銳雲通:當心私接AP引發無線安全隱患

網站內容來源http://server.it168.com/

銳雲通:當心私接AP引發無線安全隱患

2015-08-31 10:08    原創  作者: 李蓬閣 編輯:
0購買

  【IT168 案例】近日,一家大型公司的網管發現了一個比較棘手的問題,他在檢查無線系統運行情況時,發現2台部署在研發區的AP,無線接入速率在持續下降,丟包率增加到70%,甚至有研發同事反映無線連接有中斷現象發生。這讓小張有點摸不到頭腦,因為他之前已經對公司無線系統制定了嚴格的准入規則,可為什麼還會發生這樣嚴重的問題呢?  

▲圖1 無線性能急劇下降

  為了解決這個問題,小張專門從無線安全領域的專業廠商銳雲通,請來無線安全工程師一起進行檢查,銳雲通工程師發現小張公司的無線網絡存在這樣一系列問題:

  1. AP自身帶寬使用率為55%;

  2. AP接入用戶25人,數量在設定範圍之內(60人);

  3. 筆記本無線信號從原來的滿格(6格),減少到2格;

  4. 網頁瀏覽速度比平常慢了許多,需要5秒鐘才能打開新頁面;

  5. 從筆記本Ping網關出現了丟包(70%);

  6. 網管平台監控發現AP自身數據流量持續降低。

  那麼問題發生在哪呢?銳雲通工程師根據經驗猜測小張公司研發部區內可能有外部無線設備嚴重干擾了公司無線系統的正常運行。於是,銳雲通工程師採用無線安全檢測系統進行深入檢測。

  經過對研發工作區的無線掃描與檢測,銳雲通工程師最終確認部署在該區域的兩台AP受到來自外部無線設備的同頻同信道干擾,導致其信號變差、大量丟包、連接中斷等現象。這台外部無線設備由研發部一位同事為工作方便帶來,私自接入工位上有線端口,設備無線發射功率達到500mW,相距研發區內部AP僅5米,直接導致研發區域內公司無線系統性能急劇下降  

▲圖2 糟糕的無線使用環境

  找到了“病根”,問題也就不難解決了。不過為了以後杜絕此類問題的發生,小張諮詢銳雲通工程師:“能在問題發生前,就能對外部無線設備的非法接入進行有效阻止,實現全天不間斷檢測呢?”

  銳雲通工程師表示,這是可以實現的,只需要啟用AP的無線入侵防禦探測(即wIPS)功能就可以了。即當發生外部無線設備非法接入時,能立即檢測到,並且可以實時阻斷,使它無法對公司無線網絡正常運行產生射頻信號干擾和安全攻擊。

▲圖3 雙頻啟用wIPS防禦能力

  銳雲通工程師同時指出,AP有單頻和雙頻(同時支持2.4G和5G頻段)之分,其中雙頻AP可以在兩個頻段可以同時開啟wIPS與無線接入功能,單頻AP,根據需要檢測的環境,依據一對多的原則(最高1:8,在覆蓋區域內,監測至少8台接入AP的運行狀態),部署wIPS AP。  

▲圖4wIPS防禦體系拓撲

  按照銳雲通工程師建議,小張在接下來的安全無線網絡管理工作中,開啟了雙頻AP的wIPS功能,同時在單頻AP覆蓋區域內,部署了少量的wIPS AP,建立了完整的物理射頻安全無線區域,有效避免了外部無線設備非法接入公司無線網絡的事件發生。

  針對小張公司的事例,銳雲通工程師特彆強調,私接AP安全隱患較大,主要是因為用戶在企業網絡中接入弱密碼(甚至無密碼)的私用AP,形成無線被非法用戶侵入,而導致企業信息發生泄漏,在今年初發生的天河一號安全事件就是非常典型的這類非法入侵事件。

  在此,銳雲通工程師也強烈建議:企業無線環境複雜,除了制定完善的無線准入規則,也要建立真正安全可靠,持續穩固的無線入侵防禦體系,才能根本保障企業無線通訊信息安全。

, ,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

浪潮中標威海公積金安全運維項目

網站內容來源http://server.it168.com/

浪潮中標威海公積金安全運維項目

2016-01-04 14:15    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】如今,黑客針對個人隱私數據的竊取攻擊愈演愈烈,公眾信息保護已經引起了各行各業的重視。近日,在威海市住房公積金管理中心信息安全加固項目中,浪潮運維安全管控系統(以下簡稱浪潮SSC)憑藉其安全、易用、高效的功能特點成功中標,協助用戶提升安全運維管理水平,全面增強公積金數據的機密性。

  

  威海市住房公積金管理中心成立於2002 年 9 月,是直屬威海市人民政府不以營利為目的的事業單位,主要負責威海市行政區域內280萬常住人口的住房公積金的管理運作。在信息化建設方面該中心一直走在了全省前列,不僅率先開通了單位網上服務大廳,實現了業務全上網、在線全辦結、結算全實時,更把針對百姓的個人服務業務也逐一搬上互聯網,將服務送到家。

  隨着業務和數據規模的不斷擴大,不僅對威海市住房公積金管理中心的內部運維人員壓力加大,還出現了第三方運維人員管理複雜等情況。如何安全有效的管理好大量的設備賬戶和密碼,降低共享賬號的安全隱患以及做到全面地運維審計工作,成為了威海市公積金管理中心亟待解決的問題。

  “針對公積金數據安全管理需要,以及國家等級保護要求,中心在建設信息安全系統平台過程中重點考慮了針對運維審計的需求。在多家產品參與測試后,浪潮SSC完全滿足了應用需要,可以實現針對設備、應用和數據庫的全面運維審計,同時不需要安裝代理程序,其易用性非常明顯。”中心相關技術人員對浪潮SSC的測試結果十分滿意。

  浪潮SSC採用協議代理、協議解碼、命令識別等多種行業先進技術,為用戶提供了軟硬件一體化的解決方案。通過嚴格、細緻的訪問控制策略,浪潮SSC在確保數據中心資源統一訪問安全的同時,可以實現對運維人員的字符終端、圖形終端訪問進行實時監控和事後追溯審計,滿足了核心數據集中管控、安全訪問和監控審計的三大要求。

