背景介紹

這些年，物聯(lián)網(wǎng)的快速發(fā)展，也令連網(wǎng)設(shè)備的數(shù)量與日俱增。然而，有網(wǎng)絡(luò)的地方就會(huì)有安全問(wèn)題，根據(jù)安全研究員曝光的數(shù)據(jù)顯示，物聯(lián)網(wǎng)領(lǐng)域存在著諸多漏洞，從無(wú)線智能玩偶到重達(dá)數(shù)噸的汽車(chē)，無(wú)一幸免。好的方面是，這也令越來(lái)越多的公司關(guān)注并重視物聯(lián)網(wǎng)的安全問(wèn)題。

如今，越來(lái)越多的員工都已經(jīng)在家中部署了各種各樣的物聯(lián)網(wǎng)設(shè)備，甚至還會(huì)將這些設(shè)備連接企業(yè)網(wǎng)絡(luò)進(jìn)行辦公，如此一來(lái)，勢(shì)必會(huì)引爆更大的安全危機(jī)。與此同時(shí)，工業(yè)物聯(lián)網(wǎng)也正面臨同樣的安全問(wèn)題，員工所擁有并使用的物聯(lián)網(wǎng)系統(tǒng)已經(jīng)成為影響工業(yè)物聯(lián)網(wǎng)安全的第二個(gè)主要威脅面。

根據(jù)Gartner最新發(fā)布的報(bào)告指出，近20%的企業(yè)機(jī)構(gòu)在過(guò)去三年內(nèi)至少觀察到一次基于物聯(lián)網(wǎng)的攻擊。為了應(yīng)對(duì)這些威脅，Gartner預(yù)測(cè)全球物聯(lián)網(wǎng)安全支出將在2018年達(dá)到15億美元，相比2017年的12億美元增加了28%。

針對(duì)物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題，需要提高黑客攻擊物聯(lián)網(wǎng)設(shè)備的成本，降低物聯(lián)網(wǎng)設(shè)備的安全風(fēng)險(xiǎn)。我們將從7個(gè)攻擊面對(duì)設(shè)備進(jìn)行安全評(píng)估分析，并給出應(yīng)對(duì)措施。大家可以根據(jù)表單核查自身安全狀況，有則改之無(wú)則加勉。

綜合來(lái)說(shuō)，下述總結(jié)的一些威脅會(huì)攻擊物聯(lián)網(wǎng)設(shè)備的獨(dú)特屬性，其他一些攻擊會(huì)瞄準(zhǔn)圍繞這些設(shè)備的應(yīng)用程序生態(tài)系統(tǒng)，還有一些威脅則是由于用戶缺乏經(jīng)驗(yàn)或系統(tǒng)限制而導(dǎo)致的配置錯(cuò)誤等造成的結(jié)果。不過(guò)，無(wú)論在任何情況下，這些威脅都可能會(huì)導(dǎo)致隱私數(shù)據(jù)泄露，甚至失去設(shè)備控制權(quán)。

7大物聯(lián)網(wǎng)安全威脅

1. 糟糕的Web用戶界面

配置良好的Web用戶界面是吸引用戶的重要因素之一。對(duì)于物聯(lián)網(wǎng)應(yīng)用程序而言，良好的Web用戶界面可以幫助用戶實(shí)現(xiàn)各項(xiàng)控制功能，設(shè)置設(shè)備，以及更快、更輕松地將設(shè)備集成到系統(tǒng)中。但是麻煩的是，這些Web用戶界面經(jīng)常也會(huì)為網(wǎng)絡(luò)犯罪分子提供同樣的易用性。

大多數(shù)情況下，令人煩惱的物聯(lián)網(wǎng)Web界面問(wèn)題與Web應(yīng)用程序的問(wèn)題同樣困擾著企業(yè)。雖然SQL注入在物聯(lián)網(wǎng)應(yīng)用程序中并不是什么大問(wèn)題，但命令注入、跨站點(diǎn)腳本以及跨站點(diǎn)請(qǐng)求偽造都是編程錯(cuò)誤，能夠?qū)е路缸锓肿与S時(shí)訪問(wèn)設(shè)備和完整的系統(tǒng)，以控制、監(jiān)視和訪問(wèn)真實(shí)世界的運(yùn)營(yíng)操作。

