4.對(duì)嵌入式系統(tǒng)的無知
復(fù)印機(jī)��、掃描儀以及VoIP電話中所包含的嵌入式Web服務(wù)器通常都存在一定的安全問題或是配置錯(cuò)誤���,因此當(dāng)它們被安裝被投入使用時(shí)�����,這些問題就會(huì)轉(zhuǎn)化成潛在的威脅���。"事實(shí)上這些設(shè)備都不應(yīng)該被接入互聯(lián)網(wǎng)。我實(shí)在想不出一臺(tái)惠普的掃描儀有什么必要連網(wǎng)��,"Michael Sutton評(píng)論道��,他是Zscaler實(shí)驗(yàn)室安全研究部門副總裁�����,并于今年夏季將自己的調(diào)查成果在黑帽大會(huì)上與大家進(jìn)行了分享����。
Sutton發(fā)現(xiàn),理光與夏普的復(fù)印機(jī)����、惠普掃描儀以及Snom VoIP手機(jī)通常都能夠從互聯(lián)網(wǎng)上直接加以訪問。而且這些設(shè)備往往歸企業(yè)所在��,而且整個(gè)機(jī)構(gòu)壓根不知道它們處于可在線查看的狀態(tài)�。
數(shù)字檔案的影印本可能會(huì)被攻擊者獲取��,而他們同樣能夠通過數(shù)據(jù)包捕獲功能對(duì)嵌入式VoIP系統(tǒng)進(jìn)行竊聽����。"如果(VoIP系統(tǒng))處于可訪問狀態(tài)�,我們自然就可以登錄、開啟���、捕捉流量并且下載PCAP等等�����。而借助Wireshark,我們還能夠?qū)δ繕?biāo)機(jī)構(gòu)加以監(jiān)聽���,"Sutton解釋道��。
關(guān)鍵是要在攻擊者得逞之前發(fā)現(xiàn)這些存在漏洞的設(shè)備��。Sutton打造了一款名為BREWS的免費(fèi)工具��,用于自動(dòng)執(zhí)行此類檢測(cè)�����。
其它類型的網(wǎng)絡(luò)設(shè)備中也有不少錯(cuò)誤配置����,同樣可能讓對(duì)此毫不知情的客戶們陷入安全風(fēng)險(xiǎn)。根據(jù)HD Moore去年公布的研究結(jié)果���,他發(fā)現(xiàn)有數(shù)以百計(jì)的DSL集線器���、SCADA(即監(jiān)測(cè)控制與數(shù)據(jù)采集)系統(tǒng)、VoIP設(shè)備以及交換機(jī)中存在用于 VxWorks系統(tǒng)的診斷服務(wù)功能�����。這是一種完全不應(yīng)該在生產(chǎn)模式下被啟用的功能�,Moore(他是Rapid 7首席安全官,同時(shí)也是Metasploit的總設(shè)計(jì)師)警告說�����,因?yàn)樗鼤?huì)允許外界訪問并讀取或?qū)懭朐O(shè)備內(nèi)存及電源周期體系中的信息��。
類似的問題同樣見于如今配備了GSM或蜂窩接入裝置的客戶設(shè)備��。iSec Partner公司安全顧問Don Bailey認(rèn)為����,GPS跟蹤設(shè)備����、汽車報(bào)警器甚至是SCADA系統(tǒng)傳感器很容易受到來自網(wǎng)絡(luò)的攻擊���。一旦攻擊者在網(wǎng)絡(luò)上搜索到此類設(shè)備��,他們就有機(jī)會(huì)加以利用�����。
Bailey曾成功地侵入了一套當(dāng)下流行的汽車防盜系統(tǒng)���,并通過向其發(fā)送文本消息的方式遠(yuǎn)程啟動(dòng)了該車輛��。而盜用SCADA傳器器所帶來的危害使人更加不寒而慄��。
5.源代碼或配置文件中的字符錯(cuò)誤
