聚焦物聯(lián)網(wǎng)安全別讓你的設備不堪一擊

譚軍

當今社會物聯(lián)網(wǎng)設備已經(jīng)逐步滲透到人們生產(chǎn)生活的方方面面，為人們及時了解自己周圍環(huán)境以及輔助日常工作帶來便利。但隨著互聯(lián)緊密度的增高，物聯(lián)網(wǎng)設備的安全性問題也逐漸影響到人們的正常生活，甚至生命安全，物聯(lián)網(wǎng)設備安全不容小覷。

在綠盟科技《2017物聯(lián)網(wǎng)安全年報》中就從物聯(lián)網(wǎng)設備管理模式、攻擊鏈、設備脆弱性分析及安全風險分析等角度，由淺入深的分析了物聯(lián)網(wǎng)設備的安全現(xiàn)狀，并給出了相應的安全建議。

物聯(lián)網(wǎng)設備管理三大模式存隱憂

直連模式就是管理端與終端之間不經(jīng)過其他節(jié)點直接相連，這種模式一般用于近距離通訊，例如使用無線方式通訊的有藍牙、WIFI熱點、NFC等，使用有線連接方式通訊的有USB、網(wǎng)線、同軸電纜等。此種方式由于設備信任度非常高，廠商在生產(chǎn)的時候一般不會考慮安全問題。

網(wǎng)關模式主要用于家庭以及企業(yè)局域網(wǎng)，一般用于近距離管理多個終端。用戶可以通過中心網(wǎng)關/路由轉(zhuǎn)發(fā)管理端與終端之間的數(shù)據(jù)，方便加入私有的安全認證以及數(shù)據(jù)存儲。如果管理員在此種方式上應用了將內(nèi)網(wǎng)設備映射到外網(wǎng)的策略，則受攻擊的幾率會大大增加。

云模式最大的特點是用戶可以通過互聯(lián)網(wǎng)的云服務管理各種所屬設備，突破了設備管理的地理區(qū)域限制，目前的物聯(lián)網(wǎng)管理方式已經(jīng)開始了云模式的部署。例如智能家居云服務以及后續(xù)的工業(yè)云服務等。此種方式下，廠商一般會加入安全技術，但由于設備公網(wǎng)暴露度增加導致受攻擊的幾率增加，攻擊者一般會通過獲取管理端口令或者模擬管理端數(shù)據(jù)的方式遠程控制受影響賬戶的設備。

了解了物聯(lián)網(wǎng)設備的管理模式后，攻擊者也根據(jù)不同場景衍生出了對應的攻擊工具及攻擊手段。

利益驅(qū)動下的物聯(lián)網(wǎng)攻擊鏈

1.設備選型

物聯(lián)網(wǎng)攻擊者在發(fā)動攻擊之前首先要選擇攻擊目標，為了使攻擊的效果及收益最大化，攻擊者會在設備選型的時候遵從如下原則：

選取市場占有率較高的廠商；

選取市場占有率較高的設備型號；

選取是否有歷史漏洞或者安全缺陷爆出；

調(diào)研開發(fā)的廠商是否有自己的安全團隊或者合作的安全團隊做安全技術支撐。

2.本地漏洞挖掘

目標設備選好后，便開始進行本地漏洞挖掘，主要看設備是否存在如下的問題：

開放有不安全的服務，例如telnet、ssh等；

設備中是否有后門指令或者弱口令的存在。后門指令主要是為了方便開發(fā)者進行設備調(diào)試，一般存在于調(diào)試版本中，但是一些廠商在發(fā)行版本的時候，直接利用了調(diào)試版本中的代碼，導致后門指令存在，攻擊者可以利用后門指令直接控制設備。弱口令為容易被人或者機器破解的口令，一些廠商在設計的時候沒有考慮到設備初次使用需要強制更改口令的安全需求，導致很多用戶使用了默認的口令或者用戶在更改口令時使用了簡單的密碼。

