*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

某个沉闷的夏日午后,Sam Curry在Verizon Media公司的漏洞众测项目中尝试了快一天,啥也没发现,于是,他决定先放放,做点其它事。哦,对了,朋友生日就要到了,去星巴克官网买个礼物送给她吧。

访问星巴

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

某个沉闷的夏日午后,Sam Curry在Verizon Media公司的漏洞众测项目中尝试了快一天,啥也没发现,于是,他决定先放放,做点其它事。哦,对了,朋友生日就要到了,去星巴克官网买个礼物送给她吧。

访问星巴

Security-2factor-numbers-1131590675.jpg

本文讲的是一些最佳的身份验证应用程序和选项,虽然设置过程可能需要一些时间,但是一旦启用了双因素认证,一切就都安全了。

如果你想确保自己的在线帐户安全,则添加双重身份验证(2FA)是你可以采取的最重要的安全措施。尽管没有任何安全措施可以100%防止黑客入侵,但是2FA在锁定对重要帐户的访问方面将大有帮助。

顾名思义,2FA在登录过程中增加了另一层身份验证。这意味着你除了用户名和密码外,还需要其他证明才能登录你的帐户。

我们之前讨论过2FA,但是之后有了一些有用的更新。本文,我们将详细介绍什么是双因素身份验证,它是如何工作的,以及如何设置它。设置2FA并不需要很长时间,下次有人试图用偷来的登录信息访问你的账户时,2FA机会保护你的账户。

双因素认证是如何工作的

在某种程度上,用电子邮件地址和密码登录账户是没有问题的,但攻击者可以通过一些聪明的社交工程,来使这些详细信息丢失、被盗、被猜中或被窃取。双因素身份验证为拥有你的主要登录凭据的未经授权的访问者增加了另一个访问障碍。

双因素身份验证以及类似的两步身份验证(有时被视为不同的机制,有时则不是),意味着除了密码和电子邮件地址之外,你还需要其他一些信息。在大多数消费者应用程序中最常见的是,它要么是发送到手机的短信代码,要么是由专用的认证应用程序生成的代码。

设置2FA时,系统会要求你证明自己是电话和相关手机号码的所有者,并授予你生成和接收代码的权限。除非黑客能够访问你的手机以及你的电子邮件地址和密码,否则他们将无法登录。2FA代码有时也会通过电子邮件发送,在某些情况下可以用诸如USB钥匙之类的物理对象代替,你需要先进入帐户(Google提供此选项)。

1.jpg

验证码与你的用户名和密码一起使用

对于大多数服务和帐户,你每次打开应用程序或网站时都不需要此额外的代码,这会非常麻烦。相反,当你尝试登录以前从未使用过或长时间未使用的新设备(例如与你的帐户未关联的新手机或笔记本电脑)时,2FA会立即生效过去。认证应用程序是最好的2FA选择之一,因为不可靠的字符没有办法拦截代码,没有物理访问你的手机,(这是短信和电子邮件的风险) 。不过,你可以选择应用程序,最好的支持最流行的服务:Authy几乎是行业中最好的,而Google和Microsoft也提供非常出色的应用程序。一些流行的密码管理应用程序包括身份验证器应用程序,包括Dashlane和LastPass。

我们已经看到越来越多地使用生物特征信息(例如指纹或面部)作为第二个身份验证步骤,随着技术的不断发展,这将使将来的双重身份验证更加安全和便捷。在大多数情况下,添加2FA是一个快速而简单的过程,如果可以选择的话,没有理由不设置它,只是要记住,应该将其作为良好安全性的一部分来使用,而不是单独使用。

如何向你的帐户添加双因素身份验证

现在,许多应用程序和服务都提供2FA,特别是那些存储重要和敏感数据的应用程序和服务:电子邮件,财务信息,文件,社交媒体,联系方式等等。例如,大多数没有2FA选项的帐户(例如Netflix)都不会受到如此高的攻击风险,黑客通常不会对沉迷于看原版Netflix和打乱你的推荐内容感兴趣。

每个服务使用2FA的方式略有不同,但是这个选项应该不难找到。对于Google帐户(包括Gmail、Google Drive, YouTube等),请转到网络上的Google帐户页面,然后单击“安全性”以找到“双因素”选项作为身份验证的第二步,你可以使用身份验证器应用程序,在你的注册电话上显示提示,或将SMS代码发送到你的手机号码。

对于Apple帐户,最好的选择是使用iPhone或Mac打开2FA。在iOS上,从“设置”中,点击你的名字,然后选择“密码和安全性”并打开“双因素身份验证”。在macOS上,你需要从“系统偏好设置”开始,然后选择“Apple ID”,“密码和安全性”,然后选择Apple ID, Password & Security,然后打开双因素认证。验证码可以通过短信发送,并会以你之前在2FA注册的苹果ID出现在其他设备上。

2.jpg

你可以从macOS内部访问Apple ID 2FA设置

微软在其帐户上也具有双因素身份验证保护,如果你在web上打开Microsoft帐户门户内的安全页面,你可以选择更多的安全选项,然后设置两步验证来开始打开它的过程。在登录新设备时,你可以使用电话号码、电子邮件地址或身份验证应用程序来获取辅助代码。

大多数社交媒体应用程序也有2FA来保护你的账户:例如,你可以在网上找到Facebook、Instagram、Twitter、Tumblr、Snapchat甚至LinkedIn的使用说明。这些服务涉及的步骤和认证方法略有不同,但结果是一样的——即使其他人获得了你的用户名和密码,他们也无法登录。

你还会在其他许多地方找到双因素身份验证:文件管理应用程序(例如Dropbox和Box),组织应用程序(例如Evernote和Trello),聊天应用程序(例如Signal和WhatsApp)等等。你也可以使用2FA保护Xbox,PlayStation,Steam和Nintendo Switch上的帐户。如果你喜欢的应用程序不支持双重身份验证,请询问开发人员为什么不这样做。

如果2FA不能保护你的帐户怎么办?

