歐盟加強物聯網設備安全監管，竟起訴兩家中國公司？

近日，有消息稱歐盟委員會正在起草新的網路安全要求，其中重點針對物聯網設備要求加強安全防護措施，特別是攝像頭、路由器以及攝像機等設備。之前就有很多安全公司警告稱，當前的物聯網設備幾乎都沒有任何安全防護措施。

據http://Euractive.com網站上的一份報告描述，歐盟委員會正計劃將物聯網規則的改革作為歐盟電信法律的一部分，而其中最關鍵的是他們可能會鼓勵一些公司出一套物聯網設備的安全規則或者系統，從而作為網路安全評級的模板。

在上周，有多家媒體都曝光了造成史上最大DDOS攻擊的罪魁禍首Mirai惡意軟體。它通過對互聯網上的物聯網設備進行掃描然後對那些使用默認的用戶名和密碼的設備進行入侵，從而操控其發動DDOS攻擊。

其中不得不提到的有兩家中國公司，其中一家名為雄邁技術（創立於2008年，是一家集安防視頻監控類產品研發、生產和銷售於一體的高科技企業。總部位於浙江省杭州市富陽區銀湖科創中心。），這家公司主要生產一些經典的DVR和IP攝像機的電路板，然後將其賣給下游的廠商，由該廠商在其產品中進行使用。但問題也恰恰出在這裡，在眾多被攻破的物聯網設備中有很多都採用了相同的默認用戶名和密碼：root及xc3511，而這正是由雄邁技術提供的。

而在本周，英特爾Flashpoint的安全研究人員稱其發現由該公司提供的基於WEB的管理頁面可以被繞過並且完全不需要提供用戶名和密碼的情況，只需要通過導航的一個名為「DVR.htm」的頁面前進行登錄。

更糟的是，即使這些物聯網設備的所有者通過設備的網路介面更改默認憑證,這些機器仍然可以通過在互聯網上稱為Telnet和SSH的通訊服務被訪問到。這些都是可以通過命令行以及命令提示符就可以訪問的基於文本的介面(如在Microsoft Windows,用戶可以單擊「開始」,在搜索框輸入「cmd.exe」啟動命令提示符,然後輸入「telnet」到達目標主機的用戶名和密碼提示)。

「問題是使用這些設備的用戶一般並不會真正的去修改密碼，密碼都是硬編碼到固件中的，需要必要的工具來禁用它使其不存在。而更糟的是，這些憑證的web界面並不存在。」Flashpoint的安全研究人員這樣說道。n

同時，他們還提到說在10月6號他們對互聯網上的設備進行連續掃描後發現了眾多非常脆弱的硬體設備，其中有515000人的設備很可能會遭到攻擊。

Flashpoint提到了另外一家中國公司——大華技術（浙江大華技術股份有限公司是領先的監控產品供應商和解決方案服務商,面向全球提供領先的視頻存儲、前端、顯示控制和智能交通等系列化產品。），毫無疑問此次DDOS攻擊事件的主要問題就是出在他們這裡，Mirai惡意軟體攻擊的主要目標正是由大華技術生產的攝像頭，但在上周該公司發表了相關分析企圖淡化這一事件，並稱該公司的銷售模式主要是B2B，在北美並不直接向消費者或者企業出售，而是通過自己的網站或者亞馬遜商城，而亞馬遜並不是他們的分銷商。目前他們也在進行研究並且對未經授權的銷售行為採取行動。

在其調查之後，該公司確認那些成為DDOS攻擊一部分的設備都具有以下一項或者幾項特徵：

1.設備的固件往往是在2015年1月之前nn2.設備使用的是默認的用戶名和密碼nn3.設備在互聯網上處於暴露狀態，沒有一個有效的防火牆保護n

大華公司還稱，DDOS攻擊並未對其在北美出售大華的相關設備造成任何影響。但Flashpoint認為，大華的設備佔了DDOS攻擊65%的攻擊來源。

目前來看，大華顯然在這一次的事件中吃到了不少苦果，而這毫無疑問是由於多年依賴其並不重視安全的必然後果。可以肯定的是，此次歐盟委員會對物聯網設備的監管或許會讓本就較少的物聯網設備廠商出現更多危機。

另外還有一點就是，目前有律師似乎正在考慮是否發起一次關於物聯網設備廠商的集體訴訟，以投訴這麼多年來這些廠商所營造的不安全環境。

註：本文參考來源於krebsonsecurity，原發布時間為10月10日

推薦閱讀：