路由器高危漏洞致德國百萬用戶斷網(wǎng)、藍牙協(xié)議漏洞攻擊影響數(shù)十億藍牙設備、亞馬遜AWS S3致50多萬臺汽車跟蹤設備的登錄憑證泄露、Stackoverflowin黑客入侵15萬臺打印機、智能泰迪熊玩具泄露200多萬條親子聊天記錄……近日，一份安全機構聯(lián)合歸納的“2017年度十大網(wǎng)絡安全事件”在網(wǎng)上熱傳。其中，路由器、智能汽車、打印機、智能玩具等日常物聯(lián)網(wǎng)設備紛紛上榜，不禁讓不少用戶不寒而栗。

　　在“互聯(lián)網(wǎng) +”時代，各類物聯(lián)網(wǎng)設備規(guī)模呈現(xiàn)爆發(fā)性增長趨勢。IT咨詢機構Gartner預測，自2015年至2020年，物聯(lián)網(wǎng)終端年均復合增長率為33%。在物聯(lián)網(wǎng)技術和產業(yè)高速發(fā)展的同時，物聯(lián)網(wǎng)應用面臨嚴峻的安全挑戰(zhàn)。

　　(圖片來源于網(wǎng)絡)

　　【現(xiàn)狀】

　　路由器、視頻監(jiān)控設備漏洞逐年上升

　　去年4月，Persirai僵尸網(wǎng)絡利用漏洞攻破12萬臺IP攝像頭設備引發(fā)各界關注，以網(wǎng)絡攝像頭、家用無線路由器等為代表的物聯(lián)網(wǎng)設備安全也成為安全領域的熱點。記者近日在搜索QQ群和百度貼吧上發(fā)現(xiàn)，有人公然售賣破解攝像頭軟件，分享他人家庭私密影像，有些原本用來看護家里老人孩子或用于防盜的攝像頭，竟然被不法分子用于“窺私”在網(wǎng)上公開叫賣。

　　從綠盟科技日前發(fā)布的《2017網(wǎng)絡安全年報》看，就全球分布來說，路由器暴露的數(shù)量超過4900萬臺，遠高于其它物聯(lián)網(wǎng)設備暴露數(shù)量;視頻監(jiān)控設備的暴露數(shù)量超過1100萬臺，高于防火墻、交換機等傳統(tǒng)網(wǎng)絡設備的暴露數(shù)量，僅次于路由器;打印機的暴露情況更為令人意外，暴露數(shù)量達到了89萬臺之多。

　　“記得之前惠普方面曾回應媒體提問時稱，數(shù)以億計的商務打印機中只有不到2%的打印機是真正安全的。”綠盟科技物聯(lián)網(wǎng)安全實驗室研究員張星提到，從統(tǒng)計數(shù)據(jù)看，攝像頭、路由器是數(shù)量最多、分布最廣的IoT設備，這類設備安全防護非常薄弱。從設備漏洞曝光情況，近三年來路由器、視頻監(jiān)控設備的相應漏洞，且呈逐年上升態(tài)勢。

　　張星坦言，大量物聯(lián)網(wǎng)設備直接暴露在互聯(lián)網(wǎng)上，非常容易被網(wǎng)絡爬蟲和惡意攻擊者發(fā)現(xiàn)。更嚴重的是，這些設備中有相當大的比例存在弱口令、已知漏洞等風險，可能被惡意代碼感染成為僵尸主機。另外，這些設備一旦被感染還會繼續(xù)感染其他設備，組成大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡。

　　“物聯(lián)網(wǎng)的安全已從‘山雨欲來’轉向現(xiàn)實威脅。”中國信息安全評測中心主任朱勝濤表示，包括美國大規(guī)模停電等案例已顯示，物聯(lián)網(wǎng)一旦遭遇入侵將產生的巨大破壞力。 “目前，我國物聯(lián)網(wǎng)的安全問題有多方面，用戶安全意識仍然不高。在設備端安全措施沒有有效實施，生產廠商在接口、認證/授權、網(wǎng)絡服務、傳輸加密、軟固件安全等方面缺乏良好的物聯(lián)網(wǎng)安全解決方案。同時，物聯(lián)網(wǎng)的多樣化、復雜化以及設備的龐大數(shù)量，使得攻擊面更寬，攻擊手段更為多樣化。”

　　【揭秘】

　　黑客攻擊物聯(lián)網(wǎng)設備的三個“階段”

　　在業(yè)界人士看來，物聯(lián)網(wǎng)作為一種新技術，行業(yè)標準以及相關管理都還處于初級階段，對于廠商來說，片面追尋新功能而忽略安全性成為一種常態(tài)。“物聯(lián)網(wǎng) DDoS 攻擊(分布式拒絕服務攻擊)將是常態(tài)，物聯(lián)網(wǎng)設備數(shù)量多帶來規(guī)模效應的最直接應用就是DDoS攻擊，從實施的難度、運營的成本、風險與收益來看，這是一種有效的攻擊形式，而且在相當長的時間內，仍會是一種常見的攻擊方式。”

　　張星介紹，通常來說，攻擊者攻破物聯(lián)網(wǎng)設備并發(fā)動DDoS攻擊可分為三個階段：第一階段，攻擊者通過掃描發(fā)現(xiàn)因業(yè)務需要或配置失誤被暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設備;第二階段，攻擊者進行滲透，發(fā)現(xiàn)設備存在漏洞，并攻擊獲得權限、執(zhí)行指令;第三階段，設備淪為僵尸主機，成為攻擊者控制的僵尸網(wǎng)絡的一部分，接受指令發(fā)動攻擊。

