Yesterday’s Internet Takedown Was Powered by Chinese-made Webcams and DVRs

http://www.facebook.com/FortuneMagazine/posts/10154336262662949

美国大规模断网调查：病毒感染中国产监控设备

2016-10-23 12:29:07　来源: TECH2IPO创见(北京)

你能想象吗，让美国人民经历噩梦般周五的大规模断网事件，居然是国产的网络摄像头导致的……

断网事件过程

黑客在本周五（10月21 日）通过互联网控制了美国大量的网络摄像头和相关的 DVR 录像机，然后操纵这些「肉鸡」攻击了美国的多个知名网站，包括 Twitter、Paypal、Spotify 在内多个人们每天都用的网站被迫中断服务。

据了解，黑客们使用了一种被称作「物联网破坏者」的 Mirai 病毒来进行肉鸡搜索。更为致命的是，Mirai 病毒的源代码在 9 月的时候被开发者公布，致使大量黑客对这个病毒进行了升级，传染性、危害性比前代更高。Mirai 病毒是一种通过互联网搜索物联网设备的一种病毒，当它扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认密码进行登陆（一般为 admin/admin，Mirai 病毒自带 60 个通用密码），一旦登陆成功，这台物联网设备就进入「肉鸡」名单，开始被黑客操控攻击其他网络设备。

因为传播范围广，给美国的互联网带去了严重的影响，超过半数人周五无法上网，美国国土安全部和联邦调查局都已经表示开始进行调查。

断网原因调查

根据国外网站 KerbsonSecurity 的调查，导致大规模断网事件的原因绝非我们想象的那么简单，其背后暴露出物联网设备的重大安全隐患。

据报道，一共有超过百万台物联网设备参与了此次 DDoS 攻击。其中，这些设备中有大量的 DVR（数字录像机，一般用来记录监控录像，用户可联网查看）和网络摄像头（通过 Wifi 来联网，用户可以使用 App 进行实时查看的摄像头）。而据安全公司的数据显示，参与本次 DDoS 攻击的设备中，主要来自于中国雄迈科技生产的设备。这家公司生产的摄像模组被许多网络摄像头、DVR 解决方案厂家采用，在美国大量销售。

Flashpoint 安全公司的专家说，「如果说用户可以轻松改密码就好了，但是模组中的密码被写入到了固件中，还没有工具可以修改这个模组的密码。更可怕的是，用户根本不知道还有这么一个密码的存在。」跟雄迈科技相似的公司还有很多，他们也开发摄像模组，也研发 DVR 解决方案。

于是乎，在黑客套上通用的帐户名和密码之后，轻松地控制了这超过 100 万台设备，也导致了此次大规模 DDoS 攻击事件。

解决方案

据悉，目前还没有比较好的解决方案来解决这个问题。KerbsonSecurity 调查后表示，雄迈和其他公司生产的模组是无法修复的，这些肉鸡只有被断网后才会停止攻击。同时还建议厂家在全球范围内召回这类安全性极差的产品，并对本次事件负责。

由此可见，在接下来的一段时间里，可以修改默认密码，安全性更高的物联网设备将成为厂家、零售商和消费者的选择。

安全专家：美国网络大瘫痪与中国产品有关

2016-10-23 10:03 AM

专家们警告多年的情形终于发生。10月21日，一场大规模的网络攻击让包括推特（Twitter）在内部的美国数十个知名网站陷入瘫痪。安全研究人员们表示，他们已经查明该攻击事件背后至少有一个罪魁祸首，就是被劫持的大规模物联网（IoT）装置，而大多数这些装置都与一家中国公司的产品有关。 网络安全公司Flashpoint的安全研究主任尼克森（Allison Nixon）说，非常不寻常的是，绝大多数与攻击事件有关的电子装置零部件都出产于一家公司——中国杭州的雄迈信息技术公司。“一整个公司的产品线都被变成一个僵尸网（botnet）来攻击美国，这真是不同寻常。”尼克森说。

这些零部件用于多个其它品牌的各种装置中，都有着硬编码的出厂默认密码，即使可以，一般用户也很难重新设置这些密码，这就使得骇客们大规模劫持这些装置变得很简单。

用来控制这些装置的软件是一个名为Mirai（日本语“未来”）的恶意软件，它控制着数百万个物联网装置，包括数字摄相机，数字录影机等，使其成为一个僵尸网，对使用Dyn公司域名服务器（DNS）的众多网站，包括Twitter、Paypal、Amazon、Tumblr、Reddit、Spotify和Netflix等同时发难，使这些网站瘫痪长达11小时。尼克森说不排除有多个僵尸网被卷入攻击的可能性。

Dyn Inc.是一家提供域名服务器的供应商，位于新罕布什尔州曼彻斯特市。

Mirai软件的源码本月初由其匿名制作者对外公开，这意味着大量的恶意骇客都可能是这次网络攻击的责任人。

网络安全研究人员希奈尔（Bruce Schneier）说，这次攻击很可能与本月初报导的系列有组织协调的阻断服务攻击无关，但是与“克雷布斯论安全”（Krebs on Security）网站上的一个“记录设置攻击”（record-setting assault）相关联，该攻击已被证实是由一个Mirai僵尸网所引起的。

这次攻击正是网络安全专家们一再警告的有关物联网对网络安全所具风险的“最坏情形”的真实表现，而且几乎没有办法防止这种攻击重复出现。

雄迈的许多这些产品以及其它廉价、大规模生产的物联网装置基本上都是不可修正的，都会对网络安全带来危险，除非将这些装置完全从互联网上拔掉。