僅2%商務(wù)打印機(jī)安全？專(zhuān)家揭秘物聯(lián)網(wǎng)設(shè)備暗藏這些坑

　　路由器高危漏洞致德國(guó)百萬(wàn)用戶(hù)斷網(wǎng)、藍(lán)牙協(xié)議漏洞攻擊影響數(shù)十億藍(lán)牙設(shè)備、亞馬遜AWS S3致50多萬(wàn)臺(tái)汽車(chē)跟蹤設(shè)備的登錄憑證泄露、Stackoverflowin黑客入侵15萬(wàn)臺(tái)打印機(jī)、智能泰迪熊玩具泄露200多萬(wàn)條親子聊天記錄……近日，一份安全機(jī)構(gòu)聯(lián)合歸納的“2017年度十大網(wǎng)絡(luò)安全事件”在網(wǎng)上熱傳。其中，路由器、智能汽車(chē)、打印機(jī)、智能玩具等日常物聯(lián)網(wǎng)設(shè)備紛紛上榜，不禁讓不少用戶(hù)不寒而栗。

　　在“互聯(lián)網(wǎng) +”時(shí)代，各類(lèi)物聯(lián)網(wǎng)設(shè)備規(guī)模呈現(xiàn)爆發(fā)性增長(zhǎng)趨勢(shì)。IT咨詢(xún)機(jī)構(gòu)Gartner預(yù)測(cè)，自2015年至2020年，物聯(lián)網(wǎng)終端年均復(fù)合增長(zhǎng)率為33%。在物聯(lián)網(wǎng)技術(shù)和產(chǎn)業(yè)高速發(fā)展的同時(shí)，物聯(lián)網(wǎng)應(yīng)用面臨嚴(yán)峻的安全挑戰(zhàn)。

　　(圖片來(lái)源于網(wǎng)絡(luò))

　　【現(xiàn)狀】

　　路由器、視頻監(jiān)控設(shè)備漏洞逐年上升

　　去年4月，Persirai僵尸網(wǎng)絡(luò)利用漏洞攻破12萬(wàn)臺(tái)IP攝像頭設(shè)備引發(fā)各界關(guān)注，以網(wǎng)絡(luò)攝像頭、家用無(wú)線(xiàn)路由器等為代表的物聯(lián)網(wǎng)設(shè)備安全也成為安全領(lǐng)域的熱點(diǎn)。記者近日在搜索QQ群和百度貼吧上發(fā)現(xiàn)，有人公然售賣(mài)破解攝像頭軟件，分享他人家庭私密影像，有些原本用來(lái)看護(hù)家里老人孩子或用于防盜的攝像頭，竟然被不法分子用于“窺私”在網(wǎng)上公開(kāi)叫賣(mài)。

　　從綠盟科技日前發(fā)布的《2017網(wǎng)絡(luò)安全年報(bào)》看，就全球分布來(lái)說(shuō)，路由器暴露的數(shù)量超過(guò)4900萬(wàn)臺(tái)，遠(yuǎn)高于其它物聯(lián)網(wǎng)設(shè)備暴露數(shù)量;視頻監(jiān)控設(shè)備的暴露數(shù)量超過(guò)1100萬(wàn)臺(tái)，高于防火墻、交換機(jī)等傳統(tǒng)網(wǎng)絡(luò)設(shè)備的暴露數(shù)量，僅次于路由器;打印機(jī)的暴露情況更為令人意外，暴露數(shù)量達(dá)到了89萬(wàn)臺(tái)之多。