  在等級保護工作落地方面,浪潮SSC可以支持威海市住房公積金管理中心所有網絡設備、主機和數據庫實現“二次授權”、“雙人共管”等更嚴格的要求。另外,SSC還體現出了事前、事中、事後審計相結合的新型模式,在實現事前精準授權之後,事中審計可以方便審計管理員實時監控運維用戶的操作,一旦發現高危操作,可以及時阻斷用戶的訪問連接。而事後審計不僅起到了震懾作用,更可以第一時間定位事件源頭,從根本上降低了中心的內部運維安全風險。浪潮SSC解決了該中心信息化安全管理的技術難題,為公積金數據安全提供有力保障,解決了後顧之憂。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

成都農商銀行布控新形勢下數據泄密防線

網站內容來源http://server.it168.com/

成都農商銀行布控新形勢下數據泄密防線

2016-01-05 10:03    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】沒有數據安全就沒有信息安全,在銀行信息化、網絡化時代,如何利用信息技術的優勢加強銀行機構的內部控制,防範和化解敏感數據信息泄密風險,考驗着當前銀行業信息安全。日前,成都商業銀行攜手新一代信息安全廠商明朝萬達,進行新形勢下數據防泄漏風險管控。

  伴隨從IT時代到數據時代的進程不斷加速,數據也將成為企業重要資產。數據一方面創造着無限價值;另一方面卻正在成為超級黑客、網絡非法組織、APT攻擊的“標靶”,如何保證企業數據安全無泄漏變得刻不容緩。從金融機構內部來看,金融機構的業務系統更加註重信息的快速傳遞、及時共享等目標,而對於信息安全保密控制等缺乏相應制約,數據泄露成為考驗新一代信息安全體系下銀行安全的重要標準。

  商業銀行的基礎是信息和數據。現今銀行面臨着自主建設和運維能力不足、信息安全體系不完整和發展狀況參差不齊的問題,但隨之而來也產生了相應的安全風險。銀監會發布的《中國銀行業十二五信息科技發展規則監管指導意見》文件中對於城市商業銀行明確提出加強數據、文檔的安全管理,逐步建立信息資產分類分級保護機制。完善敏感信息存儲和傳輸等高風險環節的控制措施,對數據、文檔的訪問應建立嚴格的審批機制,對用於測試的生產數據要進行脫敏處理,嚴格防止敏感數據泄露。

  在實際的數據生產、使用、流轉中,人們需要更加靈活的方式來處理數據,因此,智能化的數據安全管控應運而生。為解決內部日常辦公場景下重要敏感數據的泄密安全風險,保障現有數據安全性,成都商業銀行攜手明朝萬達部署新形勢下數據防泄漏防線:對重要敏感數據在辦公終端硬盤分散存儲使用、移動存儲介質拷貝交互和郵件收發等環節提供有效的技術手段進行敏感數據的防泄密保護,同時結合必要的日誌審計提高安全管理和員工的信息安全意識,降低由於人為原因造成的數據泄密風險。

  一切為了數據安全,讓安全服務於業務。目前,明朝萬達已經成功服務於中國銀行、國家開發銀行、交通銀行、郵儲銀行、光大銀行、民生銀行、中信銀行、浙商銀行、安徽農村信用聯社等數十家金融單位,為其信息化數據安全建設保駕護航。未來,明朝萬達也將攜手更多金融企業,實現以物聯網應用、互聯網+為防護重點的數據安全風險管控。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

網康:記一場NGFW廠商之間的正面交鋒

網站內容來源http://server.it168.com/

網康:記一場NGFW廠商之間的正面交鋒

2016-01-18 11:01    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】導讀:在NGFW這個紅海市場,網康面對的競爭對手很多。每一個項目背後,都有廠商之間的正面交鋒,都有一場“狹路相逢勇者勝”的故事。

  項目背景

  大連西太平洋石油化工有限公司(簡稱WEPEC)是我國第一家大型中外合資石化企業,股東為中化集團、法國道達爾、中石油等,具有無鉛汽油、輕質柴油、航空煤油、重交通道路瀝青等十多個種類、三十多個牌號化工產品的生產能力。

  隨着時代的發展,信息化已經成為WEPEC不可或缺的重要組成部分,而2003年建設的基礎網絡架構,已無法適應當今多變的互聯網環境。針對應用安全的網絡需求,更是捉襟見肘。

  客戶需求

  (1)雙鏈路負載均衡

  WEPEC是一家中法合資公司,中國總部和法國分部之間有很多業務往來。儘管WEPEC已經租用了聯通電信兩條出口鏈路,但法國分部抱怨與中國總部之間的通訊經常出現丟包、長時間延遲等問題。經分析發現,WEPEC使用的舊防火牆設備不支持鏈路負載和數據源進源出,也不支持策略路由,導致充足的帶寬資源無法得到充分利用。

  (2)非法URL過濾

  WEPEC下屬20多個部門,4000多員工,需要一款專業的基於應用的行為管控軟件確保員工在工作時間只瀏覽與工作有關的網頁。

  (3)應用安全防護

  網絡安全是大型企業最基本的保證,基於應用層的安全才是王道。保證內網用戶不受病毒、蠕蟲、間諜軟件的侵襲,同時基於用戶的應用行為判斷客戶是否中了殭屍病毒,是應對新一代安全威脅的必備能力。

  兩家NGFW廠商之間的終極PK

  通過和WEPEC幾次的深入交流,網康為客戶呈現了一套基於安全的解決方案。  

  將網康NGFW部署在出口,做網關設備,同時開啟負載均衡、IPS等模塊,滿足客戶業務需求。

  與網康一同進入到最終備選名單的國內某知名友商也採取了類似的方案,但卻最終落敗。下面就把這兩家廠商的終極PK呈現給大家:

  網康 VS 友商 

                                                 網康 VS 友商          

Round 1 URL過濾

網康擁有超過10年的應用層技術積累,首先向客戶推薦的就是擁有3000多萬條URL庫的URL過濾模塊。這個模塊做了細緻分類,視頻、聊天、新聞、股票等與實際辦公無關的URL一目瞭然。WEPEC根據用戶、時間以及URL的不同分類做了限制,可以讓員工更好的投入到工作中來,提高了整個公司的工作效率。

WEPEC要求將新聞、視頻等URL進行限制,但在正常訪問公司門戶網站的視頻宣傳片時,友商防火牆將其誤報為視頻URL。最後針對此URL開啟了免監控,問題才得以解決。

 

