总有些美好愿望无法成真,互联网安全无疑是其中之一。但这项愿望难于实现的根本原因在于,消费级套件供应商拒绝予以配合。
这是Metasploit创始人HD Moore与Rapid7公司现任首席研究官在AusCERT 2013安全大会上的陈述后得出的结论。
Moore向与会代表们表示,尽管系统管理员可能确实在系统保护工作中尽到了职责(实际上很多管理员都没有做到,使用默认密码等危险情况时有发生),但风险仍然会借由调制解调器、路由器、手机等设备疯狂肆虐,因为这些嵌入式系统供应商对安全问题往往不加理会。
“在一眨眼间,你就有可能把整个互联网的百分之五掌握在手中,”Moore指出。
Moore并没有具体谈论他的研究方法,而是直接给出了IPv4地址空间的大规模扫描结果,并着眼于TCP与UDP服务以及由此引发的“独特”安全缺陷。
虽然将Telnet向全世界开放确实非常愚蠢,但他认为自己仍然需要把最刺耳的批评留给那些嵌入式系统制造商。这些厂商似乎乐于为世界带来这些存在安全隐患的系统,不仅坚持使用存在已知漏洞的方案,而且拒绝进行问题修复。
毋庸置疑,UPnP仍然是主要安全风险载体。“UPnP三大协议堆栈中有两套都存在漏洞,”Moore表示——他同时指出63%的移动都采用外界可见的UPnP协议。另一位隐患大户是Web服务器,其中存在大量脆弱的嵌入式SNMP系统。
说到SNMP,他谈到世界范围内有7500万套存在漏洞的系统(令人意外的是,澳大利亚最常见的漏洞系统居然是坎贝尔科学土壤数据记录工具)。他同时宣称,在所有互联网上可见的思科设备中有6%允许SNMP读取访问——这导致用户ID与密码很容易泄露出去。
嵌入式/消费级系统市场的供应链过长同样可能引发问题:嵌入式软件可能由一家供应商提供、成为另一家供应商的功能模块、被整合入第三供应商的系统方案并由第四家贴牌出售——然而没有任何一家供应商愿意保护那些甚至只有使用权的终端用户(例如电缆调制解调器)。
“我们将遇上一些非常麻烦的意外事件……并引发强烈的抵触反应”,直到那时问题才有可能得到修复,他总结道。