Apache Web服務(wù)器(或其它Web平臺(tái))中缺失的正斜杠符號(hào)可能會(huì)讓攻擊者有機(jī)會(huì)侵入數(shù)據(jù)庫��、防火墻��、路由器以及其它內(nèi)部網(wǎng)絡(luò)設(shè)備���。最近在Apache服務(wù)器上出現(xiàn)的反向代理旁路攻擊展示了配置文件中的單個(gè)字符如何造就或是摧毀整套安全體系�。
來自Context信息安全公司的研究及開發(fā)部門經(jīng)理Michael Jordon發(fā)現(xiàn)了這個(gè)問題,并聲稱這更是一種用戶并不了解的錯(cuò)誤配置現(xiàn)象:正斜杠在Apache Web代理中將激活"重寫規(guī)則"���。
"這是一個(gè)典型的案例���,功能就擺在那里但人們卻并不知情,也不了解這屬于一種錯(cuò)誤配置�,"Jordon指出。
Apache在本月早些時(shí)候發(fā)布了針對(duì)這一問題的補(bǔ)丁��,但Jordon認(rèn)為這個(gè)問題很可能還在影響著其它Web平臺(tái)����。"補(bǔ)丁只能減少此類錯(cuò)誤配置出現(xiàn)的可能性,"他解釋道����。
"任何其它重寫URL的反向代理也許還面臨著同樣的問題。我們已經(jīng)與其它Web服務(wù)器供應(yīng)商取得了聯(lián)系并向他們知會(huì)了此事�����,"他說道。
6.明顯但卻仍然普遍存在的問題:非常用系統(tǒng)補(bǔ)丁更新不及時(shí)
及時(shí)為系統(tǒng)打上補(bǔ)丁不僅是的種良好的使用范例���,同時(shí)也應(yīng)該被視作強(qiáng)制性原則���,但這并不意味著所有機(jī)構(gòu)都能及時(shí)、準(zhǔn)確將其實(shí)施妥當(dāng)�,尤其是對(duì)于某些看似風(fēng)險(xiǎn)較低的系統(tǒng)更是如此。
就拿美國(guó)能源部來說吧�����,他們本周就榮幸地成為補(bǔ)丁更新的反面教材����。根據(jù)美國(guó)能源部監(jiān)察辦公室的說法,能源部中有十五個(gè)不同的分支機(jī)構(gòu)被發(fā)現(xiàn)仍在使用未實(shí)施已知漏洞補(bǔ)丁更新的桌面系統(tǒng)�����、網(wǎng)絡(luò)系統(tǒng)以及運(yùn)行應(yīng)用程序的網(wǎng)絡(luò)設(shè)備�。正在運(yùn)行操作系統(tǒng)或應(yīng)用程序的桌面系統(tǒng)中��,有46%沒有安裝最新補(bǔ)丁����,監(jiān)察主管在報(bào)告中稱���。
"這些應(yīng)用程序中那些已知漏洞并沒有及時(shí)被對(duì)應(yīng)的補(bǔ)丁所修復(fù),而事實(shí)上在我們著手測(cè)試的三個(gè)月之前這些補(bǔ)丁就已經(jīng)提供下載了�,"報(bào)告(PDF格式)中寫道。
但聯(lián)邦機(jī)構(gòu)絕不是惟一疏于更新補(bǔ)丁的家伙:許多機(jī)構(gòu)都在控制并處理自身運(yùn)行環(huán)境的漏洞方面煞費(fèi)苦心�。來自Secunia的一份最新研究結(jié)果建議,企業(yè)只要能將嚴(yán)重性漏洞補(bǔ)丁的部署放在第一位���,而不是過分關(guān)心哪些應(yīng)用程序比較流行��,他們就能獲得安全方面的大幅度提升���。
eEye數(shù)字安全公司CTO兼聯(lián)合創(chuàng)始人Marc Maiffret指出,歸根結(jié)底是由于大家對(duì)自己不了解的信息沒有概念�����。"企業(yè)……沒有這樣的洞察力�,因此他們不知道如何應(yīng)對(duì)自身環(huán)境中所存在的缺陷���;蛘咚麄儾恢廊绾沃诌M(jìn)行��,因此只能選擇放棄���。"Maiffret分析道���。