没有绝对的万无一失的方法来确保永远不会未经授权访问你的在线帐户,但是2FA是将风险降低到最低程度的最佳方法之一。请记住,没有什么是完美的,所以请不要放松警惕。

大多数在线服务将有备份访问方法可用,如果你失去你的手机,不能验证2FA请求。这些方法各不相同,但都没有被广泛宣传,原因很明显:如果大型科技公司如何重置账户是众所周知的,那么未经授权的人就更容易绕过它们。

例如,Google提供了你应该写下并保存在安全地方的备用验证码。在让你重新进入帐户之前,Apple会要求你提供各种信息以证明你的身份,这些信息可能是(但不一定是)你最近拥有的iPhone型号以及你当前已订阅的Apple服务(冒名顶替者可能不知道的任何内容)。

3.jpg

Facebook允许你指定一个可以帮助你恢复账号的朋友列表

我们喜欢Facebook采取的账户恢复方法:如果你的账户被锁定,你可以推荐值得信任的朋友来验证你的身份。要让你的三个最亲密的朋友独立地确认你的真实身份,并且需要让你回到自己的帐户中,对你来说非常容易,但对于黑客而言却非常困难。

关键是,你应该熟悉这些不同的访问和帐户恢复模式,在需要的地方设置它们,然后像保护用户名和密码一样保护它们。换句话说,不要把你的谷歌帐户备份代码放在笔记本电脑旁边的便笺上。

即使设置了2FA,你的帐户也不可能很安全:例如,如果你在Microsoft帐户上设置了双重身份验证,但未在用于恢复对你帐户访问权限的备用电子邮件地址上进行设置Microsoft帐户,对于攻击者来说,这是一个潜在的攻击途径。

Security-2factor-numbers-1131590675.jpg

本文讲的是一些最佳的身份验证应用程序和选项,虽然设置过程可能需要一些时间,但是一旦启用了双因素认证,一切就都安全了。

如果你想确保自己的在线帐户安全,则添加双重身份验证(2FA)是你可以采取的最重要的安全措施。尽管没有任何安全措施可以100%防止黑客入侵,但是2FA在锁定对重要帐户的访问方面将大有帮助。

顾名思义,2FA在登录过程中增加了另一层身份验证。这意味着你除了用户名和密码外,还需要其他证明才能登录你的帐户。

我们之前讨论过2FA,但是之后有了一些有用的更新。本文,我们将详细介绍什么是双因素身份验证,它是如何工作的,以及如何设置它。设置2FA并不需要很长时间,下次有人试图用偷来的登录信息访问你的账户时,2FA机会保护你的账户。

双因素认证是如何工作的

在某种程度上,用电子邮件地址和密码登录账户是没有问题的,但攻击者可以通过一些聪明的社交工程,来使这些详细信息丢失、被盗、被猜中或被窃取。双因素身份验证为拥有你的主要登录凭据的未经授权的访问者增加了另一个访问障碍。

双因素身份验证以及类似的两步身份验证(有时被视为不同的机制,有时则不是),意味着除了密码和电子邮件地址之外,你还需要其他一些信息。在大多数消费者应用程序中最常见的是,它要么是发送到手机的短信代码,要么是由专用的认证应用程序生成的代码。

设置2FA时,系统会要求你证明自己是电话和相关手机号码的所有者,并授予你生成和接收代码的权限。除非黑客能够访问你的手机以及你的电子邮件地址和密码,否则他们将无法登录。2FA代码有时也会通过电子邮件发送,在某些情况下可以用诸如USB钥匙之类的物理对象代替,你需要先进入帐户(Google提供此选项)。

1.jpg

验证码与你的用户名和密码一起使用

对于大多数服务和帐户,你每次打开应用程序或网站时都不需要此额外的代码,这会非常麻烦。相反,当你尝试登录以前从未使用过或长时间未使用的新设备(例如与你的帐户未关联的新手机或笔记本电脑)时,2FA会立即生效过去。认证应用程序是最好的2FA选择之一,因为不可靠的字符没有办法拦截代码,没有物理访问你的手机,(这是短信和电子邮件的风险) 。不过,你可以选择应用程序,最好的支持最流行的服务:Authy几乎是行业中最好的,而Google和Microsoft也提供非常出色的应用程序。一些流行的密码管理应用程序包括身份验证器应用程序,包括Dashlane和LastPass。

我们已经看到越来越多地使用生物特征信息(例如指纹或面部)作为第二个身份验证步骤,随着技术的不断发展,这将使将来的双重身份验证更加安全和便捷。在大多数情况下,添加2FA是一个快速而简单的过程,如果可以选择的话,没有理由不设置它,只是要记住,应该将其作为良好安全性的一部分来使用,而不是单独使用。

如何向你的帐户添加双因素身份验证

现在,许多应用程序和服务都提供2FA,特别是那些存储重要和敏感数据的应用程序和服务:电子邮件,财务信息,文件,社交媒体,联系方式等等。例如,大多数没有2FA选项的帐户(例如Netflix)都不会受到如此高的攻击风险,黑客通常不会对沉迷于看原版Netflix和打乱你的推荐内容感兴趣。