幸運(yùn)的是，大多數(shù)Web用戶界面安全問(wèn)題的補(bǔ)救措施與多年來(lái)向Web開(kāi)發(fā)人員反復(fù)灌輸?shù)膬?nèi)容相同，包括：驗(yàn)證輸入、要求強(qiáng)密碼（并且不允許在第一階段的初始設(shè)置后使用默認(rèn)密碼）、不公開(kāi)憑據(jù)、限制密碼重試嘗試，以及確保密碼和用戶名恢復(fù)程序的可靠性等。正如Sam在《卡薩布蘭卡（Casablanca）》中所吟唱的那般，“……隨著時(shí)光流逝，還是那一套”。

威脅案例：在2014年的44Con大會(huì)上，研究人員Mike Jordan就演示了如何利用佳能的Pixma打印機(jī)的Web界面修改打印機(jī)的固件從而運(yùn)行Doom游戲。

2. 缺乏身份驗(yàn)證

為物聯(lián)網(wǎng)應(yīng)用程序驗(yàn)證用戶身份是一件好事。當(dāng)應(yīng)用程序可以控制建筑物訪問(wèn)和進(jìn)行環(huán)境控制，或者為可能監(jiān)視建筑物使用者的音頻和視頻設(shè)備提供訪問(wèn)權(quán)限時(shí)，身份驗(yàn)證似乎是“必備因素”，但在某些情況下，即使是最基本的身份驗(yàn)證也在實(shí)施中被遺漏了。

對(duì)于物聯(lián)網(wǎng)應(yīng)用程序來(lái)說(shuō)，兩種身份驗(yàn)證非常重要。首先是用戶身份驗(yàn)證。考慮到許多物聯(lián)網(wǎng)環(huán)境的復(fù)雜性，問(wèn)題是每個(gè)設(shè)備是否需要身份驗(yàn)證，或者單個(gè)系統(tǒng)身份驗(yàn)證是否足以支持網(wǎng)絡(luò)上的每個(gè)設(shè)備。易用性的考慮使大多數(shù)系統(tǒng)設(shè)計(jì)人員選擇后者，所以對(duì)接入設(shè)備或控制中心的強(qiáng)身份驗(yàn)證顯得至關(guān)重要。

系統(tǒng)的單點(diǎn)登錄也使得另一種類型的認(rèn)證——設(shè)備認(rèn)證——變得更為重要。由于用戶沒(méi)有在每個(gè)設(shè)備接口上進(jìn)行身份驗(yàn)證，因此物聯(lián)網(wǎng)網(wǎng)絡(luò)中的設(shè)備應(yīng)該要求它們之間進(jìn)行身份驗(yàn)證，以便攻擊者無(wú)法使用隱含的信任作為進(jìn)入系統(tǒng)的憑證。

與Web界面安全性一樣，關(guān)閉這個(gè)安全漏洞的前提是將物聯(lián)網(wǎng)視為一個(gè)“真正的”應(yīng)用程序網(wǎng)絡(luò)。由于許多設(shè)備沒(méi)有本機(jī)用戶界面——這取決于瀏覽器UI或用于人機(jī)交互的應(yīng)用程序——因此會(huì)出現(xiàn)“如何實(shí)現(xiàn)”的特殊問(wèn)題，但任何設(shè)備缺乏身份驗(yàn)證，使得物聯(lián)網(wǎng)周邊的安全性變得更加脆弱。

威脅案例：2018年5月，英國(guó)PenTestPartners的安全研究人員發(fā)現(xiàn)，由于Z-Wave協(xié)議安全類的nodeinfo命令完全未加密且未經(jīng)過(guò)身份驗(yàn)證，最終導(dǎo)致超過(guò)1億個(gè)物聯(lián)網(wǎng)設(shè)備容易受到黑客降級(jí)攻擊，允許攻擊者在未設(shè)置安全性的情況下截獲或廣播欺騙節(jié)點(diǎn)命令類。