 

 

                                          

Round 2  鏈路負載均衡

根據WEPEC的雙出口特性,結合中法數據的互聯需求,網康使用了最短路徑優先算法的鏈路負載均衡;同時定義了法國部門所感興趣的流量數據,基於此做了策略路由,保證法國的數據流量走電信專線;NGFW可以聯動客戶自有的智能DNS系統,達到了真正的鏈路層面的高可用性。

友商的防火牆並不帶負載均衡模塊。針對此缺陷,友商提出了贈送負載均衡設備這一方案,但客戶並沒有同意,原因有二:

 1、增加額外設備就增加了潛在的故障點,加大了故障隱患;

2、兩台設備沒有聯動,只能單獨管理、配置,無法做到深層次的管理和運維。

Round 3  IPS

針對WEPEC可能存在的高風險漏洞以及間諜軟件侵襲的潛在威脅,網康向客戶推薦了NGFW的IPS模塊,可掃描現有網絡環境中的高風險漏洞,同時也是業界首屈一指的集漏洞掃描和間諜軟件防護一體化的IPS模塊,擁有9000多條漏洞匹配庫,有效減少了客戶可能存在的高風險威脅。

友商NGFW報出的漏洞數量明顯少於網康,且經過客戶運維部門的專家鑒定,網康的IPS漏洞報告都是有效、合理的報告,這讓友商望塵莫及。

  說好的大殺器,怎麼就成了壓死駱駝的稻草

  友商的防火牆有一個屏蔽其他廠商的獨門暗器:防火牆帶WAF模塊,這在招標上無疑是一招絕殺。但到了實際應用,這反而成了壓死駱駝的最後一根稻草。友商的防火牆開啟WAF功能后,CPU使用率高達97%,內存使用更是達到了100%,導致其他功能模塊全部沒有反應;更致命的是,友商防火牆沒有硬件Bypass功能,同時軟件Bypass由於設備無響應無法實現。萬般無奈之下,友商只剩下下線一種選擇才能恢復客戶的網絡。

  出於以下三點考慮,網康的NGFW沒有集成WAF:

  網康NGFW憑什麼勝出

  經過幾輪比拼后,從產品性能到產品架構,從產品功能到可用性,網康殺出重圍,成為唯一一款滿足客戶網絡應用安全需求同時附帶應用行為控制的廠商。在此案例中,網康幫助客戶實現如下幾點價值:

  WEPEC的辦公效率與質量得到保障;

  減輕了信息部門系統運維的壓力與財政投入;

  真正意義上的做到了深入洞察網絡流量中的用戶、應用和內容,為WEPEC提供有效的應用層一體化安全防護。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

防火牆公司怎麼跟天氣預報扯上關係?

網站內容來源http://server.it168.com/

防火牆公司怎麼跟天氣預報扯上關係?

2016-01-18 11:05    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】導讀:每天新聞聯播后的《天氣預報》,是很多中國老百姓每晚必看的節目。準確的天氣預報,離不開氣象局的龐大業務系統網絡,而在背後守護這個業務網絡的,是網康的NGFW。

  氣象局業務網,其實離你我並不遙遠

  中國氣象局是國務院直屬事業單位,承擔全國氣象工作的政府行政管理職能,負責全國氣象工作的組織管理。氣象局Internet接入網絡系統是重要的信息基礎設施,承擔著氣象局重要的實時業務系統、辦公自動化郵件系統以及OA等辦公系統,是氣象部門開展業務辦公、科研合作和國際交流的網絡基礎平台。

  氣象業務系統安全上可直接關係到國民經濟建設,甚至嚴重威脅國家安全,下可影響普通百姓的日常生活。舉個例子,如果全國各地氣象站的數據無法及時上傳到核心業務系統,就無法準確預測出第二天的天氣,而如果您恰好第二天安排了飛機出行,航班就可能由於缺少航線沿途的天氣數據而被迫取消。

  老舊的氣象局網絡出口,早已不堪重負

  之前中國氣象局辦公網出口單機部署友商的防火牆,該設備已經服務五年,運維人員維護壓力較大,成本較高,且老舊防火牆設備的可靠性已經嚴重威脅辦公網業務系統的穩定性。

  氣象局是網康的VIP客戶,網康的銷售和售前技術人員每周至少去拜訪三次,如果時間允許的話,基本每天都會去現場與客戶做細緻溝通,並與客戶共同總結出以下需求:

  (1)出口防火牆設備陳舊,需要更換新的設備來保障業務系統的穩定性和可靠性;

  (2)應用層威脅日益增多,嚴重影響用戶業務系統的完全性;

  (3)全方位構建安全網絡,將極大的提升單位的TCO;

  (4)BYOD產生較多的威脅訪問,對業務系統增加權限設置,減少一些不必要的訪問。

  最終,氣象局採用了以網康NGFW設備為基礎的解決方案:

  在氣象局辦公網絡的出口交換機和核心雙機部署網康NGFW並開啟HA功能,雙機部署保障氣象局網絡的穩定性;

  網康NGFW對內網實現下一代安全防護,主要包括重要的實時業務系統、辦公自動化郵件系統以及OA等辦公系統,對外網進入內網所有流量進行病毒查殺;

  開啟IPS入侵防禦功能。由於政府氣象防災減災決策、氣象災害監測等信息屬於高度機密,所以必須對黑客入侵的行為進行安全防護;

  開啟數據防泄露功能,防止政府氣象防災減災決策、氣象災害監測等信息數據的外泄。

  網絡結構如下:

  好用不好用,聽聽用戶怎麼說

  “網康NGFW支持網絡流量和威脅統計的分布圖,對去往和來源於不同國家和地區的流量和威脅做到可視化,能夠對“灰色”應用進行更精細子應用的安全風險劃分和識別,能夠保證對“灰色”應用有效的安全風險認識和控制,這有助於及時調整安全策略,防範網絡安全事件的發生。最重要的是,網康的工作人員能夠在項目的關鍵階段深入到一線,實施一對一的VIP服務,深入了解我們的業務需求,這是讓我們最終選擇了網康的原因。”