每个服务使用2FA的方式略有不同,但是这个选项应该不难找到。对于Google帐户(包括Gmail、Google Drive, YouTube等),请转到网络上的Google帐户页面,然后单击“安全性”以找到“双因素”选项作为身份验证的第二步,你可以使用身份验证器应用程序,在你的注册电话上显示提示,或将SMS代码发送到你的手机号码。

对于Apple帐户,最好的选择是使用iPhone或Mac打开2FA。在iOS上,从“设置”中,点击你的名字,然后选择“密码和安全性”并打开“双因素身份验证”。在macOS上,你需要从“系统偏好设置”开始,然后选择“Apple ID”,“密码和安全性”,然后选择Apple ID, Password & Security,然后打开双因素认证。验证码可以通过短信发送,并会以你之前在2FA注册的苹果ID出现在其他设备上。

2.jpg

你可以从macOS内部访问Apple ID 2FA设置

微软在其帐户上也具有双因素身份验证保护,如果你在web上打开Microsoft帐户门户内的安全页面,你可以选择更多的安全选项,然后设置两步验证来开始打开它的过程。在登录新设备时,你可以使用电话号码、电子邮件地址或身份验证应用程序来获取辅助代码。

大多数社交媒体应用程序也有2FA来保护你的账户:例如,你可以在网上找到Facebook、Instagram、Twitter、Tumblr、Snapchat甚至LinkedIn的使用说明。这些服务涉及的步骤和认证方法略有不同,但结果是一样的——即使其他人获得了你的用户名和密码,他们也无法登录。

你还会在其他许多地方找到双因素身份验证:文件管理应用程序(例如Dropbox和Box),组织应用程序(例如Evernote和Trello),聊天应用程序(例如Signal和WhatsApp)等等。你也可以使用2FA保护Xbox,PlayStation,Steam和Nintendo Switch上的帐户。如果你喜欢的应用程序不支持双重身份验证,请询问开发人员为什么不这样做。

如果2FA不能保护你的帐户怎么办?

没有绝对的万无一失的方法来确保永远不会未经授权访问你的在线帐户,但是2FA是将风险降低到最低程度的最佳方法之一。请记住,没有什么是完美的,所以请不要放松警惕。

大多数在线服务将有备份访问方法可用,如果你失去你的手机,不能验证2FA请求。这些方法各不相同,但都没有被广泛宣传,原因很明显:如果大型科技公司如何重置账户是众所周知的,那么未经授权的人就更容易绕过它们。

例如,Google提供了你应该写下并保存在安全地方的备用验证码。在让你重新进入帐户之前,Apple会要求你提供各种信息以证明你的身份,这些信息可能是(但不一定是)你最近拥有的iPhone型号以及你当前已订阅的Apple服务(冒名顶替者可能不知道的任何内容)。

3.jpg

Facebook允许你指定一个可以帮助你恢复账号的朋友列表

我们喜欢Facebook采取的账户恢复方法:如果你的账户被锁定,你可以推荐值得信任的朋友来验证你的身份。要让你的三个最亲密的朋友独立地确认你的真实身份,并且需要让你回到自己的帐户中,对你来说非常容易,但对于黑客而言却非常困难。

关键是,你应该熟悉这些不同的访问和帐户恢复模式,在需要的地方设置它们,然后像保护用户名和密码一样保护它们。换句话说,不要把你的谷歌帐户备份代码放在笔记本电脑旁边的便笺上。

即使设置了2FA,你的帐户也不可能很安全:例如,如果你在Microsoft帐户上设置了双重身份验证,但未在用于恢复对你帐户访问权限的备用电子邮件地址上进行设置Microsoft帐户,对于攻击者来说,这是一个潜在的攻击途径。

Image_1_400x300.jpeg

默认配置可能会存在大量安全漏洞。为了您的网络安全,以下是6个需要慎重检查的产品和服务。

当提及连接至企业网络的设备时,“开箱即用”看起来就像一个诱人的承诺,但殊不知,其同时也是危险所在。试想一下,设备能够在无需人工干预的情况下处理所有网络协议和握手,这看似非常方便高效,但是,当人们沉浸在“开箱即用”带来的便利中无法自拔,而忘却更改一些众所周知的默认设置时,这种便捷性很快就会演变成一个致命的漏洞。

当提及危险的默认设置时,大多数人第一时间就会想到管理员账户名和密码。毫无疑问,如果在初始配置期间未曾更改过这些设备上的默认凭据(几乎每个供应商都会建议您更改默认设置),那么它们很可能会演变成重大的安全漏洞。几年前,臭名昭著的 Mirai 僵尸网络将成千上万的设备拖到了目标Dyn(一家为主要网站提供域名服务的网络公司),通过使 Dyn无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 之所以能够造成如此大规模的损失,很大原因就在于利用了设备默认的简单密码。

但其实,除了管理员账户和密码之外,还存在其他一些配置项目,同样存在严重的安全隐患。

在数不胜数的事件中,我们发现,云服务或应用程序的默认配置同样会使基础架构和数据面临攻击威胁。例如,Docker Hub丢失的19万个帐户的密钥和令牌就是攻击者利用云环境中的密钥和令牌存储的弱安全配置的结果。

在详细介绍安全专业人员应该注意的一些默认配置之前,我们必须毫无保留地说,默认的用户名或密码绝不应该在初始设置会话中继续存在。在一个理想化的世界中,只要配置脚本允许,每个设置服务、应用程序或硬件设备的人员都会更改管理员用户名和密码,因此我可以认为,如果接下来还是出现了默认配置漏洞,就说明该过程中出现了问题。