　　“記得之前惠普方面曾回應(yīng)媒體提問(wèn)時(shí)稱(chēng)，數(shù)以?xún)|計(jì)的商務(wù)打印機(jī)中只有不到2%的打印機(jī)是真正安全的。”綠盟科技物聯(lián)網(wǎng)安全實(shí)驗(yàn)室研究員張星提到，從統(tǒng)計(jì)數(shù)據(jù)看，攝像頭、路由器是數(shù)量最多、分布最廣的IoT設(shè)備，這類(lèi)設(shè)備安全防護(hù)非常薄弱。從設(shè)備漏洞曝光情況，近三年來(lái)路由器、視頻監(jiān)控設(shè)備的相應(yīng)漏洞，且呈逐年上升態(tài)勢(shì)。

　　張星坦言，大量物聯(lián)網(wǎng)設(shè)備直接暴露在互聯(lián)網(wǎng)上，非常容易被網(wǎng)絡(luò)爬蟲(chóng)和惡意攻擊者發(fā)現(xiàn)。更嚴(yán)重的是，這些設(shè)備中有相當(dāng)大的比例存在弱口令、已知漏洞等風(fēng)險(xiǎn)，可能被惡意代碼感染成為僵尸主機(jī)。另外，這些設(shè)備一旦被感染還會(huì)繼續(xù)感染其他設(shè)備，組成大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。

　　“物聯(lián)網(wǎng)的安全已從‘山雨欲來(lái)’轉(zhuǎn)向現(xiàn)實(shí)威脅。”中國(guó)信息安全評(píng)測(cè)中心主任朱勝濤表示，包括美國(guó)大規(guī)模停電等案例已顯示，物聯(lián)網(wǎng)一旦遭遇入侵將產(chǎn)生的巨大破壞力。 “目前，我國(guó)物聯(lián)網(wǎng)的安全問(wèn)題有多方面，用戶(hù)安全意識(shí)仍然不高。在設(shè)備端安全措施沒(méi)有有效實(shí)施，生產(chǎn)廠(chǎng)商在接口、認(rèn)證/授權(quán)、網(wǎng)絡(luò)服務(wù)、傳輸加密、軟固件安全等方面缺乏良好的物聯(lián)網(wǎng)安全解決方案。同時(shí)，物聯(lián)網(wǎng)的多樣化、復(fù)雜化以及設(shè)備的龐大數(shù)量，使得攻擊面更寬，攻擊手段更為多樣化。”

　　【揭秘】

　　黑客攻擊物聯(lián)網(wǎng)設(shè)備的三個(gè)“階段”

　　在業(yè)界人士看來(lái)，物聯(lián)網(wǎng)作為一種新技術(shù)，行業(yè)標(biāo)準(zhǔn)以及相關(guān)管理都還處于初級(jí)階段，對(duì)于廠(chǎng)商來(lái)說(shuō)，片面追尋新功能而忽略安全性成為一種常態(tài)。“物聯(lián)網(wǎng) DDoS 攻擊(分布式拒絕服務(wù)攻擊)將是常態(tài)，物聯(lián)網(wǎng)設(shè)備數(shù)量多帶來(lái)規(guī)模效應(yīng)的最直接應(yīng)用就是DDoS攻擊，從實(shí)施的難度、運(yùn)營(yíng)的成本、風(fēng)險(xiǎn)與收益來(lái)看，這是一種有效的攻擊形式，而且在相當(dāng)長(zhǎng)的時(shí)間內(nèi)，仍會(huì)是一種常見(jiàn)的攻擊方式。”

　　張星介紹，通常來(lái)說(shuō)，攻擊者攻破物聯(lián)網(wǎng)設(shè)備并發(fā)動(dòng)DDoS攻擊可分為三個(gè)階段：第一階段，攻擊者通過(guò)掃描發(fā)現(xiàn)因業(yè)務(wù)需要或配置失誤被暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備;第二階段，攻擊者進(jìn)行滲透，發(fā)現(xiàn)設(shè)備存在漏洞，并攻擊獲得權(quán)限、執(zhí)行指令;第三階段，設(shè)備淪為僵尸主機(jī)，成為攻擊者控制的僵尸網(wǎng)絡(luò)的一部分，接受指令發(fā)動(dòng)攻擊。