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

勒索軟件假冒Locky惡意軟件攫取錢財

網站內容來源http://server.it168.com/

勒索軟件假冒Locky惡意軟件攫取錢財

2016-08-02 16:03    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】Palo Alto Networks威脅情報小組 Unit42近日宣布發現PowerWare(也被稱為PoshCoder)的全新變種,在有意模仿臭名昭著的Locky勒索軟件家族。PoshCoder自2014年開始便使用PowerShell對文檔進行加密,2016年3月報道稱其有新變種PowerWare出現,該惡意勒索軟件可對受害者電腦里的文件進行加密,然後通過支付比特幣等数字貨幣的方式向受害者進行勒索。

  除了將‘.locky’作為加密過文件的擴展名,PowerWare還使用與Locky惡意軟件家族相同的勒索信。對PowerWare來講這不是第一次模仿其他惡意軟件家族,其早期版本便使用CryptoWall 惡意軟件的勒索信。此外,有些惡意軟件還會借用其他軟件的代碼,比如TeslaCrypt系列惡意軟件。

  Unite42團隊曾經編寫過一個名為Python的腳本,可在受害者的電腦上逐次找到帶有‘.locky’擴展名的文件並將其還原到初始狀態。其解密版本可通過以下鏈接進行下載 ( ) 。

  分析

  對PowerWare的初步分析显示,該樣本為.NET可執行文件,在使用一款名為dnSpy的.NET反編譯程序對其進行細緻檢查后,我們在Quest Software上發現有“PowerGUI”字樣显示,於是我們立刻意識到這一惡意軟件使用的是PowerShell 腳本編輯器,其可將PowerShell腳本轉換為Microsoft可執行文件。

反編譯惡意軟件變種所參考的PowerGUI

反編譯主要功能

  通過對.NET可執行文件進一步檢查,我們發現其正在使用ScriptRunner.dll來拆包一個名為fixed.ps1的PowerShell腳本。這個拆解過的文件位於以下位置,

  %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

  實際上,這個.NET微軟Windows可執行文件只負責拆包某個嵌入式腳本並使用PowerShell.exe來運行它。該腳本位於一個名為Scripts.zip的壓縮文件內,該壓縮文件位於如下面圖三所显示的資源節內。

▲Scripts.zip 內嵌於惡意軟件資源節內

  由於Scripts.zip文件在內嵌於惡意軟件之前未經任何掩飾處理,藉助dnSpy我們便能輕鬆地將其從壓縮文件中抽取出來,這有助於我們從中獲取壓縮的PowerShell 腳本。

  PowerShell 與 PoshCoder/PowerWare的變種極其相似。如圖四显示,該樣本藉助硬編碼密鑰進行128位AES加密,可讓受害者無需支付贖金便可解密文件。這裏面不包含網絡信標,不會把密鑰生成的字節像某些變種那樣任意傳送。

  PowerWare變種加密設置

  PowerShell腳本會自動掃描受害者的電腦,搜尋帶有以下擴展名的文件並對其加密。

  PowerWare加密的文件擴展名

  然後,PowerWare將這些加密過的文件的擴展名修改為.locky,就像臭名昭著的Locky惡意軟件那樣。此外,PowerWare還會編寫一個名為‘_HELP_instructions.html’的HTML文件,其與Locky系列惡意軟件在用詞上完全一致,勒索信放置於含有加密文件的文件夾中。

  PowerShell編碼用於模仿Locky系列惡意軟件

  PowerWare 勒索信使用了與Locky相同的措辭

  在此事件中,受害者若要為此支付贖金,會被引導至某個網站,如下圖所示。該網站會告訴(受害者)如何購買比特幣,此時我們會再次看到相關材料,充分證明這一變種所極力模仿的便是Locky系列勒索軟件。

  解密網站

上一頁
1 內容導航

  • 第1頁:
  • 第2頁:

, , ,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

直面安全挑戰智能製造工控安全解決方案

網站內容來源http://server.it168.com/

直面安全挑戰智能製造工控安全解決方案

2016-12-12 20:04    原創  作者: 廠商投稿 編輯:
0購買

【IT168 方案】近日,世界智能製造大會在南京召開,國內外智能製造領域專家共聚一堂,為世界智能製造發展出謀划策。大會期間,工信部正式發布《智能製造發展規劃(2016-2020年)》,繪製了中國智能製造的宏偉藍圖和推進的路線圖。

中國製造業的發展質量、創新能力、品牌塑造等與發達國家有較大差距,大而不強的問題是急需破解的瓶頸。必須順應全球製造業發展趨勢,把推進智能製造作為培育中國製造業增長的新動力。

智能製造具有複雜性、系統性等特點,涉及研發設計、生產製造、倉儲物流、市場營銷、售後服務、信息諮詢等各個價值鏈環節,涉及執行設備層、控制層、管理層、企業層、雲服務層、網絡層等企業系統架構,需要進行橫向集成、縱向集成和端到端集成,智能製造生產網絡與互聯網的融合交互愈加深入。

安全挑戰

智能製造已日益成為製造業發展的重大趨勢和核心內容,要以智能製造新模式、新理念,全面革新傳統設計、製造技術和生產方式,加快網絡協同創新,推動通過虛擬加實體空間進行異地協同創新,實現資源優化整合。

信息化和工業化深度融合,控制網、生產網、管理網、互聯網互聯互通成為常態,智能製造生產網絡的集成度越來越高,越來越多採用通用協議、通用硬件和通用軟件,生產控制系統信息安全問題日益突出,面臨更加複雜的信息安全威脅。

網絡安全:與互聯網的深度融合,網絡IP化、無線化以及組網靈活化給智能製造網絡帶來更大安全風險。

數據安全:數據的開放、流動和共享使數據和隱私保護面臨前所未有的挑戰。

應用安全:網絡化協同、個性化定製等業務應用的多樣化對應用安全提出了更高要求。

控制安全:控制環境開放化使外部互聯網威脅滲透到生產控制環境。

設備安全:設備智能化使生產裝備和產品更易被攻擊,進而影響正常生產。

解決方案

依託對工業網絡和工業協議的深度認知和深入研究,威努特公司在工控安全領域積累了深厚的技術基礎,結合智能製造的現狀及特點,依據工信部《工業控制系統信息安全防護指南》指導要求,推出了覆蓋智能製造生產全流程的主動防護安全解決方案,協助智能製造企業構建生產控制網絡全面安全體系,切實保障安全智能生產。