不过话虽如此,人类-以及人类参与创造的过程总是无法避免错误的存在。为防您的组织中也存在此类人员或流程故障,请在网络扫描中寻找如下6款产品和服务。请记住,如果您能够找到它们,那么充满“求知欲”的技能超群的黑客更是能够轻松地通过Shodan发现它们,进而实施攻击活动。

1. Cisco Configuration Professional

 Image_2.jpeg

Cisco Configuration Professional(Cisco CP)是用于思科接入路由器的GUI型设备管理工具。该工具通过简单易用的GUI向导,简化了路由、防火墙、IPS、VPN、统一通信、广域网和局域网配置,网络管理员和渠道合作伙伴可以用它更加轻松地部署路由器。此外,该产品还提供了一键式路由器锁定以及创新的语音和安全审核功能,可用于检查路由器配置并提出更改建议。同时,它还可以监控路由器的状态,并对广域网和虚拟专用网连接问题进行故障诊断。

Cisco CP提供的设备有默认设置,但是,大多数使用该程序的用户都已经将默认的““ cisco / cisco”用户名和密码更改成了符合其组织策略的名称。如果忽略了这一步骤,那么未来很可能会引发非常严重的问题。因为作为一款功能极其强大的程序,同样能够为攻击者所用来实施恶意攻击活动。

涉及该程序最为危险的场景就是将默认配置留在管理员系统(或具有管理特权的其它系统)上,而没有设置全新的、安全的凭据。

2. 电缆调制解调器(Cable Modem,CM)

 Image_3.jpeg

如今,员工的家庭网络已经成为了企业网络的一部分,只要员工晚上将工作带回家完成,这种情况就是成立的。无论他们是在公司提供的计算机上还是在自己的家庭系统上进行工工作,都是如此。无论具体采取的是哪种方式,企业数据的大门都已经敞开在组织的控制范围之外。

绝大多数员工将从其有线电视提供商处获取Internet服务。但是对其中许多员工来说,电缆调制解调器(CM)会始终以默认管理员凭据的形式存放于壁橱中(或电缆接收器顶部),直至某天不幸被雷击中。

电缆调制解调器(CM)是在混合光纤/同轴电缆(HFC)网络上提供双向IP数据传输的用户端设备。通常来说,电缆调制解调器会使用“admin/admin”甚至“admin/”作为其默认的用户名/密码对。即便是不使用这对用户名/密码,电缆调制解调器也倾向于使用易被猜中或模糊的默认凭据。企业应该敦促员工立即更改其密码,并且网络安全人员也应该准备好帮助他们完成该更改操作。

3. 树莓派(Raspberry Pi)

 Image_4.jpeg

树莓派(Raspberry Pi)是一个信用卡大小的、基于Linux的“卡片电脑”(Single-board Computer,单板机),是为学生计算机编程教育而设计,具备所有PC的基本功能。只需接通电视机和键盘,就能执行如电子表格、文字处理、玩游戏、播放高清视频等著多功能。

Raspberry Pi并不是作为企业计算平台出售的,的确,它也并非是这样的平台。但是,越来越多的机构和企业网络却发现自己成了这种小型单板计算机的宿主,因为许多员工出于各种目的将其引入了企业网络。随着这些设备的引入,安全漏洞也随之而来,其中就包括基于默认密码的重要漏洞。

许多人认为有两件事可以保护Raspberry Pi免受攻击。首先,它的主要操作系统是Linux的变体;其次,其用户往往是知识渊博的爱好者。但不幸的现实是,一旦具有管理员权限的用户保留默认的“pi/raspberry”凭据时,这两种方法都无法提供任何保护能力。

一旦发现向Internet开放的Raspberry Pi,默认的凭据和一个简单的“sudo”就能打开该单板机的root级别,并将其用作入侵网络其他部分的强大枢轴点。对于Raspberry Pi用户来说,简单地添加另一个用于管理工作的帐户是远远不够的;在将系统连接到任何网络之前,必须更改默认凭据。

4. MySQL

 Image_5.jpeg

默认凭据不是仅限于硬件设备才有的问题。软件和应用程序也应该更改默认凭据。其中最严重的一个就是MySQL,因为它完全默认无密码。

MySQL被嵌入式设备和网络设备所使用,是中小型企业Web应用程序的常用后端工具。之所以能够获得广泛应用,主要得益于它自身具备的诸多优势,包括庞大的功能列表以及“免费”的标签。但是,如果在配置过程中没有解决好基本的安全问题,那么其总体部署成本就可能会飙升。

通过简单地Shodan搜索就能够显示您的组织中存在多少个MySQL实例。企业组织应该立即针对每一个MySQL实例进行扫描,以获取并及时更改这些凭据。

5. SNMP Default Community String

 Image_6.jpeg

SNMP(simple network management protocol ,简单网络管理协议)是网络管理程序(NMS)和代理程序(Agent)之间的通信协议。它规定了在网络环境中对设备进行管理的统一标准,包括管理框架、公共语言、安全和访问控制机制。如果SNMP是单向数据路径,那么不良的默认行为可能会帮助攻击者进行侦察,而事实确是如此。对安全团队而言,不幸的是,SNMP的破坏能力远非如此。

在SNMP的前两个版本(共有三个)中,唯一的身份验证尝试是通过称为“社区字符串(community string)”的设备进行的。作为一个简单的文本字符串,社区字符串足以获得对网络设备的读取或读取/写入访问权限。为了让操作变得更加容易,成千上万的设备使用了默认的社区字符串“public”,“private”或“write”,而这些默认字符串都从未更改过。

