、130万像素全景网络摄影机等产品,全数召回处理,并强制更改预设密码功能,以确保使用者的隐私安全。
从雄迈科技的因应对策上也可以发现,这些早期不重视安全机制的物联网装置,一旦出现安全上的议题,往往会因为很难只透过远端就进行相关产品的固件更新,连要求使用者更改预设密码都有其难度的情况下,往往除了召回检修,实在很难有其他的因应作为,但多数的业者,基于种种考量,往往不愿意进行召回检修,也使得这样的物联网装置,持续暴露在公共网络上,成为骇客掌控的攻击工具之一。
Akamai统计,今年第二季最大DDoS攻击流量为363Gbps
根据Akamai针对今年第二季的网络安全报告,DDoS的攻击数量就是去年同期的一倍以上(129%);针对网络层L3和L4的攻击和去年同期相比,也增加151%;而针对NTP反射攻击,比去年同期更创下增加近三倍(276%)的纪录;UDP洪水攻击和去年同期相比,也增加7成(70%)。
从近期的数据也可以发现,DDoS攻击流量屡屡创下新高的纪录,若和今年第一季的网络安全调查资料相比,除了DDoS攻击总数增加近一成(9%),以及针对网络L3和L4的DDoS攻击增加10%之外,UDP洪水攻击也增加近五成(47%),而大于100Gbps的攻击流量和第一季相比,则减少37%。
但是,若从近年来DDoS攻击流量持续创下新高的纪录来看,Akamai在今年第二季中的6月20日,就观察到,最大规模的攻击流量为363Gbps,是针对一个欧洲媒体的攻击;但是,中型攻击的规模则所小36%,平均为3.85Gbps。大型攻击流量则是中级攻击流量近一百倍的差异;此外,光是今年第二季,就有12次DDoS攻击超过100Gbps,其中两次的攻击流量则超过300Gbps。
从去年第四季的调查以来,重复攻击的手法也越来越常见,现在已经是平均每两天就会发生一次DDoS攻击。
许多网络摄影机采用预设账号密码,家中生活全球直播
像是这类物联网装置受到骇客操控,成为网络攻击一环,除了这些连网的网络监控摄影机外,像是去年也发生市售的婴儿监视器也有超过一个以上的漏洞,让骇客可以远端操控相关设备,除了惊吓婴儿,更可怕的是,家中隐私完全一览无遗。
在今年10月中旬,也传出在全球最大线上网络摄影机观看网站insecam中,全球超过七万支的网络摄影机,只要使用者是使用厂商预设的账号和密码,甚至于没有任何密码设定情况下,透过这个网站,全世界的网友都可以直接从该网站看到许多监控器得直播内容,在这个网站中,也有上百个台湾受害的网络摄影机在内,使用者在不知情的情况下,家中生活被全球网友一览无遗、看光光。
这个最大的问题就是使用厂商的预设账号和密码造成的,而使用雄迈科技网络摄影机机版的白牌网络摄影机,也同样是使用预设的账号密码,甚至于,还有骇客把各家网络摄影机预设的账号密码做成表单对外释出,这些物联网装置,因为也不会有任何账号密码输入次数的限制,甚至可以使用这些外流的账号密码,做无限制次数的暴力破解。
在这种全球网络攻击的趋势下,台湾因为宽频普及,加上许多人的电脑效能都有一定水准且都是24小时开机情况下,先前在许多资安业者的观察中,台湾就已经有许多家用电脑沦为骇客操控的傀儡网络一环。
但是,随着现在各种联网装置已经从传统的电脑、手机,进一步扩展到各种网络监控设备、网络电视、网络冰箱甚至是联网的汽车等等,这些连网装置假若连基本的账号密码,都还是采用原厂的预设值的情况下,所有的装置都难逃成为骇客手中发动各种攻击的凶器。
在目前这样充满危机的网络环境中,每个使用者都有责任负起自我防护的责任和义务,至少,绝对不使用厂商预设的账号和密码,已经是每一个使用者的责任和义务了。
这份Mirai作者释出的网络摄影机预设账号和密码一览表,就可以让许多有心人,针对没有更改厂商预设账号密码的网络摄影机,试图输入预设账号密码后,掌握该台网络摄影机的内容。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09