　　另外，伴隨物聯(lián)網(wǎng)的廣泛應用，暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)云服務數(shù)量也會持續(xù)增加。張星還提到，很多攻擊者也會把目光從傳統(tǒng)的Web服務和郵件服務等傳統(tǒng)服務轉向這些新興的物聯(lián)網(wǎng)服務。例如，在明文傳輸?shù)奈锫?lián)網(wǎng)應用中，攻擊者容易將流量劫持后利用信息進行欺騙，或進行中間人攻擊;此外，攻擊者也可能覬覦物聯(lián)網(wǎng)云服務所存儲數(shù)據(jù)背后的價值。所以，物聯(lián)網(wǎng)云服務的安全性需要引起物聯(lián)網(wǎng)解決方案提供商和云服務商的重視。

　　【建議】

　　用戶、廠商均需警惕，莫讓物聯(lián)網(wǎng)設備成黑客“幫兇”

　　張星坦言，如果消費者在購買設備時，沒有將設備的安全性作為必要考慮，廠商出于成本考慮也缺乏改良動機;另外，物聯(lián)網(wǎng)應用還較新，監(jiān)管機構在出臺相關法律法規(guī)前，廠商少有合規(guī)性的壓力將安全置于整個產業(yè)鏈中;從當前的市場環(huán)境看，廠商強調智能化的功能設計，求新求快是物聯(lián)網(wǎng)行業(yè)中的主旋律，安全似乎是可有可無的選項，這進一步加劇了物聯(lián)網(wǎng)環(huán)境整體的脆弱性。

　　事實上，廠商的忽視、防護方案的不成熟、用戶的安全意識薄弱等都是造成安全隱患的重要推手。張星說，不論從升級、配置、固件補丁維護等，與傳統(tǒng)的威脅手段其實并無不同，在物聯(lián)網(wǎng)的戰(zhàn)場上很多傳統(tǒng)的手段找到了新的發(fā)揮空間。例如，網(wǎng)絡嗅探、遠程代碼執(zhí)行、中間人攻擊、云端服務器攻陷而導致被控設備失陷等，都是傳統(tǒng)攻擊手段在物聯(lián)網(wǎng)技術中新的應用場景。“對于黑客來說，這些無疑又是一次‘盛宴’。”

　　對于用戶而言，張星認為，關注物聯(lián)網(wǎng)系統(tǒng)是否會泄露隱私信息，是否影響正常使用等，無論是家庭用戶還是企業(yè)用戶，都應把安全作為一個很重要的關注點。“可以考慮采用安全廠商提供的物聯(lián)網(wǎng)安全網(wǎng)關或具備安全能力的物聯(lián)網(wǎng)網(wǎng)關，通過手機應用很方便地跟蹤網(wǎng)絡中的異常并及時作出處置措施”。

　　“從物聯(lián)網(wǎng)安全提供商看，無論是想要拓展物聯(lián)網(wǎng)安全業(yè)務的傳統(tǒng)的信息安全廠商或者新興的物聯(lián)網(wǎng)安全創(chuàng)業(yè)公司，把握清楚自己的定位很重要。”張星建議，安全提供商在考慮物聯(lián)網(wǎng)安全切入點時可以從以下兩個角度入手：提供物聯(lián)網(wǎng)安全評估服務，通過評估來逐步提升物聯(lián)網(wǎng)廠商的安全意識，從而逐步提升物聯(lián)網(wǎng)產品的安全性;考慮到很多物聯(lián)網(wǎng)廠商對安全認知不足，在不影響用戶業(yè)務的前提下，提供用戶網(wǎng)絡的可視化和異常檢測，使用戶更好地感知其物聯(lián)網(wǎng)環(huán)境。

　　【鏈接】

　　從用戶、物聯(lián)網(wǎng)廠商和信息安全廠商角度，業(yè)界受訪專家歸納了如下安全指南：

　　●用戶在購買物聯(lián)網(wǎng)產品后應該：(1)修改初始口令以及弱口令，加固用戶名和密碼的安全性;(2)關閉不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;(3)修改默認端口為不常用端口，增大端口開放協(xié)議被探測的難度;(4)升級設備固件;(5)部署廠商提供的安全解決方案

　　●物聯(lián)網(wǎng)廠商在設計、實現(xiàn)和運營物聯(lián)網(wǎng)應用時，應該：(1)對于設備的首次使用可用戶修改初始密碼，并且對用戶密碼的復雜性進行檢測;(2)提供設備固件的自動在線升級方式，降低暴露在互聯(lián)網(wǎng)的設備的安全風險;(3)默認配置應遵循最小開放端口的原則，減少端口暴露在互聯(lián)網(wǎng)的可能性;(4)設置訪問控制規(guī)則，嚴格控制從互聯(lián)網(wǎng)發(fā)起的訪問;(5)與安全廠商合作，在設備層和網(wǎng)絡層進行加固。

　　●信息安全廠商在推廣物聯(lián)網(wǎng)安全防護方案時，應該：(1)優(yōu)先關注暴露數(shù)量較多的物聯(lián)網(wǎng)資產的脆弱性分析;(2)為物聯(lián)網(wǎng)廠商提供設備出廠前的測評服務，將設備可能存在的風險盡可能降低;(3)關注物聯(lián)網(wǎng)設備的安全防護，推出既滿足正常用戶的訪問，同時又可抵抗惡意攻擊的安全產品及解決方案;(4)加大物聯(lián)網(wǎng)安全宣傳的力度，提高公眾的信息安全意識。