如果攻击者通过SNMP获得读/写访问权限,他们不仅可以了解路由器、交换机和其他网络设备的精确配置,还可以随意更改这些配置。

尽管SNMP的最新版本提供了更强大的用户名/密码身份验证,但该领域中仍然存在数百万个安装了早期SNMP版本的网络设备。对网络设备及其SNMP社区字符串的调查研究应该作为企业网络准备计划必不可少的一部分。

6. 任何物联网(IoT)设备

 Image_7.jpeg

如果您的网络中包含在今年7月1日前安装的物联网设备,那么我们可以合理地对其进行两个假设。首先,它们具有由供应商设置的用户名和密码,并且该用户名/密码对应该是众所周知的类型;其次,更改用户名和密码介于困难与不可能之间。

当然,这两个假设都有例外,但这是针对绝大多数物联网设备的假设。而且由于第二种假设是出于你对第一假设无能为力,所以外部保护是你唯一的安全选择。

事实上,外部保护大致分三步走:首先,你应该对网络进行调查,以了解您的计算团队中到底存在多少这样(今年7月1日前安装)的物联网设备;然后,你应该尝试找出每个设备的默认凭据,即便我们可能做不了什么,但是了解登录字符串可以帮助安全分析人员了解许多攻击探测的目的。

最后,你应该将设备的合法端口和目标地址列入白名单。注意,许多物联网设备在相当广泛的范围内使用了临时端口分配。尽管如此,了解“真实”流量的特征将帮助您及时注意到旨在针对您的物联网设备的探测和接管尝试。

立法进行时

2018年,美国加州法律新法规定,从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。

可以说,该新法为保证网络安全迈出了一小步,但却无法解决更广泛的安全问题。面对此类问题,还需要供应商、企业、用户、政府等多方面的共同努力。而作为普通用户的我们,能做的就是加强安全意识,尽早更改那些留存已久的默认配置,行动起来吧!

Image_1_400x300.jpeg

默认配置可能会存在大量安全漏洞。为了您的网络安全,以下是6个需要慎重检查的产品和服务。

当提及连接至企业网络的设备时,“开箱即用”看起来就像一个诱人的承诺,但殊不知,其同时也是危险所在。试想一下,设备能够在无需人工干预的情况下处理所有网络协议和握手,这看似非常方便高效,但是,当人们沉浸在“开箱即用”带来的便利中无法自拔,而忘却更改一些众所周知的默认设置时,这种便捷性很快就会演变成一个致命的漏洞。

当提及危险的默认设置时,大多数人第一时间就会想到管理员账户名和密码。毫无疑问,如果在初始配置期间未曾更改过这些设备上的默认凭据(几乎每个供应商都会建议您更改默认设置),那么它们很可能会演变成重大的安全漏洞。几年前,臭名昭著的 Mirai 僵尸网络将成千上万的设备拖到了目标Dyn(一家为主要网站提供域名服务的网络公司),通过使 Dyn无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 之所以能够造成如此大规模的损失,很大原因就在于利用了设备默认的简单密码。

但其实,除了管理员账户和密码之外,还存在其他一些配置项目,同样存在严重的安全隐患。

在数不胜数的事件中,我们发现,云服务或应用程序的默认配置同样会使基础架构和数据面临攻击威胁。例如,Docker Hub丢失的19万个帐户的密钥和令牌就是攻击者利用云环境中的密钥和令牌存储的弱安全配置的结果。

在详细介绍安全专业人员应该注意的一些默认配置之前,我们必须毫无保留地说,默认的用户名或密码绝不应该在初始设置会话中继续存在。在一个理想化的世界中,只要配置脚本允许,每个设置服务、应用程序或硬件设备的人员都会更改管理员用户名和密码,因此我可以认为,如果接下来还是出现了默认配置漏洞,就说明该过程中出现了问题。

不过话虽如此,人类-以及人类参与创造的过程总是无法避免错误的存在。为防您的组织中也存在此类人员或流程故障,请在网络扫描中寻找如下6款产品和服务。请记住,如果您能够找到它们,那么充满“求知欲”的技能超群的黑客更是能够轻松地通过Shodan发现它们,进而实施攻击活动。

1. Cisco Configuration Professional

 Image_2.jpeg

Cisco Configuration Professional(Cisco CP)是用于思科接入路由器的GUI型设备管理工具。该工具通过简单易用的GUI向导,简化了路由、防火墙、IPS、VPN、统一通信、广域网和局域网配置,网络管理员和渠道合作伙伴可以用它更加轻松地部署路由器。此外,该产品还提供了一键式路由器锁定以及创新的语音和安全审核功能,可用于检查路由器配置并提出更改建议。同时,它还可以监控路由器的状态,并对广域网和虚拟专用网连接问题进行故障诊断。

Cisco CP提供的设备有默认设置,但是,大多数使用该程序的用户都已经将默认的““ cisco / cisco”用户名和密码更改成了符合其组织策略的名称。如果忽略了这一步骤,那么未来很可能会引发非常严重的问题。因为作为一款功能极其强大的程序,同样能够为攻击者所用来实施恶意攻击活动。

涉及该程序最为危险的场景就是将默认配置留在管理员系统(或具有管理特权的其它系统)上,而没有设置全新的、安全的凭据。

2. 电缆调制解调器(Cable Modem,CM)

 Image_3.jpeg

如今,员工的家庭网络已经成为了企业网络的一部分,只要员工晚上将工作带回家完成,这种情况就是成立的。无论他们是在公司提供的计算机上还是在自己的家庭系统上进行工工作,都是如此。无论具体采取的是哪种方式,企业数据的大门都已经敞开在组织的控制范围之外。

