一位不愿意透露姓名的研究人員劫持了大約42萬臺采用默認(rèn)或者無需登錄密碼的在線嵌入式設(shè)備，并將其組成為一張規(guī)模龐大的僵尸網(wǎng)絡(luò)以實現(xiàn)為整個互聯(lián)網(wǎng)繪制全景地圖的目標(biāo)。

星期日，這位研究人員在一家致力于該項目的網(wǎng)站上進(jìn)行了說明。在2012年3月到12月之間，這張以羅馬生命女神卡納為綽號的僵尸網(wǎng)絡(luò)一直在進(jìn)行“比互聯(lián)網(wǎng)協(xié)議版本4[IPv4]時代以往的任何時候規(guī)模都大內(nèi)容都全面的普查工作”。

該僵尸網(wǎng)絡(luò)收集到的所有數(shù)據(jù)——總體積為9TB——已經(jīng)公開發(fā)布在網(wǎng)上，任何人都可以選擇下載并進(jìn)行分析。它包括有各種各樣的端口掃描結(jié)果，清楚地顯示出互聯(lián)網(wǎng)上最經(jīng)常使用的服務(wù)都是什么以及人們都是采用哪些軟件來運行這些服務(wù)的，所有正在使用IPv4地址的具體信息，數(shù)以百萬計的路由追蹤記錄以及更多的其它項目。

其它研究人員指出，盡管該僵尸網(wǎng)絡(luò)并沒有表現(xiàn)出惡意目的，但也充分反映出配置不當(dāng)?shù)那度胧皆O(shè)備確實存在有遭遇網(wǎng)絡(luò)犯罪分子濫用的潛力。

該僵尸網(wǎng)絡(luò)運行在不安全設(shè)備上的客戶端軟件是采用標(biāo)準(zhǔn)C所編寫，體積僅為60KB，包含有自我傳播以及設(shè)備再感染機制。該傳播機制可以通過對公網(wǎng)IP地址進(jìn)行掃描，進(jìn)而找出不安全設(shè)備，再選擇利用telnet協(xié)議來嘗試進(jìn)行遠(yuǎn)程連接。這時間，它會利用根用戶：根用戶、管理員：管理員、不需密碼的根用戶或不需密碼的管理員等默認(rèn)登錄方式進(jìn)行多次嘗試。

盡管只要受感染設(shè)備選擇重新啟動，卡納僵尸網(wǎng)絡(luò)客戶端就會自動刪除。但是，其余的活動客戶端依然會在設(shè)備再次上線后重新進(jìn)入。

這位不愿意透露姓名的研究人員聲稱，為防止給被感染設(shè)備的正常運行造成破壞，在設(shè)計僵尸網(wǎng)絡(luò)客戶端的時間，他就已經(jīng)采取了一些預(yù)防措施。他指出：“我們的二進(jìn)制文件是在優(yōu)先級最低的情況下運行，并且還配備有看門狗的監(jiān)控，一旦發(fā)生問題，可執(zhí)行文件就會立即停止運行”。此外，“我們的掃描器還將同時連接的總數(shù)限制為128個，并且運行時間最長也不會超過12秒”。

這位研究人員聲稱，該僵尸網(wǎng)絡(luò)在底層次就忽略掉了被入侵設(shè)備在內(nèi)部網(wǎng)絡(luò)中的所有活動情況。“由于，我們僅僅希望將這些設(shè)備作為互聯(lián)網(wǎng)層次的工具來使用;因此，在使用過程中我們竭盡全力選擇出侵害性最小的控制方式，并對設(shè)備常規(guī)用戶的隱私表示出最大程度的尊重”。

在星期二的時間，安全漏洞與風(fēng)險管理公司Rapid7的研究員馬克·施勒塞爾通過電子郵件指出：即便如此，在全球絕大多數(shù)國家中，這個“互聯(lián)網(wǎng)普查2012”項目所采用的方法都屬于嚴(yán)重違法的情況。“在使用不安全配置以及默認(rèn)密碼來訪問的遠(yuǎn)程設(shè)備上運行代碼本身就屬于不道德行為;即便事前采取預(yù)防措施，不會給任何使用中設(shè)備的正常運行帶來干擾，也不等于法律問題就此消失了。”