　　另外，伴隨物聯(lián)網(wǎng)的廣泛應(yīng)用，暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)云服務(wù)數(shù)量也會(huì)持續(xù)增加。張星還提到，很多攻擊者也會(huì)把目光從傳統(tǒng)的Web服務(wù)和郵件服務(wù)等傳統(tǒng)服務(wù)轉(zhuǎn)向這些新興的物聯(lián)網(wǎng)服務(wù)。例如，在明文傳輸?shù)奈锫?lián)網(wǎng)應(yīng)用中，攻擊者容易將流量劫持后利用信息進(jìn)行欺騙，或進(jìn)行中間人攻擊;此外，攻擊者也可能覬覦物聯(lián)網(wǎng)云服務(wù)所存儲(chǔ)數(shù)據(jù)背后的價(jià)值。所以，物聯(lián)網(wǎng)云服務(wù)的安全性需要引起物聯(lián)網(wǎng)解決方案提供商和云服務(wù)商的重視。

　　【建議】

　　用戶(hù)、廠(chǎng)商均需警惕，莫讓物聯(lián)網(wǎng)設(shè)備成黑客“幫兇”

　　張星坦言，如果消費(fèi)者在購(gòu)買(mǎi)設(shè)備時(shí)，沒(méi)有將設(shè)備的安全性作為必要考慮，廠(chǎng)商出于成本考慮也缺乏改良動(dòng)機(jī);另外，物聯(lián)網(wǎng)應(yīng)用還較新，監(jiān)管機(jī)構(gòu)在出臺(tái)相關(guān)法律法規(guī)前，廠(chǎng)商少有合規(guī)性的壓力將安全置于整個(gè)產(chǎn)業(yè)鏈中;從當(dāng)前的市場(chǎng)環(huán)境看，廠(chǎng)商強(qiáng)調(diào)智能化的功能設(shè)計(jì)，求新求快是物聯(lián)網(wǎng)行業(yè)中的主旋律，安全似乎是可有可無(wú)的選項(xiàng)，這進(jìn)一步加劇了物聯(lián)網(wǎng)環(huán)境整體的脆弱性。

　　事實(shí)上，廠(chǎng)商的忽視、防護(hù)方案的不成熟、用戶(hù)的安全意識(shí)薄弱等都是造成安全隱患的重要推手。張星說(shuō)，不論從升級(jí)、配置、固件補(bǔ)丁維護(hù)等，與傳統(tǒng)的威脅手段其實(shí)并無(wú)不同，在物聯(lián)網(wǎng)的戰(zhàn)場(chǎng)上很多傳統(tǒng)的手段找到了新的發(fā)揮空間。例如，網(wǎng)絡(luò)嗅探、遠(yuǎn)程代碼執(zhí)行、中間人攻擊、云端服務(wù)器攻陷而導(dǎo)致被控設(shè)備失陷等，都是傳統(tǒng)攻擊手段在物聯(lián)網(wǎng)技術(shù)中新的應(yīng)用場(chǎng)景。“對(duì)于黑客來(lái)說(shuō)，這些無(wú)疑又是一次‘盛宴’。”

　　對(duì)于用戶(hù)而言，張星認(rèn)為，關(guān)注物聯(lián)網(wǎng)系統(tǒng)是否會(huì)泄露隱私信息，是否影響正常使用等，無(wú)論是家庭用戶(hù)還是企業(yè)用戶(hù)，都應(yīng)把安全作為一個(gè)很重要的關(guān)注點(diǎn)。“可以考慮采用安全廠(chǎng)商提供的物聯(lián)網(wǎng)安全網(wǎng)關(guān)或具備安全能力的物聯(lián)網(wǎng)網(wǎng)關(guān)，通過(guò)手機(jī)應(yīng)用很方便地跟蹤網(wǎng)絡(luò)中的異常并及時(shí)作出處置措施”。