绝大多数员工将从其有线电视提供商处获取Internet服务。但是对其中许多员工来说,电缆调制解调器(CM)会始终以默认管理员凭据的形式存放于壁橱中(或电缆接收器顶部),直至某天不幸被雷击中。

电缆调制解调器(CM)是在混合光纤/同轴电缆(HFC)网络上提供双向IP数据传输的用户端设备。通常来说,电缆调制解调器会使用“admin/admin”甚至“admin/”作为其默认的用户名/密码对。即便是不使用这对用户名/密码,电缆调制解调器也倾向于使用易被猜中或模糊的默认凭据。企业应该敦促员工立即更改其密码,并且网络安全人员也应该准备好帮助他们完成该更改操作。

3. 树莓派(Raspberry Pi)

 Image_4.jpeg

树莓派(Raspberry Pi)是一个信用卡大小的、基于Linux的“卡片电脑”(Single-board Computer,单板机),是为学生计算机编程教育而设计,具备所有PC的基本功能。只需接通电视机和键盘,就能执行如电子表格、文字处理、玩游戏、播放高清视频等著多功能。

Raspberry Pi并不是作为企业计算平台出售的,的确,它也并非是这样的平台。但是,越来越多的机构和企业网络却发现自己成了这种小型单板计算机的宿主,因为许多员工出于各种目的将其引入了企业网络。随着这些设备的引入,安全漏洞也随之而来,其中就包括基于默认密码的重要漏洞。

许多人认为有两件事可以保护Raspberry Pi免受攻击。首先,它的主要操作系统是Linux的变体;其次,其用户往往是知识渊博的爱好者。但不幸的现实是,一旦具有管理员权限的用户保留默认的“pi/raspberry”凭据时,这两种方法都无法提供任何保护能力。

一旦发现向Internet开放的Raspberry Pi,默认的凭据和一个简单的“sudo”就能打开该单板机的root级别,并将其用作入侵网络其他部分的强大枢轴点。对于Raspberry Pi用户来说,简单地添加另一个用于管理工作的帐户是远远不够的;在将系统连接到任何网络之前,必须更改默认凭据。

4. MySQL

 Image_5.jpeg

默认凭据不是仅限于硬件设备才有的问题。软件和应用程序也应该更改默认凭据。其中最严重的一个就是MySQL,因为它完全默认无密码。

MySQL被嵌入式设备和网络设备所使用,是中小型企业Web应用程序的常用后端工具。之所以能够获得广泛应用,主要得益于它自身具备的诸多优势,包括庞大的功能列表以及“免费”的标签。但是,如果在配置过程中没有解决好基本的安全问题,那么其总体部署成本就可能会飙升。

通过简单地Shodan搜索就能够显示您的组织中存在多少个MySQL实例。企业组织应该立即针对每一个MySQL实例进行扫描,以获取并及时更改这些凭据。

5. SNMP Default Community String

 Image_6.jpeg

SNMP(simple network management protocol ,简单网络管理协议)是网络管理程序(NMS)和代理程序(Agent)之间的通信协议。它规定了在网络环境中对设备进行管理的统一标准,包括管理框架、公共语言、安全和访问控制机制。如果SNMP是单向数据路径,那么不良的默认行为可能会帮助攻击者进行侦察,而事实确是如此。对安全团队而言,不幸的是,SNMP的破坏能力远非如此。

在SNMP的前两个版本(共有三个)中,唯一的身份验证尝试是通过称为“社区字符串(community string)”的设备进行的。作为一个简单的文本字符串,社区字符串足以获得对网络设备的读取或读取/写入访问权限。为了让操作变得更加容易,成千上万的设备使用了默认的社区字符串“public”,“private”或“write”,而这些默认字符串都从未更改过。

如果攻击者通过SNMP获得读/写访问权限,他们不仅可以了解路由器、交换机和其他网络设备的精确配置,还可以随意更改这些配置。

尽管SNMP的最新版本提供了更强大的用户名/密码身份验证,但该领域中仍然存在数百万个安装了早期SNMP版本的网络设备。对网络设备及其SNMP社区字符串的调查研究应该作为企业网络准备计划必不可少的一部分。

6. 任何物联网(IoT)设备

 Image_7.jpeg

如果您的网络中包含在今年7月1日前安装的物联网设备,那么我们可以合理地对其进行两个假设。首先,它们具有由供应商设置的用户名和密码,并且该用户名/密码对应该是众所周知的类型;其次,更改用户名和密码介于困难与不可能之间。

当然,这两个假设都有例外,但这是针对绝大多数物联网设备的假设。而且由于第二种假设是出于你对第一假设无能为力,所以外部保护是你唯一的安全选择。

事实上,外部保护大致分三步走:首先,你应该对网络进行调查,以了解您的计算团队中到底存在多少这样(今年7月1日前安装)的物联网设备;然后,你应该尝试找出每个设备的默认凭据,即便我们可能做不了什么,但是了解登录字符串可以帮助安全分析人员了解许多攻击探测的目的。

最后,你应该将设备的合法端口和目标地址列入白名单。注意,许多物联网设备在相当广泛的范围内使用了临时端口分配。尽管如此,了解“真实”流量的特征将帮助您及时注意到旨在针对您的物联网设备的探测和接管尝试。

立法进行时

2018年,美国加州法律新法规定,从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。

可以说,该新法为保证网络安全迈出了一小步,但却无法解决更广泛的安全问题。面对此类问题,还需要供应商、企业、用户、政府等多方面的共同努力。而作为普通用户的我们,能做的就是加强安全意识,尽早更改那些留存已久的默认配置,行动起来吧!

