便利貼上的密碼，讓健身房變成了"80年代恐怖片現(xiàn)場(chǎng)"

歡迎回到"被黑了"專欄。在這里，我們分享來(lái)自IT從業(yè)者的親身經(jīng)歷——他們自己踩過(guò)坑，或者親眼目睹別人踩坑。本期故事告訴我們：即便是安裝健身器材這樣看似簡(jiǎn)單的工作，也絕對(duì)不能把安全憑證隨意留在外面。

本周的故事主人公，我們姑且稱他為JC，他經(jīng)營(yíng)一家銷售和安裝二手健身器材的公司。他曾與一家酒店簽訂合同，負(fù)責(zé)安裝一批配備視頻屏幕的有氧健身設(shè)備，讓健身的客人可以通過(guò)局域網(wǎng)觀看Netflix。

然而，JC的一名員工在其中一臺(tái)跑步機(jī)上貼了一張便利貼，上面寫著設(shè)備的默認(rèn)管理員PIN碼。結(jié)果，一位酒店住客發(fā)現(xiàn)了這張便利貼，登錄了控制面板，開始播放80年代的音樂(lè)視頻。我們不知道這位"搗蛋旅客"具體點(diǎn)播了哪些歌曲，但不難猜到，Olivia Newton-John的《Physical》很可能排在歌單第一位。

酒店前臺(tái)員工聽到健身房里傳來(lái)奇怪的音樂(lè)聲，一時(shí)以為健身房"鬧鬼"了。后來(lái)才弄清楚，原來(lái)是有人把YouTube開著走人了，根本沒有登錄Netflix。所幸，這位"攻擊者"并未造成實(shí)質(zhì)性損害。但如果換成一個(gè)更有企圖心的人控制了這些設(shè)備，后果就難以預(yù)料了——這些機(jī)器完全可能被用于發(fā)起命令與控制攻擊。

對(duì)此，JC表示他將這次事件視為一次寶貴的教訓(xùn)。現(xiàn)在，他的團(tuán)隊(duì)會(huì)將所有終端設(shè)備隔離在訪客VLAN中，修改默認(rèn)密碼，甚至?xí)媒∩碓O(shè)備上的USB接口。他們?cè)谠O(shè)備老化測(cè)試階段就完成補(bǔ)丁更新，還會(huì)鎖定網(wǎng)絡(luò)面板，防止任何人拔出網(wǎng)線、將自己的設(shè)備接入局域網(wǎng)。

Forrester Research副總裁兼研究總監(jiān)Merritt Maxim表示，他還建議在防火墻層面限制出站訪問(wèn)，確保健身器材只能與Netflix之間收發(fā)數(shù)據(jù)。否則，一旦黑客控制了健身設(shè)備，造成的破壞將遠(yuǎn)不止于此。

上周我們講過(guò)一臺(tái)咖啡機(jī)如何成為企業(yè)網(wǎng)絡(luò)的安全威脅入口。這次的情況與之如出一轍，兩個(gè)故事共同說(shuō)明了一件事：無(wú)論一臺(tái)聯(lián)網(wǎng)設(shè)備看起來(lái)多么"人畜無(wú)害"，做好安全防護(hù)都至關(guān)重要。

如果你也有過(guò)類似"網(wǎng)絡(luò)被開了大口子"的故事，歡迎發(fā)送至 pwned@sitpub.com，我們可以為你保密。

Q&A

Q1：這次健身房安全事件是怎么發(fā)生的？

A：一家酒店的健身器材安裝人員將設(shè)備默認(rèn)管理員PIN碼寫在便利貼上，直接貼在跑步機(jī)上。一位住客發(fā)現(xiàn)后登錄了控制面板，播放起80年代的音樂(lè)視頻。這位住客并未造成實(shí)際損害，但如果是惡意攻擊者，則可能利用這些設(shè)備發(fā)起命令與控制攻擊。

Q2：健身房聯(lián)網(wǎng)設(shè)備被入侵會(huì)有哪些風(fēng)險(xiǎn)？

A：聯(lián)網(wǎng)健身設(shè)備一旦被惡意控制，不只是播放音樂(lè)視頻這么簡(jiǎn)單。攻擊者可以將其用于命令與控制攻擊，滲透到更大范圍的局域網(wǎng)，甚至借此攻擊酒店內(nèi)網(wǎng)中的其他系統(tǒng)。Forrester Research的專家建議在防火墻層面限制這類設(shè)備的出站訪問(wèn)，讓其只能連接特定服務(wù)，從而降低風(fēng)險(xiǎn)。

Q3：安裝健身器材后應(yīng)該采取哪些安全措施？

A：根據(jù)這次事件的經(jīng)驗(yàn)，安裝方事后采取了多項(xiàng)改進(jìn)措施：將所有終端隔離在訪客VLAN中、修改設(shè)備默認(rèn)密碼、禁用USB接口、在老化測(cè)試階段完成補(bǔ)丁更新，并鎖定網(wǎng)絡(luò)面板防止他人隨意插拔網(wǎng)線。安全專家還建議在防火墻層面對(duì)這類設(shè)備的網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制。