通過WEB安全測試發(fā)現(xiàn)存在越權訪問或者遠程代碼執(zhí)行的地方。例如不需要密碼進行登陸或者更改高權限賬戶的口令等。

二進制漏洞挖掘主要發(fā)現(xiàn)軟件是否存在遠程代碼執(zhí)行的漏洞，例如緩沖區(qū)溢出、system危險函數(shù)調(diào)用等。

3.工具制作

漏洞挖掘完畢，為了使漏洞利用簡便化，攻擊者將開始制作漏洞利用工具。有些會利用現(xiàn)有的一些框架，例如metasploit等，有些則會以獨立的小程序出現(xiàn)。

4.資產(chǎn)統(tǒng)計

之后再次情報收集，以便掌握可以控制的目標數(shù)量，為更高利益轉(zhuǎn)換提供基礎。

5.利益轉(zhuǎn)換

攻擊都是有目的的，利益驅(qū)使是其中一個重要原因，攻擊者會將編寫好的漏洞利用程序，或者已經(jīng)拿下控制權的目標轉(zhuǎn)售給其他攻擊團伙獲取利益，而其他團伙可能會發(fā)動更大規(guī)模的網(wǎng)絡攻擊，獲取更大的利益。

七類問題使物聯(lián)網(wǎng)設備為攻擊者大開方便之門

1.硬件接口暴露。通過對多款設備的拆解發(fā)現(xiàn)，很多廠商在市售產(chǎn)品中保留了硬件調(diào)試接口。例如一般為10針、14針和20針的可以控制CPU的運行狀態(tài)、讀寫內(nèi)存內(nèi)容、調(diào)試系統(tǒng)代碼的JTAG接口以及一般為4針的可以查看系統(tǒng)信息與應用程序調(diào)試的串口，俗稱COM口。通過這兩個接口訪問設備一般都具有系統(tǒng)最高權限。例如研究人員可以通過串口訪問LG home-bot的文件系統(tǒng)。

2.弱口令。目前物聯(lián)網(wǎng)設備大多使用的是嵌入式linux系統(tǒng)，賬戶信息一般存放在/etc/passwd或者/etc/shadow文件中，攻擊者拿到這個文件可以通過John等工具進行系統(tǒng)密碼破解，也可搜集常用的弱口令列表，通過機器嘗試的方式獲取系統(tǒng)相關服務的認證口令。臭名昭著的Mirai和Rowdy惡意代碼中就存在弱口令列表，一旦發(fā)現(xiàn)認證通過，則會進行惡意代碼傳播。弱口令的出現(xiàn)一般是由廠商內(nèi)置或者用戶不良的口令設置習慣兩方面造成的。

3.信息泄露。多數(shù)物聯(lián)網(wǎng)設備廠商可能認為信息泄露不是安全問題，但是泄露的信息極大方便了攻擊者對于目標的攻擊。例如在對某廠商的攝像頭安全測試的時候發(fā)現(xiàn)可以獲取到設備的硬件型號、硬件版本號、軟件版本號、系統(tǒng)類型、可登錄的用戶名和加密的密碼以及密碼生成的算法。攻擊者即可通過暴力破解的方式獲得明文密碼。

5.未授權訪問。攻擊者可以不需要管理員授權，繞過用戶認證環(huán)節(jié)，訪問并控制目標系統(tǒng)。主要產(chǎn)生的原因如下：

廠商在產(chǎn)品設計的時候就沒有考慮到授權認證或者對某些路徑進行權限管理，任何人都可以最高的系統(tǒng)權限獲得設備控制權；

開發(fā)人員為了方便調(diào)試，可能會將一些特定賬戶的認證硬編碼到代碼中，出廠后這些賬戶并沒有去除，攻擊者只要獲得這些硬編碼信息，即可獲得設備的控制權；

開發(fā)人員最初設計的用戶認證算法或?qū)崿F(xiàn)過程中存在缺陷，例如某攝像頭存在不需要權限設置session的URL路徑，攻擊者只需要將其中的Username字段設置為admin，然后進入登陸認證頁面，發(fā)現(xiàn)系統(tǒng)不需要認證，直接為admin權限。