2020年是特殊的一年,受疫情的影响,人们的工作和生活方式已悄然发生改变,远程办公、在线教育、在线医疗的激增,各行业都经历着一场“抗压测试”。数字化转型已然是大势所趋,成为这场测试中晋级突围的最佳方案。随着大数据,云计算和5G新技术的引入,企业IT基础设施架构也发生了显著的变化:

- 企业核心应用“云化”,包括企业内部应用云化以及外部应用的互联网

- 业务场景“边缘化”,越来越多的数据处理和计算下沉到边缘节点完成

- 办公场景“多样化”,移动办公、远程办公、总部/分支机构协同办公

这种变化对传统IT基础设施的安全带来了全新的挑战,企业原先的边界正在被打破,传统的硬件安全方案已经无法满足企业数字化转型中的防护要求。

SASE(Secure Access Service Edge),安全访问服务边缘 ,这种架构将更能适应边缘计算、云服务和混合云等IT环境,更快速、更安全、更便捷的帮助企业完成数字化转型。

 ---- Gartner ,2019

因此,在刚收官的云栖大会上,阿里云正式发布“云原生SASE解决方案”, 将核心原生安全能力与网络能力融合,为云上用户提供了一个基于阿里云基础架构的SaaS化安全服务平台。该方案基于云的天生动态扩展能力,支持安全防护能力实时敏捷、弹性伸缩;依托阿里云遍布全国的数据中心和边缘计算节点,实现网络就近接入,降低延时,确保安全效果;更基于阿里云身份认证服务,构建全新零信任访问架构,极大降低内部资产和系统暴露面,打造更安全办公体系。因此,阿里云原生SASE解决方案给用户提供的是一个统一安全管理能力,不仅仅覆盖云上资产和应用的安全,也可以更好的管理企业办公网的安全。

截屏2020-09-27 下午11.03.39.png

基于SASE架构的CSAS安全访问服务

近日,作为阿里云SASE架构的核心产品,云安全访问服务(Cloud Security Access Service,简称CSAS)正式上线公测。该产品支持企业对员工内网应用的使用和互联网访问进行统一平台化安全管理。且阿里云CSAS支持与SD-WAN的深度整合,如此可以帮助阿里云上企业覆盖更多样化场景,比如企业总部和分机构/门店之间的安全管理,还有移动办公以及远程办公的安全等。

CSAS安全访问服务,基于阿里云原生优势,呈现高可用、全覆盖、低延时、“0”触感四大特质,并支持四大核心数字化场景:

场景1:

总部/分支机构、门店办公安全

低成本,高效率、统一平台化管

今年3月,盒马宣布将在全国范围内新开出100家盒马鲜生大店。相关媒体也提到,城市化发展需要门店这种区域化、分散化经营模式,这将成为一种新的趋势。与此同时遍布全国范围内的金融机构,也同样存在这种总部和大量分支机构协同的状态,如此对于安全管理提出了更高的要求,如何最大化的提升安全效果,如何对分支机构进行统一化安全管理,成为重点关注问题。

通过将安全能力下沉至云边缘节点,企业的分支机构/门店可以通过CSAS就近选择安全防护节点接入。CSAS以SaaS化服务平台形式,支持即开即用,即企业无需额外购置复杂的安全设备,只需简单的网络配置,即可实现总部对分支机构/门店的安全管控。举例:当某门店发生相关安全威胁时,总部可以实时感知并对分支进行应急响应和阻断。当总部提升安全防护能力时,门店也享受同等的安全防护能力,大大降低了运维和管理成本。

场景2:

远程/移动办公、在家SOHO 

无感安全接入

通过与网络能力的深度打通,依托阿里云分布全国的安全边缘节点,CSAS安全访问服务通过轻量级安全代理模式,让远程/移动办公终端可以智能适配就近网络,安全接入,这样的优势在于即便是在异地办公,在家SOHO,或是在出差的路途中访问互联网,或者企业内网等都更顺畅的接入,且整体安全性也得到了保障。无论员工在何处,都享有同等的安全策略,当有风险发生时,企业可以通过管理平台快速响应。这样,企业IT人员可以减少部署、维护等相关的成本投入。

场景3:

SD-WAN安全 无缝融合

SASE是一种网络架构,可将软件定义广域网(SD-WAN)和安全性集成到云计算服务中,从而保证简化的WAN部署、提高效率和安全性,并为每个应用程序提供适当的带宽,也就是说,无论最终用户需要什么资源,以及自身和资源位于何处,都具有相同的访问体验和安全防护能力。基于阿里云原生优势,CSAS与阿里云SD-WAN可以深度打通,实现与SD-WAN组网终端SAG设备、SAG-APP进行一体化交付部署,用户只需升级现有SAG软件版本,无需二次部署, 通过安全设备或安全客户端即可启用安全防护能力。

场景4:

办公行为审计 安全合规

CASA云安全访问服务还支持对企业员工上网、内部业务访问日志进行实时审计 ,企业可以通过平台对企业员工的操作日志进行统一化管理,同时支持审计日志留存6个月,满足网络安全法及等保合规要求。
阿里云CSAS云安全访问服务已开始公测
https://www.aliyun.com/product/security/csas

2020年是特殊的一年,受疫情的影响,人们的工作和生活方式已悄然发生改变,远程办公、在线教育、在线医疗的激增,各行业都经历着一场“抗压测试”。数字化转型已然是大势所趋,成为这场测试中晋级突围的最佳方案。随着大数据,云计算和5G新技术的引入,企业IT基础设施架构也发生了显著的变化:

- 企业核心应用“云化”,包括企业内部应用云化以及外部应用的互联网

- 业务场景“边缘化”,越来越多的数据处理和计算下沉到边缘节点完成

- 办公场景“多样化”,移动办公、远程办公、总部/分支机构协同办公

这种变化对传统IT基础设施的安全带来了全新的挑战,企业原先的边界正在被打破,传统的硬件安全方案已经无法满足企业数字化转型中的防护要求。

SASE(Secure Access Service Edge),安全访问服务边缘 ,这种架构将更能适应边缘计算、云服务和混合云等IT环境,更快速、更安全、更便捷的帮助企业完成数字化转型。

 ---- Gartner ,2019

因此,在刚收官的云栖大会上,阿里云正式发布“云原生SASE解决方案”, 将核心原生安全能力与网络能力融合,为云上用户提供了一个基于阿里云基础架构的SaaS化安全服务平台。该方案基于云的天生动态扩展能力,支持安全防护能力实时敏捷、弹性伸缩;依托阿里云遍布全国的数据中心和边缘计算节点,实现网络就近接入,降低延时,确保安全效果;更基于阿里云身份认证服务,构建全新零信任访问架构,极大降低内部资产和系统暴露面,打造更安全办公体系。因此,阿里云原生SASE解决方案给用户提供的是一个统一安全管理能力,不仅仅覆盖云上资产和应用的安全,也可以更好的管理企业办公网的安全。

截屏2020-09-27 下午11.03.39.png

基于SASE架构的CSAS安全访问服务

近日,作为阿里云SASE架构的核心产品,云安全访问服务(Cloud Security Access Service,简称CSAS)正式上线公测。该产品支持企业对员工内网应用的使用和互联网访问进行统一平台化安全管理。且阿里云CSAS支持与SD-WAN的深度整合,如此可以帮助阿里云上企业覆盖更多样化场景,比如企业总部和分机构/门店之间的安全管理,还有移动办公以及远程办公的安全等。

CSAS安全访问服务,基于阿里云原生优势,呈现高可用、全覆盖、低延时、“0”触感四大特质,并支持四大核心数字化场景:

场景1:

总部/分支机构、门店办公安全

低成本,高效率、统一平台化管

今年3月,盒马宣布将在全国范围内新开出100家盒马鲜生大店。相关媒体也提到,城市化发展需要门店这种区域化、分散化经营模式,这将成为一种新的趋势。与此同时遍布全国范围内的金融机构,也同样存在这种总部和大量分支机构协同的状态,如此对于安全管理提出了更高的要求,如何最大化的提升安全效果,如何对分支机构进行统一化安全管理,成为重点关注问题。

通过将安全能力下沉至云边缘节点,企业的分支机构/门店可以通过CSAS就近选择安全防护节点接入。CSAS以SaaS化服务平台形式,支持即开即用,即企业无需额外购置复杂的安全设备,只需简单的网络配置,即可实现总部对分支机构/门店的安全管控。举例:当某门店发生相关安全威胁时,总部可以实时感知并对分支进行应急响应和阻断。当总部提升安全防护能力时,门店也享受同等的安全防护能力,大大降低了运维和管理成本。

场景2:

远程/移动办公、在家SOHO 

无感安全接入

通过与网络能力的深度打通,依托阿里云分布全国的安全边缘节点,CSAS安全访问服务通过轻量级安全代理模式,让远程/移动办公终端可以智能适配就近网络,安全接入,这样的优势在于即便是在异地办公,在家SOHO,或是在出差的路途中访问互联网,或者企业内网等都更顺畅的接入,且整体安全性也得到了保障。无论员工在何处,都享有同等的安全策略,当有风险发生时,企业可以通过管理平台快速响应。这样,企业IT人员可以减少部署、维护等相关的成本投入。

场景3:

SD-WAN安全 无缝融合

SASE是一种网络架构,可将软件定义广域网(SD-WAN)和安全性集成到云计算服务中,从而保证简化的WAN部署、提高效率和安全性,并为每个应用程序提供适当的带宽,也就是说,无论最终用户需要什么资源,以及自身和资源位于何处,都具有相同的访问体验和安全防护能力。基于阿里云原生优势,CSAS与阿里云SD-WAN可以深度打通,实现与SD-WAN组网终端SAG设备、SAG-APP进行一体化交付部署,用户只需升级现有SAG软件版本,无需二次部署, 通过安全设备或安全客户端即可启用安全防护能力。

场景4:

办公行为审计 安全合规

CASA云安全访问服务还支持对企业员工上网、内部业务访问日志进行实时审计 ,企业可以通过平台对企业员工的操作日志进行统一化管理,同时支持审计日志留存6个月,满足网络安全法及等保合规要求。
阿里云CSAS云安全访问服务已开始公测
https://www.aliyun.com/product/security/csas

当前环境下,企业数字化进程不断加速发展,带来机遇的同时,也伴随着新的风险与挑战。过去几年中,多起重大金融安全事件造成的影响历历在目,轻则影响业务发展,造成经济损失;重则违反国家法律,损毁品牌形象。

因此,越来越多的企业把金融安全建设,从“可选项”或“加分项”变成了“必选项”,安全已成为企业的核心竞争力之一。企业上下同心,从顶层制度设计到具体落地实施,都需要

当前环境下,企业数字化进程不断加速发展,带来机遇的同时,也伴随着新的风险与挑战。过去几年中,多起重大金融安全事件造成的影响历历在目,轻则影响业务发展,造成经济损失;重则违反国家法律,损毁品牌形象。

因此,越来越多的企业把金融安全建设,从“可选项”或“加分项”变成了“必选项”,安全已成为企业的核心竞争力之一。企业上下同心,从顶层制度设计到具体落地实施,都需要