3. 使用默認(rèn)配置

你知道IoT設(shè)備自帶的默認(rèn)用戶名和密碼嗎？這是每個(gè)人都可以通過(guò)谷歌搜索得到解答的問(wèn)題。所以，對(duì)于那些不允許改變默認(rèn)設(shè)置的設(shè)備和系統(tǒng)來(lái)說(shuō)，這將會(huì)是一個(gè)真正的問(wèn)題。

默認(rèn)用戶憑證（比如說(shuō)常用的用戶名“admin”）是物聯(lián)網(wǎng)安全設(shè)置問(wèn)題上的一個(gè)巨大威脅信號(hào)，但這并不是唯一重要的設(shè)置，包括使用的端口、設(shè)置具有管理員權(quán)限的用戶、記錄（或不記錄）日志和事件通知，這些網(wǎng)絡(luò)參數(shù)都是應(yīng)該關(guān)注的“以安全為中心”的設(shè)置，應(yīng)該通過(guò)這些安全設(shè)置來(lái)滿足各種部署需求。

除了允許將安全設(shè)置與環(huán)境現(xiàn)有的安全基礎(chǔ)設(shè)施更完全地結(jié)合起來(lái)之外，對(duì)默認(rèn)設(shè)置的修改還能夠減少I(mǎi)oT的攻擊面，并增加入侵者侵入系統(tǒng)的難度。但是，與本文中描述的許多其他安全問(wèn)題一樣，這一點(diǎn)不是用戶能輕易改變的。但是，無(wú)法更改的默認(rèn)值確實(shí)為安全基礎(chǔ)架構(gòu)的額外審查提供了另一個(gè)點(diǎn)，這些安全基礎(chǔ)架構(gòu)將覆蓋在IoT部署上。

威脅案例：2014年，Proofpoint的研究人員首次發(fā)現(xiàn)了涉及電視、冰箱等傳統(tǒng)家電在內(nèi)的大規(guī)模網(wǎng)絡(luò)攻擊，這也是首次出現(xiàn)針對(duì)家電產(chǎn)品的“僵尸網(wǎng)絡(luò)”，并且也是物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的首例。據(jù)悉，黑客每天侵入超過(guò)10萬(wàn)臺(tái)消費(fèi)設(shè)備，包括家用路由器、多功能媒體中心、電視機(jī)以及冰箱，并將此作為僵尸網(wǎng)絡(luò)的一部分。之所以能夠輕松地入侵如此大規(guī)模的家用電器，正是因?yàn)榇蟛糠钟脩魶](méi)有正確設(shè)置安全密碼，或者一直在使用設(shè)備默認(rèn)密碼。

4. 固件更新問(wèn)題

固件正像細(xì)菌和豌豆一樣正在不斷發(fā)展演變。開(kāi)發(fā)人員會(huì)注意到哪里出了問(wèn)題，哪里有漏洞，以及如何才能做得更好，并發(fā)布比最初版本更好的新固件。許多物聯(lián)網(wǎng)設(shè)備的問(wèn)題是無(wú)法升級(jí)固件。這使得固件成為一個(gè)嚴(yán)重的安全威脅。

不斷發(fā)展演變的固件的優(yōu)點(diǎn)之一是：更新使系統(tǒng)成為一個(gè)移動(dòng)目標(biāo)。當(dāng)設(shè)備上的固件是固定的、不可移動(dòng)的，攻擊者就有機(jī)會(huì)在空閑時(shí)間對(duì)其進(jìn)行剖析，在他們自己的空閑時(shí)間開(kāi)發(fā)漏洞，并對(duì)這些漏洞充滿信心地發(fā)起攻擊。今年5月爆發(fā)的VPNFilter攻擊就是這樣的一個(gè)例子，說(shuō)明了當(dāng)這些設(shè)備的固件無(wú)法進(jìn)行更新時(shí)，可能會(huì)發(fā)生的攻擊，或者即使有更新的固件，用戶也不愿使用或根本無(wú)法更新。