方案聚焦於生產網絡,多種安全產品有機結合構建縱深安全防護體系,直面智能製造生產控制網絡的安全挑戰,切實保障智能製造生產網絡的網絡安全、應用安全、數據安全、控制安全和設備安全。而辦公網和互聯網的網絡安全、數據安全、應用安全,則通過傳統信息安全手段進行防護。

1) 方案架構

主動安全防護體系全面覆蓋智能製造生產全流程,涵蓋管理網絡、控制網絡和現場設備等智能製造重要組成部分,方案架構圖如下所示:

主動防護:威努特可信網關能夠深度識別和解析工業協議,構建安全白名單防護機制,識別並防範工業攻擊;通過自學習適應生產控制模式,放行正常操作指令,阻斷異常操作,確保生產控制安全。

主機加固:威努特工控主機衛士通過掃描上位機程序和進程,構建白名單安全基線,實現系統安全加固,有效防範已知未知病毒的入侵和攻擊。

安全審計:威努特工控監測審計平台基於工業協議深度解析生產網絡流量,監測和識別網絡中的入侵攻擊、異常操作、生產數據、重要操作等行為,並進行統計和分析。

漏洞識別:威努特漏洞挖掘平台針對知名的工業控制協議進行分析,採用模糊監測技術進行安全性和健壯性測試,深度挖掘工控設備存在的已知和未知漏洞,協助客戶提升自身工控安全風險評估能力。

統一管理:威努特統一安全管理平台能夠發現網絡中所有安全產品,進行統一管理、統一策略調整下發、統一日誌收集分析、統一實時的監控,極大簡化安全運維流程。

2) 方案特點

嚴格遵循工信部《工業控制系統信息安全防護指南》指導要求;

注重整體防護,技術與管理兼顧;

主動防護,抗擊安全風險;

白名單機制,符合生產控制網絡實際情況;

縱深防禦,整體安全保障;

多種安全產品有機結合,覆蓋生產製造全流程;

集中統一可視化管理,簡化運維。

3) 客戶價值

全面提高智能製造生產網絡的整體安全性,確保設備、系統、網絡的可靠性、穩定性和安全性,為安全生產保駕護航。

全面改進智能製造業務人員的安全水平和安全意識,提高安全生產管理水平、工作效率和管理效率。

全面提升智能製造網絡安全防護管理的合規性,符合國家主管部門智能製造發展規劃要求及工控安全防護要求,

協助智能製造企業建立工控安全防護規範,樹立行業標桿,形成示範效應。

小結

智能製造面臨的安全風險、入侵途徑、攻擊手段等多種多樣,具有很大的不確定性,但是智能製造的安全防護必須是確定的。確定的安全,強調的是防護動作的可預期性,產生效果的可預知性。能夠確定的告訴用戶,用戶也能確定的知道,安全設備上去之後能做什麼事情,能夠對生產控制網絡帶來哪些防護的效果。

威努特致力於為智能製造企業提供“確定的安全”,深入研究智能製造生產網絡存在的安全風險,確定安全問題出現的根源,針對癥結提供基於白名單機制的安全產品,構建智能製造工控安全的“白環境”。

工控系統來不得半點虛假,不需要概念的炒作,要談工控安全,一定得是確定的安全。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

直面安全挑戰智能製造工控安全解決方案

銳捷解決廈門百年醫院終端管控的安全問題

網站內容來源http://server.it168.com/

銳捷解決廈門百年醫院終端管控的安全問題

2017-12-13 19:20    原創  作者: 廠商投稿 編輯:
0購買

【IT168 案例】互聯網時代,由信息泄露導致的各種悲劇和案件時有發生。在醫療領域,患者的隱私信息泄露已成為社會的巨大隱憂,不少醫院的用戶信息更是成為犯罪分子的重點盜取目標。為了更好地防範安全風險,廈門市第一醫院杏林院區(以下簡稱:杏林院區)一直在尋找克服終端安全隱患的“良藥”。

終端准入面臨多重困境

杏林院區位於廈門杏林台商投資區,創立於1898年,歷經百餘年的發展,杏林院區已經成為國內專治肺病的特長專科醫院。

在醫療行業中,網絡常分為內網和外網,其中內網為生產網,基於安全考慮通常會進行終端的准入控制,合法的終端才允許接入網絡, 因此,對終端准入的管控,自然而然地成為杏林院區防範安全風險的第一道門禁。

廈門市第一醫院杏林院林主任對於終端准入的重要性早已有所認識,且對目前主流廠商的技術有充分的認知。與客戶訪談中客戶告知我們現在常見的准入策略有認證(如802.1X認證、Web認證),但是由於認證方式引入的認證服務器單點故障,認證性能瓶頸,需要客戶端等,可靠性等問題,造成了當前醫療行業內選擇動態認證方式的不多。

痛點一:動態認證型准入局限性

比如:醫院門診有非常多的啞終端,目前業界的方案都是要裝客戶端或者網頁認證,無法在諸如取號機,電視牆,LED叫號機等設備上使用。

  圖:自助機/自助打印機

  痛點二:IP+MAC綁定的局限性

和不少醫院通行的做法一樣,杏林院區開始選擇了常見的准入部署方式,即靜態IP+MAC綁定方式。然而,杏林院區逐漸發現,使用接入交換機的IP+MAC綁定的方式更帶來了多重問題:

信息收集麻煩。如果人工收集每一台接入終端的MAC地址,並且知曉其所連接的接入交換機,初始實施時還相對方便,後續的設備變更則會隨着網絡維護時間變長而信息混亂。

配置繁瑣。手工對每台接入交換機進行配置,當生產網範圍較大時,實施工作量倍增。比如mac地址的8跟B有時候長太像了十分容易出錯。

表項遺留。接入交換機上會存在大量的靜態配置,進行IP+MAC綁定關係變更時,比較容易出錯,因為同一批採購的終端可能MAC地址段相近。

在醫院中後期進行病區裝修,辦公室調整時,需要對接入交換機的IP+MAC綁定表項重新配置,如果設備跨網關遷移時,還需要重新分配IP地址。

 典型痛點三:IP地址的複雜

同時對於IP地址的管理維護,廈門市第一醫院杏林院區採用的是execl登記,為信息中心人工帶來不少麻煩。

1.IP衝突

整網800多個終端採用手工Excel維護,太繁瑣,效率低。網絡中經常出現IP地址衝突。

2.Mac地址收集難

一台設備的mac地址好的話有貼標籤,有些設備沒有貼標籤的壓根無法收集mac。

3.設備報廢

設備報廢后,因為設備也無法開機,所以ip也就跟着石沉大海。ip地址回收使用率低。

4.私設IP/欺騙嘗盡

有時候護士會看看換個ip地址是否能上網,換完IP后,直接導致跟主任醫師的IP地址衝突,導致斷網。

輕量級准入方案——針對痛點的精準“外科手術”