星期二的時間，負(fù)責(zé)該項目的研究人員通過電子郵件表示，自己之所以更喜歡保持匿名，正是因為并不想弄清楚法律方面的細(xì)節(jié)而被繩之以法。

盡管卡納僵尸網(wǎng)絡(luò)最終獲得到大約42萬個客戶端，但設(shè)備的實際“開放”數(shù)量——使用默認(rèn)或者無需訪問密碼的設(shè)備——則還要高得多。在互聯(lián)網(wǎng)普查2012網(wǎng)站上，這位研究人員指出：“在所有開放設(shè)備中，大約有70%的屬于資源實在是太有限的情況;它們根本無法運行Linux，或者僅配備了功能極為有限的遠(yuǎn)程登錄界面，這導(dǎo)致我們幾乎無法將一段二進(jìn)制代碼上傳進(jìn)去”。

這些不安全設(shè)備被按照CPU與RAM的情況進(jìn)行了分類，僵尸網(wǎng)絡(luò)的二進(jìn)制代碼僅僅部署在屬于更多更大群體的一部分系統(tǒng)上，至于具體原因則是它們可能代表了使用廣泛的消費級設(shè)備與工業(yè)控制或關(guān)鍵任務(wù)系統(tǒng)。

這42萬臺運行僵尸網(wǎng)絡(luò)客戶端的設(shè)備大約代表了所有被找到未受保護(hù)設(shè)備的25%。這位研究人員將所有未受保護(hù)設(shè)備的MAC地址——分配給網(wǎng)絡(luò)接口的唯一硬件標(biāo)識符

——都匯總了起來，最終統(tǒng)計顯示這一數(shù)字是大約120萬。

這位研究人員指出：“在研究過程中，我們發(fā)現(xiàn)了大量絕對不應(yīng)該連接到互聯(lián)網(wǎng)上的設(shè)備以及服務(wù)”。他進(jìn)一步解釋說，即便人們確信某些類型設(shè)備絕對被不會用來連接互聯(lián)網(wǎng)，也可能至少有上千用戶選擇了這么做。以此類推，如果人們認(rèn)為某些設(shè)備或許不應(yīng)該被連接上互聯(lián)網(wǎng)的話，實際上網(wǎng)的數(shù)量可能就會達(dá)到幾十萬臺。他聲稱：“光打印機就有50萬臺，網(wǎng)絡(luò)攝像頭則有100萬個，擁有根用戶密碼作為超級用戶口令的設(shè)備就更不用說了”。

這位研究人員聲稱：“我們希望其它研究人員能夠從收集到的數(shù)據(jù)中找到有價值的內(nèi)容，這次公開發(fā)布將會給公眾當(dāng)前對于網(wǎng)絡(luò)安全的錯誤認(rèn)識敲響警鐘;盡管所有人都在熱衷于談?wù)擁敿壨{以及網(wǎng)絡(luò)戰(zhàn)爭，但只要四個簡單到甚至毫無智商檔次的telnet默認(rèn)遠(yuǎn)程登錄密碼就給予我們訪問幾十萬消費者以及世界各地成千上萬臺工業(yè)設(shè)備的權(quán)力”。

在電子郵件中，這位研究人員還指出：這類設(shè)備被用于潛在惡意行為之上的幾率非常高。實際上，在部署卡納僵尸網(wǎng)絡(luò)的時間，他就發(fā)現(xiàn)了一種被稱作Aidra的分布式拒絕服務(wù)(DDoS)自運行病毒已經(jīng)運行在數(shù)千臺公共設(shè)備上了。

于是，他決定對網(wǎng)絡(luò)進(jìn)行一下調(diào)整，讓自有僵尸網(wǎng)絡(luò)客戶端控制的設(shè)備能夠避免被Aidra感染。他解釋說：“我們并沒有對任何設(shè)備進(jìn)行徹底改變，只要選擇重新啟動就可以清除所有調(diào)整”。也就是說，“我們認(rèn)為這種做法帶來的附加損害會遠(yuǎn)遠(yuǎn)低于Aidra利用這些設(shè)備可以帶來的風(fēng)險”。

這位研究人員聲稱，隨著時間的推移，卡納僵尸網(wǎng)絡(luò)不僅從Aidra手里獲得了越來越多的系統(tǒng)，而且也成功地將這種惡意程序清除了出去。最終，只有大約3萬臺運行不含互鎖機制的管線階層微處理器(MIPS)的平臺無法實現(xiàn)有效清除，原因就是Aidra早已經(jīng)在上面扎根了。