顯然，如果設(shè)備可以更新，那么根據(jù)最佳安全實(shí)踐，設(shè)備應(yīng)該保持最新的版本和補(bǔ)丁。如果無(wú)法更新設(shè)備，那么應(yīng)該重點(diǎn)關(guān)注已知的漏洞，并采取其他安全措施確保這些漏洞在外圍的安全環(huán)境中被有效地阻止。

威脅案例：2017年9月，一位黑客通過(guò)分析ofo共享單車(chē)的固件，發(fā)掘了4種攻擊方法，并控制了共享單車(chē)；2017年10月，LIFX智能燈泡也被成功入侵，因?yàn)槠涔碳行孤读嗣荑€相關(guān)的信息；ReCon BRX 2018會(huì)議上，來(lái)自美國(guó)東北大學(xué)的兩位研究員逆向了小米物聯(lián)網(wǎng)設(shè)備的內(nèi)部固件，發(fā)現(xiàn)了整個(gè)小米生態(tài)存在的漏洞。

5. 云接口問(wèn)題

很少有商業(yè)自動(dòng)化系統(tǒng)能夠在不依賴于云的情況下增強(qiáng)其處理能力和命令知識(shí)庫(kù)。尤其在使用語(yǔ)音處理和命令轉(zhuǎn)換的情況下，系統(tǒng)與云的連接可能成為一個(gè)重大安全威脅。

想一下在一個(gè)物聯(lián)網(wǎng)實(shí)例與其所依賴的云之間來(lái)回傳遞的消息類型。當(dāng)然是簡(jiǎn)單的控制數(shù)據(jù)包，但可能會(huì)被用來(lái)錄制語(yǔ)音和視頻、任務(wù)列表、日歷事件以及DevOps框架和工具的指令。這些敏感數(shù)據(jù)流有沒(méi)有通過(guò)加密的隧道進(jìn)行傳輸？你真的確定嗎？

與物聯(lián)網(wǎng)安全的許多其他方面一樣，真正的問(wèn)題是，在大多數(shù)情況下，用戶對(duì)如何保護(hù)云接口的安全沒(méi)有發(fā)言權(quán)。除此之外，大多數(shù)用戶都不知道云計(jì)算基礎(chǔ)設(shè)施所在的位置，而且可能存在安全責(zé)任劃分和監(jiān)管歸屬的問(wèn)題。所以你應(yīng)該了解物聯(lián)網(wǎng)設(shè)備的功能，他們發(fā)送數(shù)據(jù)的位置，以及如何使用防火墻、入侵防御系統(tǒng)（IPS）和其他安全工具來(lái)彌補(bǔ)云接口的安全漏洞。

6. 薄弱的網(wǎng)絡(luò)安全性

一個(gè)寫(xiě)得很差的物聯(lián)網(wǎng)設(shè)備應(yīng)用程序可以從內(nèi)到外暴露你的網(wǎng)絡(luò)防火墻缺陷，攻擊者可以通過(guò)這些漏洞滲透到你的系統(tǒng)中，并對(duì)物聯(lián)網(wǎng)設(shè)備和通用計(jì)算機(jī)發(fā)起攻擊。允許用戶在家庭網(wǎng)絡(luò)安裝物聯(lián)網(wǎng)設(shè)備，卻不更新防火墻的配置來(lái)增強(qiáng)防護(hù)，導(dǎo)致攻擊者利用防火墻的這一弱點(diǎn)實(shí)施攻擊活動(dòng)。