對於醫療行業經常遇到的終端管控這一“疑難病症”,銳捷創新推出的輕量級准入方案可以說是切中痛點的“精準外科手術”,其優勢主要體現在以下三個方面:

1.免客戶端准入

在醫院所有場景,各類取號機,電視牆,LED叫號機等無客戶端的啞終端都能做准入,簡單安全。

2.IP+MAC信息的自動收集

通過自動IP+MAC信息收集和綁定,減少廈門市第一醫院杏林院區用戶成倍的工作量,告別MAC地址手動手機,告別IPHEMAC的手動綁定,告別接入交換機的手動配置。極大減少出錯的概率。

3.可視化IP地址管理

廈門市第一醫院使用靜態IP地址。這樣的應用場景自然不可迴避的就是IP地址管理的問題。輕量級准入的IP可視化管理讓原來只能通過Excel來簡單記錄IP地址的廈門市第一醫院杏林院區有了更直觀簡單的解決辦法。

杏林醫院從7月份割接運行20多台接入設備,門診、住院部等地區近百台客戶各種類型終端,截止到目前穩定運行。

“輕量級准入方案的功能實用方便,IP地址管理清晰直觀,自動化水平高,讓內網終端接入管理變得輕鬆簡單,在減輕IT運維人員的工作壓力的同時,有效保護了醫院的數據和信息系統安全。”杏林院區的IT運維負責人對方案的評價也銳捷輕量級准入方案的最終“療效”。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

銳捷解決廈門百年醫院終端管控的安全問題

威脅聚焦:快速追蹤BadRabbit勒索軟件

網站內容來源http://server.it168.com/

威脅聚焦:快速追蹤BadRabbit勒索軟件

2017-10-25 23:54    原創  作者: 思科 編輯:
0購買

【IT168 技術】2017 年 10 月 24 日,思科 Talos 接到警報,網絡上出現了一種大規模的勒索軟件攻擊活動,影響到了東歐和俄羅斯的很多組織。與以前一樣,我們迅速行動起來,評估局勢並確保保護客戶不受此勒索軟件和其他新出現的威脅影響。

最近幾個月來已經出現了好幾次大規模的勒索軟件攻擊活動。這次的勒索軟件與 Nyetya 存在一些相似之處,也是以 Petya 勒索軟件為基礎,但是對大部分代碼進行了改寫。這次傳播的病毒似乎沒有我們最近發現的供應鏈攻擊那麼複雜。

傳播

Talos 進行了評估,確信攻擊者通過 “路過式下載” 方法傳播了一種虛假 Flash Player 更新,並通過此更新入侵系統。攻擊者將被入侵的網站重定向至 BadRabbit,受影響的網站很多,主要位於俄羅斯、保加利亞和土耳其。

當用戶訪問被入侵的網站時,系統會重定向至 1dnscontrol[.]com 這一託管該惡意文件的網站。在下載實際的惡意文件之前,攻擊者會向靜態 IP 地址 (185.149.120[.]3) 發送一個 POST 請求。我們發現該請求發布到了 “/scholasgoogle” 靜態路徑,並向用戶提供代理、引用站點、Cookie 和域名。在發布 POST 請求之後,系統從 1dnscontrol[.]com 的兩個不同路徑 /index.php 和 /flash_install.php 下載了植入程序。儘管使用了兩個路徑,但卻只下載了一個文件。根據當前信息,在服務器 1dnscontrol[.]com 被入侵之前,該惡意軟件似乎已經活動了大約六小時。我們觀察到的首次下載時間大約在 UTC 時間 2017 年 10 月 24 日早上 8:22。

植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用戶協助實施感染,而未使用任何漏洞攻擊包來直接入侵系統。該植入程序包含 BadRabbit 勒索軟件。該植入程序安裝之後,它會使用一個 SMB 組件來進行內部擴散和進一步感染。其做法似乎是組合使用隨附的弱憑證列表和與 Nyetya 所用的類似的 mimikatz 版本。下面是我們觀察到的用戶名/密碼組合的列表。請注意,這與 1995 年臭名昭着的 “黑客” 存在重合。

▲我們觀察到的密碼列表

   儘管已經製作初步報告,但是我們目前沒有任何證據表明攻擊者利用了 EternalBlue 漏洞攻擊包來傳播感染。然而,我們的研究還在繼續,如果獲得更多信息,我們將及時公布。

 技術詳情

該惡意軟件包含一個負責提取和執行蠕蟲負載的植入程序。這個負載包含以下存儲於資源中的附加二進制文件(使用 zlib 壓縮):

●若干與 DiskCryptor 關聯的合法二進制文件(2 個驅動程序 x86/x64 和 1 個客戶端);

●2 個類似於 mimikatz 的二進制文件 (x86/x64),與 Nyetya 中發現的樣本相似。這是一種常見的開源工具,用於通過幾種不同的方法從計算機內存中恢復用戶憑證。

該植入程序向 C:\Windows\ 目錄植入若干文件。攻擊者利用 Nyetya 攻擊活動中相同的方法執行那些類似於 mimikatz 的二進制文件。負載和憑證竊取程序之間使用指定管道命令進行通信,下面是一個這種管道命令的示例:

C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

然後,該惡意軟件使用 RunDLL32.exe 執行惡意軟件並繼續進行惡意操作。隨後,該惡意軟件使用如下屏幕截圖所示的參數創建一個預定任務:

除了上述預定任務,該惡意軟件還會再創建一個負責重啟系統的預定任務。這第二個任務不會立即執行,而是按照計劃稍後執行。

如果感覺這些預定任務的名稱看起來很熟悉,那是因為它們引用了《權利的遊戲》的內容,具體而言它們與裏面那些龍的名字是一致的。該惡意軟件還在受感染用戶的桌面上創建了一個名為 DECRYPT 的文件。如果受害者執行此文件,系統會显示一封如下所示的勒索信。

