資安業者發現IoT殭屍網路大軍來自同一中 - 3C

DVR+網路這兩個關鍵字應該符合電蝦範圍，就轉貼一下這篇新聞吧

http://www.ithome.com.tw/news/108954

資安業者發現IoT殭屍網路大軍來自同一中國業者的韌體

---

資安業者Flashpoint上周分析了癱瘓資安部落格KrebsOnSecurity
與法國網站代管服務供應商OVH網路的Mirai殭屍網路，
發現其中有許多遭到駭客控制的物聯網（IoT）裝置是採用同一中國製造商「雄邁」
（XiongMai）所生產的機板，且內建同樣的憑證。

位於中國杭州的雄邁主要生產與銷售白牌的DVR/NVR監視器及網路攝影機（IP Camera）
機板及韌體予下游廠商，廠商再根據需求打造自有品牌的產品。

Flashpoint發現，雄邁的裝置採用預設的使用者名稱root及固定密碼xc3511，
允許遠端駭客透過Telnet存取，估計網路上有超過50萬台的IoT裝置曝露在此一風險中。

其實在離線裝置中使用預設的憑證並不會有太大問題，
但當具備網路介面及遠端登入服務的物聯網裝置興起之後，
預設憑證便成為重大的安全漏洞，雖然業者已意識到此一問題，
但一直到Mirai殭屍網路帶來接近1Tbps的尖峰攻擊流量之後，才再度讓該議題升溫。

Flashpoint指出，雄邁機板的問題在於密碼是固定的，
且不允許使用者變更SSH與Telnet密碼，
此外，雄邁的NetSurveillance軟體亦含有可繞過認證的安全漏洞，
這些安全上的缺失都讓駭客能夠輕易地建立陣容龐大的殭屍網路。

要真正解決相關安全漏洞必須由雄邁及其下游廠商都展開軟體更新才行，
也必須能遠端更新使用者裝置，對於目前缺乏更新程序的IoT裝置而言是個大工程。

---

不用想了，除了早期CVBS還能看到台廠自己開發的，

後期一堆低價機跟現在主流的AHD，幾乎都是中國那邊的方案，

要是店家直接賣你雄邁的機子，等雄邁放出新韌體，刷一刷就沒事了

最怕的是那些直接套公板，UI隨便改一改丟出來賣的，應該無解。


如同板上其他大大講的，DVR在台灣是一個非常封閉的市場，

雖然做這個很吃工錢，不過資訊非常他媽的不對等，

這種資安問題，到最後一定是放給他爛，因為：

業主會知道機器是不是這種貼牌的？

業主知道了，裝機的店家會懂這個嗎？還是裝死？

店家了解這個問題，DVR的供應商或品牌商有解嗎？


真要是有店家因為這篇新聞講的問題，跑去客戶端更新相關機器的韌體，

那一定是非常非常有良心佛心的，真心不騙。


這年頭一堆半桶水隨便學，會裝機就出來賣，

跑去林森北長安東叫一套「數位的」四路鏡頭+主機+1T+線材電料，絕對不超過9K

半天就裝完的，客報15K含施工，頗好賺的其實，客人夠羊給他報兩萬照樣做，

技術？反正客人都不懂，我只要會裝機，能搞定客人要求的就好了。

台灣大概有87％以上這種的，一堆只會設PPPOE固I，連分享器開PORT都不會的人，

或是裝了數十次「數位的」DVR，連AHD CVI TVI SDI都分不清楚的店家，

你又怎麼能要求他們會為了這點小事去更新韌體？別傻了。



--