在許多情況下，防火墻是應(yīng)對(duì)外部攻擊的；也就是說(shuō)，他們專注于試圖進(jìn)入網(wǎng)絡(luò)的外部流量。物聯(lián)網(wǎng)設(shè)備通過(guò)最初從網(wǎng)絡(luò)內(nèi)部調(diào)用其控制服務(wù)器，然后通過(guò)常規(guī)心跳傳輸（heartbeat transmissions）維護(hù)連接來(lái)解決這個(gè)問(wèn)題。建立連接后，攻擊者可以利用未加密和未經(jīng)身份驗(yàn)證的通信流中的漏洞，在打開(kāi)連接時(shí)將惡意通信發(fā)送回網(wǎng)絡(luò)。

有些人可能會(huì)說(shuō)攻擊者必須知道設(shè)備的連接和類型才能利用漏洞，他們是對(duì)的，但那些人可能沒(méi)有聽(tīng)說(shuō)過(guò)Shodan。通過(guò)簡(jiǎn)單的Shodan搜索，就可以在無(wú)需花費(fèi)太多精力和時(shí)間的情況下，找到各種設(shè)備、通信和開(kāi)放端口。一旦找到這些信息，簡(jiǎn)單的腳本就會(huì)自動(dòng)處理問(wèn)題。攻擊者可以輕松的利用互聯(lián)網(wǎng)的搜索功能找到物聯(lián)網(wǎng)系統(tǒng)的脆弱性。

7. MQTT通信協(xié)議問(wèn)題

最后，當(dāng)系統(tǒng)設(shè)計(jì)人員或開(kāi)發(fā)人員完全忘記安全性時(shí)，問(wèn)題將比比皆是。對(duì)于來(lái)自工業(yè)控制領(lǐng)域的通信協(xié)議MQTT而言，數(shù)以萬(wàn)計(jì)的已部署系統(tǒng)甚至缺乏最基本的安全性。

所謂“MQTT”是1999年創(chuàng)建的輕量級(jí)機(jī)器對(duì)機(jī)器通信協(xié)議，該協(xié)議作為低帶寬的通信方式（例如衛(wèi)星），現(xiàn)如今已經(jīng)成為不頻繁或間歇性聯(lián)網(wǎng)物聯(lián)網(wǎng)設(shè)備的主要協(xié)議。

多年來(lái)，工業(yè)控制安全模型過(guò)于簡(jiǎn)單卻存在兩大主要誤區(qū)：首先，系統(tǒng)很少連接到任何更廣泛的區(qū)域網(wǎng)絡(luò)；其次，誰(shuí)會(huì)想要攻擊和控制工業(yè)控制系統(tǒng)？那里又沒(méi)有什么有價(jià)值的內(nèi)容！

當(dāng)然，現(xiàn)在的系統(tǒng)依賴于互聯(lián)網(wǎng)，各種各樣的攻擊者都想獲得物聯(lián)網(wǎng)設(shè)備的訪問(wèn)權(quán)或控制權(quán)，因?yàn)樗鼈兛梢陨蓴?shù)據(jù)并作為進(jìn)入其他系統(tǒng)的跳板。值得注意的是，對(duì)于MQTT和其他協(xié)議而言，漏洞可能并不存在于協(xié)議本身，而是存在于這些協(xié)議的實(shí)現(xiàn)方式中。

威脅案例：2016年，安全研究人員盧卡斯·倫德格倫通過(guò)互聯(lián)網(wǎng)掃描發(fā)現(xiàn)全球約有6.5萬(wàn)臺(tái)使用MQTT（消息列隊(duì)遙測(cè)傳輸）的物聯(lián)網(wǎng)服務(wù)器均暴露在公共互聯(lián)網(wǎng)上，無(wú)需驗(yàn)證，也沒(méi)有加密通信，極易遭受攻擊。

結(jié)論

總而言之，保護(hù)物聯(lián)網(wǎng)安全部署的關(guān)鍵在于認(rèn)知：了解物聯(lián)網(wǎng)網(wǎng)絡(luò)上實(shí)際部署的內(nèi)容；了解這些設(shè)備在網(wǎng)絡(luò)上的作用；以及了解有關(guān)數(shù)據(jù)在本地設(shè)備與其所依賴的云系統(tǒng)間流動(dòng)的知識(shí)等等。