為了揭示這類威脅在全球的傳播速度有多快,我們繪製了下圖,從中可以看出,在用於傳播那個在受害者系統上植入惡意軟件的虛假 Adobe Flash 更新的域中,其中一個域就存在非常活躍的 DNS 相關活動。

該惡意軟件修改了被感染系統硬盤的主啟動記錄 (MBR),將啟動過程重定向到惡意軟件製作者代碼中,從而显示勒索信。系統重啟之後显示的勒索信如下,與今年其他重大攻擊中發現的其他勒索軟件變體(即 Petya)所显示的勒索信非常相似。

以下是 TOR 網站显示的付款頁面:

結論

這次攻擊活動又一次證明了,勒索軟件可以如何高效地使用 SMB 等輔助傳播方法進行快速傳播。在此例中,初始攻擊媒介不是複雜的供應鏈攻擊,而是利用被入侵的網站實現的 “路過式下載” 基本攻擊。這正在迅速成為威脅形勢的新常態。威脅傳播速度越快,留給防禦者的響應時間就越短,勢必造成巨大的危害。無論攻擊者是想謀取錢財,還是想蓄意破壞,勒索軟件都是首選威脅方式。只要還有牟利或造成破壞的可能,這類威脅就會繼續肆虐。

這類威脅也擴大了需要處理的另一重要問題,那就是對用戶進行宣傳教育。在此次攻擊中,用戶需要協助攻擊者實現初步感染。如果用戶不安裝那個 Flash 更新,就不會幫助完成這個攻擊過程,該惡意軟件就會保持良性狀態,不會對該地區造成嚴重破壞。一旦用戶幫助完成了初步感染,該惡意軟件就可以利用現有的方法(例如 SMB)在整個網絡內傳播病毒,而無需用戶交互。

防護

●高級惡意軟件防護(AMP )– 解決方案可以有效防止執行威脅發起者使用的惡意軟件。

●CWS 和 WSA Web–掃描功能可以阻止訪問惡意網站,並檢測這些攻擊中所用的惡意軟件。

●網絡安全設備–(例如 NGFW、NGIPS 和 Meraki MX)可以檢測與此威脅相關的惡意活動。

●AMP ThreatGrid–可幫助識別惡意二進制文件,使所有思科安全產品都有內置保護措施。

●Umbrella–我們的安全互聯網網關 (SIG),可阻止用戶連接惡意域、IP 和 URL(無論用戶是否位於公司網絡上)。

此次沒有發現攻擊者以郵件作為攻擊媒介。如果該惡意軟件在您網絡的這些系統之間傳輸,將會受到阻止。

思科 Talos 簡介

思科 Talos 團隊由業界領先的網絡安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區的龐大資源支持,使得它成為網絡安全行業最大的安全研究團隊,也為思科的安全研究和安全產品服務提供了強大的後盾支持。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

威脅聚焦:快速追蹤BadRabbit勒索軟件

IOT安全:Logitech Harmony Hub安全性分析

網站內容來源http://server.it168.com/

IOT安全:Logitech Harmony Hub安全性分析

2018-05-15 09:31    來源:安全客  作者: Joel Hopwood 編輯:
0購買

  一、前言

FireEye的Mandiant Red Team最近在Logitech Harmony Hub物聯網(IoT)設備上發現了一些漏洞,這些漏洞可以被攻擊者利用,通過SSH渠道獲得目標設備的root訪問權限。Harmony Hub是一款家庭控制系統,用來連接並控制用戶家庭環境中的各種設備。在本地網絡中利用這些漏洞后,攻擊者可以控制連接到Hub的設備,也可以利用Hub做為執行節點,攻擊本地網絡中的其他設備。由於Harmony Hub所支持的設備較多,包括智能門鎖、智能恆溫器以及其他智能家居設備等,因此這些漏洞會給用戶帶來極高的風險。

FireEye在2018年1月向Logitech披露了這些漏洞,Logitech積極響應,與FireEye一起溝通協作,發布固件更新(4.15.96)解決了這些問題。

Red Team發現了如下幾個漏洞:

1、未驗證證書有效性;

2、不安全的更新過程;

3、生產固件鏡像中遺留開發者(developer)調試符號;

4、空的root用戶密碼。

Red Team組合使用了這幾個漏洞,最終獲得了Harmony Hub的管理員訪問權限。在本文中我們介紹了這些漏洞的發現及分析過程,與大家分享了對消費者設備進行嚴格安全測試的必要性:現如今公眾對設備越來越信任,而這些設備不僅連接到家庭網絡中,也會透露關於公眾日常生活的各種細節,此時安全形勢也更加嚴峻。

  二、設備分析

設備準備

已公開的一些研究報告表明,Harmony Hub的測試點上存在一個UART(universal asynchronous receiver/transmitter,通用異步收發傳輸器)接口。我們將跳線連接到這些測試點上,這樣就能使用TTL轉USB串行線路連接到Harmony Hub。初步分析啟動過程后,我們發現Harmony Hub會通過U-Boot 1.1.4啟動,運行一個Linux內核,如圖1所示。

▲圖1: 從UART接口獲得的啟動日誌

  在啟動過程後續階段中,控制台不再輸出任何信息,因為內核並沒有配備任何控制台接口。我們在U-Boot中重新配置了內核啟動參數,想查看完整的啟動過程,但並沒有恢復出有用的信息。此外,由於設備將UART接口配置成僅傳輸模式,因此我們不能通過該接口與Harmony Hub進一步交互,因此我們將研究重點轉移到了Harmony Hub所運行的Linux操作系統上,想進一步了解整個系統以及其上運行的相關軟件。

  固件恢復及提取

Harmony Hub可以使用配套的Android或者iOS應用通過藍牙來進行初始化配置。我們使用hostapd創建了一個無線網絡,在Android測試設備上安裝了Burp Suite Pro CA證書,以捕捉Harmony移動應用發往互聯網以及發往Harmony Hub的通信流量。一旦初始化配對完成,Harmony應用就會搜索本地網絡中的Harmony Hub,使用基於HTTP的API與Harmony Hub通信。