防病毒軟件廠商比特梵德的一位高級電子威脅分析師波格丹·博泰扎圖在電子郵件中指出，運行嵌入式操作系統(tǒng)的設(shè)備為網(wǎng)絡(luò)犯罪行為提供了一片潛力巨大的沃土。“盡管這些設(shè)備有能力運行惡意軟件，但它們依然很少會使用入侵檢測模式。事實上，這些高度專業(yè)化的設(shè)備本身就屬于計算機;唯一的差別之處就是運行的軟件不同而已”。

博泰扎圖指出，這位研究人員發(fā)現(xiàn)有僵尸網(wǎng)絡(luò)客戶端運行在這些設(shè)備之上，已經(jīng)證明了嵌入式領(lǐng)域也會發(fā)生類似問題，但由于目前并不存在相應(yīng)的檢測機制，這樣的觀點往往就會被忽視。

施勒塞爾聲稱：“當(dāng)前的現(xiàn)實情況就是，成千上萬臺連接到互聯(lián)網(wǎng)上的設(shè)備在安全方面的問題比人們通常預(yù)計到的情況糟糕得多”。并且，“在這些設(shè)備里的一種上找到另一張僵尸網(wǎng)絡(luò)也不會是什么大新聞——在過去的時間，其它研究已經(jīng)證實了公共互聯(lián)網(wǎng)上的安全狀況屬于非常令人擔(dān)憂的情況”。

一月份，一項來自Rapid7的安全研究人員公布的研究結(jié)果就已經(jīng)顯示出，由于通用即插即用(UPnP)協(xié)議標(biāo)準(zhǔn)在部署過程中存在有危險漏洞，從而導(dǎo)致包括路由器、打印機、媒體服務(wù)器、IP攝像機、智能電視以及更多其它類型在內(nèi)數(shù)以千萬計擁有網(wǎng)絡(luò)功能的設(shè)備都可以被攻擊者通過互聯(lián)網(wǎng)入侵。

施勒塞爾進(jìn)一步指出，不幸的是，這個普遍存在的問題是無法利用一種簡單解決方案來予以徹底消除的。“只有設(shè)備制造商在處理安全方面出現(xiàn)的問題時保持更為認(rèn)真的態(tài)度，并與學(xué)術(shù)界共同努力確認(rèn)并清除掉潛藏的漏洞，嵌入式設(shè)備的安全性才能獲得真正意義上的提高”。

施勒塞爾介紹說，市面上已經(jīng)出現(xiàn)了針對其中一些問題的技術(shù)解決方案，供應(yīng)商也已經(jīng)選擇使用。“舉例來說，供應(yīng)商可以預(yù)先就為設(shè)備設(shè)置好隨機密碼，并將包含具體信息的口令貼在機身上。盡管這種做法會導(dǎo)致成本上升一點，但卻屬于物有所值的解決方案。此外，利用二維條碼來提供“初始安裝網(wǎng)址”也屬于一種可行選擇。實際上，任何解決方案都比脆弱的默認(rèn)初始密碼強得多”。

這位不愿意透露姓名的研究人員通過電子郵件指出：“這屬于供應(yīng)商的責(zé)任”。關(guān)鍵的問題就在于，“它們絕不能指望用戶利用遠(yuǎn)程方式進(jìn)行登錄并修改密碼”。

博泰扎圖同意供應(yīng)商存在更喜歡默認(rèn)密碼而忽視安全方面問題，并且不愿意逼迫用戶進(jìn)行調(diào)整的觀點。不過，他也指出，對用戶進(jìn)行基本培訓(xùn)也是非常有必要的。他認(rèn)為，只有所有者才能決定如何使用設(shè)備，將什么服務(wù)暴露在互聯(lián)網(wǎng)上，以及部署哪些安全控件。

他認(rèn)為：“用戶之所以需要獲得連接上互聯(lián)網(wǎng)的設(shè)備應(yīng)該采取什么最佳措施的說明，就在于確保能夠安全接入網(wǎng)絡(luò)就屬于供應(yīng)商的責(zé)任”。

否則的話，隨著從汽車到冰箱，以及咖啡壺在內(nèi)越來越多的設(shè)備都被連接到互聯(lián)網(wǎng)上，安全方面的問題只會變得更加糟糕。

博泰扎圖指出：“就如同任何其它計算機一樣，這些設(shè)備也很容易遭遇攻擊并被利用”。