　　“從物聯(lián)網(wǎng)安全提供商看，無(wú)論是想要拓展物聯(lián)網(wǎng)安全業(yè)務(wù)的傳統(tǒng)的信息安全廠(chǎng)商或者新興的物聯(lián)網(wǎng)安全創(chuàng)業(yè)公司，把握清楚自己的定位很重要。”張星建議，安全提供商在考慮物聯(lián)網(wǎng)安全切入點(diǎn)時(shí)可以從以下兩個(gè)角度入手：提供物聯(lián)網(wǎng)安全評(píng)估服務(wù)，通過(guò)評(píng)估來(lái)逐步提升物聯(lián)網(wǎng)廠(chǎng)商的安全意識(shí)，從而逐步提升物聯(lián)網(wǎng)產(chǎn)品的安全性;考慮到很多物聯(lián)網(wǎng)廠(chǎng)商對(duì)安全認(rèn)知不足，在不影響用戶(hù)業(yè)務(wù)的前提下，提供用戶(hù)網(wǎng)絡(luò)的可視化和異常檢測(cè)，使用戶(hù)更好地感知其物聯(lián)網(wǎng)環(huán)境。

　　【鏈接】

　　從用戶(hù)、物聯(lián)網(wǎng)廠(chǎng)商和信息安全廠(chǎng)商角度，業(yè)界受訪(fǎng)專(zhuān)家歸納了如下安全指南：

　　●用戶(hù)在購(gòu)買(mǎi)物聯(lián)網(wǎng)產(chǎn)品后應(yīng)該：(1)修改初始口令以及弱口令，加固用戶(hù)名和密碼的安全性;(2)關(guān)閉不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;(3)修改默認(rèn)端口為不常用端口，增大端口開(kāi)放協(xié)議被探測(cè)的難度;(4)升級(jí)設(shè)備固件;(5)部署廠(chǎng)商提供的安全解決方案

　　●物聯(lián)網(wǎng)廠(chǎng)商在設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)營(yíng)物聯(lián)網(wǎng)應(yīng)用時(shí)，應(yīng)該：(1)對(duì)于設(shè)備的首次使用可用戶(hù)修改初始密碼，并且對(duì)用戶(hù)密碼的復(fù)雜性進(jìn)行檢測(cè);(2)提供設(shè)備固件的自動(dòng)在線(xiàn)升級(jí)方式，降低暴露在互聯(lián)網(wǎng)的設(shè)備的安全風(fēng)險(xiǎn);(3)默認(rèn)配置應(yīng)遵循最小開(kāi)放端口的原則，減少端口暴露在互聯(lián)網(wǎng)的可能性;(4)設(shè)置訪(fǎng)問(wèn)控制規(guī)則，嚴(yán)格控制從互聯(lián)網(wǎng)發(fā)起的訪(fǎng)問(wèn);(5)與安全廠(chǎng)商合作，在設(shè)備層和網(wǎng)絡(luò)層進(jìn)行加固。

　　●信息安全廠(chǎng)商在推廣物聯(lián)網(wǎng)安全防護(hù)方案時(shí)，應(yīng)該：(1)優(yōu)先關(guān)注暴露數(shù)量較多的物聯(lián)網(wǎng)資產(chǎn)的脆弱性分析;(2)為物聯(lián)網(wǎng)廠(chǎng)商提供設(shè)備出廠(chǎng)前的測(cè)評(píng)服務(wù)，將設(shè)備可能存在的風(fēng)險(xiǎn)盡可能降低;(3)關(guān)注物聯(lián)網(wǎng)設(shè)備的安全防護(hù)，推出既滿(mǎn)足正常用戶(hù)的訪(fǎng)問(wèn)，同時(shí)又可抵抗惡意攻擊的安全產(chǎn)品及解決方案;(4)加大物聯(lián)網(wǎng)安全宣傳的力度，提高公眾的信息安全意識(shí)。