一旦成功連接,Harmony應用就會向Harmony Hub的API發送兩個不同的請求,以便Harmony Hub檢查是否存在更新,如:2所示。

▲ 圖2:使Harmony Hub檢查更新的請求報文

  Harmony Hub會向Logitech服務器發送當前的固件版本,以確定是否存在更新(如圖3所示)。如果需要更新,Logitech服務器會發送一個響應包,其中包含新固件版本所對應的一個URL(如圖4所示)。由於我們使用了自簽名的證書來捕捉Harmony Hub發送的HTTPS流量,因此我們可以順利觀察到這個過程(Harmony Hub會忽略無效的SSL證書)。

▲圖3:Harmony Hub檢查固件更新

▲圖4. 服務器返回的響應包中包含更新固件的URL

  我們獲取了這個固件並檢查了相關文件。剝離好幾個壓縮層后,我們可以在harmony-image.squashfs文件中找到固件。固件所使用的文件系統鏡像為SquashFS文件系統,採用lzma壓縮算法(這是嵌入式設備常用的壓縮格式)。然而,廠商經常使用老版本的squashfstools,這些版本與最新的squashfstools並不兼容。我們使用了firmware-mod-kit中的unsqashfs_all.sh腳本,自動化探測unsquashfs的正確版本,以便提取文件系統鏡像,如圖5所示。

▲圖5. 使用firmware-mod-kit提取文件系統

  提取文件系統內容后,我們檢查了Harmony Hub搭載的操作系統的某些詳細配置信息。經過檢查后,我們發現這個生產鏡像中包含大量的調試信息,比如沒有刪掉的內核模塊等,如圖6所示。

▲圖6. 文件系統中未刪掉的Linux內核對象

  檢查/etc/passwd后,我們發現root用戶並沒有設置密碼(如圖7所示)。因此,如果我們可以啟用dropbear SSH服務器,我們就能通過SSH接口獲取Harmony Hub的root訪問權限,無需使用密碼。

▲圖7. /etc/passwd文件显示root用戶未設置密碼

  我們發現,如果文件系統中存在/etc/tdeenable文件,則會在初始化階段中啟用dropbear SSH服務器,如圖8所示。

▲圖8. 如果存在/etc/tdeenable,/etc/init.d/rcS腳本則會啟用dropbear SSH服務器

  劫持更新過程

在初始化過程中,Harmony Hub會在Logitech API上查詢GetJson2Uris地址,獲取各種過程所需的一個URL列表(如圖9所示),其中包括檢查固件更新所使用的URL以及獲取更新所需的額外軟件包信息的URL。

▲圖9. 發送請求獲取各種過程所需的URL地址

  我們攔截並修改了服務器返回的響應數據包中的JSON對象,將其中的GetUpdates成員指向我們自己的IP地址,如圖10所示。

▲圖10. 修改過的JSON對象

  與固件更新過程類似,Harmony Hub會向GetUpdates所指定的端點發送一個POST請求,請求中包含設備內部軟件包的當前版本信息。HEOS軟件包對應的請求如圖11所示。

▲圖11. 包含系統中“HEOS”軟件包當前版本信息的JSON請求對象

  如果POST請求正文中的sysBuild參數與服務器已知的當前版本不匹配,服務器就會響應一個初始數據包,其中包含新軟件包版本信息。由於某些不知名的原因,Harmony Hub忽略了這個初始響應包,發送了第二個請求。第二個響應包中包含多個URL地址,這些地址指向了新的軟件包,如圖12所示。

▲圖12. 包含軟件更新包的JSON響應數據

  我們下載了響應數據包中列出的.pkg文件,檢查后發現這些文件其實是ZIP壓縮文件。壓縮文件的文件結果比較簡單,如圖13所示。

▲圖13. .pkg壓縮文檔結構

  其中,manifest.json文件可以告訴Harmony Hub在更新過程中如何處理壓縮文檔的內容,如圖14所示。

▲圖14. manifest.json文件內容

  manifest文件中installer參數所指定了一個腳本,如果壓縮文件中存在該腳本,那麼Harmony Hub在更新過程中就會執行這個腳本。我們修改了這個腳本,如圖15所示,修改后該腳本會創建/etc/tdeenable文件,前面提到過,這樣啟動過程就會啟用SSH接口。

▲圖15. 修改后的update.sh文件

  我們創建了帶有.pkg擴展名的一個惡意壓縮文檔,使用本地web服務器託管該文檔。當下一次Harmony Hub根據被篡改的GetJson2URIs響應包中給出的URL地址來檢查更新時,我們返回經過修改的響應包,指向這個更新文件。Harmony Hub會接收我們提供的惡意軟件更新包,重啟Harmony Hub后就會啟用SSH接口。這樣我們就可以使用root用戶名以及空密碼來訪問該設備,如圖16所示。

▲圖16. 重啟後設備啟用了SSH接口

  三、總結

隨着科技逐步融入我們的日常生活中,我們也在不知不覺中越來越信任各種設備。Harmony Hub與許多物聯網設備一樣,採用了通用處理器架構,因此攻擊者可以輕鬆將惡意工具添加到被攻破的Harmony Hub上,進一步擴大攻擊活動的影響力。Logitech與我們的團隊積極合作,發布了4.15.96固件解決了這些漏洞。如果用戶對某些設備非常信任,那麼這些設備的開發者就應該保持警惕,移除讓用戶處於危險境地的潛在攻擊因素。Logitech在與Red Team的研究工作中發表過一則聲明,在此我們也想與大家一起分享:

“Logitech非常重視客戶的安全及隱私。2018年1月下旬,FireEye發現了可能影響Logitech Harmony Hub產品的一些漏洞,如果某個惡意黑客已經獲取Hub用戶網絡的訪問權限,就可以利用這些漏洞。我們非常感謝FireEye等專業安全研究公司在挖掘探索IoT設備上這類漏洞所付出的努力。

在FireEye將這些研究成果告知我們后,我們第一時間啟動了內部調查,並且馬上開始研發固件以解決這些問題。4月10日,我們發布了固件更新,全部解決了這些漏洞。如果還有客戶沒有將固件更新到4.15.96版,我們建議您檢查MyHarmony軟件,同步基於Hub的遠程設備並接收該固件。用戶可以查看此鏈接了解關於固件更新的完整說明。

基於Hub的產品包括: Harmony Elite、Harmony Home Hub、Harmony Ultimate Hub、harmony Hub, Harmony Home Control、Harmony Pro、Harmony Smart Control、Harmony Companion、Harmony Smart Keyboard、Harmony Ultimate以及Ultimate Home”。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

IOT安全:Logitech Harmony Hub安全性分析