5.遠程代碼執(zhí)行。開發(fā)人員缺乏安全編碼能力，沒有針對輸入的參數(shù)進行嚴格過濾和校驗，導致在調(diào)用危險函數(shù)時遠程代碼執(zhí)行或者命令注入。例如在某攝像頭安全測試的時候發(fā)現(xiàn)系統(tǒng)調(diào)用了危險函數(shù)system，同時對輸入的參數(shù)沒有做嚴格過濾，導致可以執(zhí)行額外的命令。

6.中間人攻擊。中間人攻擊一般有旁路和串接兩種模式，攻擊者處于通訊兩端的鏈路中間，充當數(shù)據(jù)交換角色，攻擊者可以通過中間人的方式獲得用戶認證信息以及設備控制信息，之后利用重放方式或者無線中繼方式獲得設備的控制權。例如通過中間人攻擊解密HTTPS數(shù)據(jù)，獲得很多敏感的信息。

7.云（端）模式。近年來，物聯(lián)網(wǎng)設備逐步實現(xiàn)通過云的方式進行管理，攻擊者可以通過挖掘云提供商漏洞、手機終端APP上的漏洞以及分析設備和云端的通信數(shù)據(jù)，偽造數(shù)據(jù)進行重放攻擊獲取設備控制權。例如2015年HackPwn上公布的黑客攻擊TCL智能洗衣機。

物聯(lián)網(wǎng)設備安全存危機，個人及企業(yè)無從幸免

針對個人，攻擊者通過攻擊物聯(lián)網(wǎng)設備可獲取個人隱私信息，例如個人照片、通話語音，身體狀況，財富狀況以及行為習慣等，憑借用戶勒索、盜竊等方式導致個人名譽與財務損失；也可能發(fā)動物聯(lián)網(wǎng)設備的異常操作，威脅人身安全；甚至還會使用已獲取到權限的設備發(fā)起大規(guī)?；ヂ?lián)網(wǎng)攻擊，使個人因此承擔法律責任。

針對企業(yè)，攻擊會發(fā)生在供應鏈的各個階段。由于缺乏安全意識或者安全技術，企業(yè)很容易在開發(fā)過程中產(chǎn)生安全漏洞，在設備上線后也有可能發(fā)生網(wǎng)絡攻擊、勒索，以及敏感信息泄露等安全事件。物聯(lián)網(wǎng)設備廠商則將由于產(chǎn)品缺陷被利用，面臨用戶流失、財產(chǎn)損失、名譽損失以及公信力下降等后果，為企業(yè)造成無法估量的影響。

避免物聯(lián)網(wǎng)設備遭入侵，需注意以下七個方面

基于《年報》中闡述的物聯(lián)網(wǎng)設備的脆弱性和威脅分析，為降低因物聯(lián)網(wǎng)設備被攻破而造成的損失，綠盟科技為保障用戶設備安全，提出以下安全建議：

1.物聯(lián)網(wǎng)設備在設計之初就需要考慮硬件、應用和內(nèi)容可信，保證攻擊者無法獲取以及篡改相關資源。

2.在物聯(lián)網(wǎng)設備中確保沒有后門指令或者后門代碼。針對用戶認證，需要設計成在第一次配置和使用設備時由用戶進行自行設置并需要設置強口令策略。

3.產(chǎn)品開發(fā)過程中需要遵循安全編碼規(guī)范，減少漏洞產(chǎn)生，降低潛在風險。

4.物聯(lián)網(wǎng)設備需要以全局唯一的身份加入到物聯(lián)網(wǎng)中，設備之間的連接需要可信認證。

5.在通訊過程中或者數(shù)據(jù)存儲過程中需要使用強加密算法（例如AES）進行數(shù)據(jù)加密和認證（例如SHA256簽名算法）。

6.密鑰使用非對稱加密進行傳輸。

7.在設備上市前進行專業(yè)的產(chǎn)品安全測試，降低物聯(lián)網(wǎng)設備安全風險。