僅2%商務打印機安全？專家揭秘物聯網設備暗藏這些坑

　　路由器高危漏洞致德國百萬用戶斷網、藍牙協議漏洞攻擊影響數十億藍牙設備、亞馬遜AWS S3致50多萬臺汽車跟蹤設備的登錄憑證泄露、Stackoverflowin黑客入侵15萬臺打印機、智能泰迪熊玩具泄露200多萬條親子聊天記錄……近日，一份安全機構聯合歸納的“2017年度十大網絡安全事件”在網上熱傳。其中，路由器、智能汽車、打印機、智能玩具等日常物聯網設備紛紛上榜，不禁讓不少用戶不寒而栗。

　　在“互聯網 +”時代，各類物聯網設備規模呈現爆發性增長趨勢。IT咨詢機構Gartner預測，自2015年至2020年，物聯網終端年均復合增長率為33%。在物聯網技術和產業高速發展的同時，物聯網應用面臨嚴峻的安全挑戰。

　　(圖片來源于網絡)

　　【現狀】

　　路由器、視頻監控設備漏洞逐年上升

　　去年4月，Persirai僵尸網絡利用漏洞攻破12萬臺IP攝像頭設備引發各界關注，以網絡攝像頭、家用無線路由器等為代表的物聯網設備安全也成為安全領域的熱點。記者近日在搜索QQ群和百度貼吧上發現，有人公然售賣破解攝像頭軟件，分享他人家庭私密影像，有些原本用來看護家里老人孩子或用于防盜的攝像頭，竟然被不法分子用于“窺私”在網上公開叫賣。

　　從綠盟科技日前發布的《2017網絡安全年報》看，就全球分布來說，路由器暴露的數量超過4900萬臺，遠高于其它物聯網設備暴露數量;視頻監控設備的暴露數量超過1100萬臺，高于防火墻、交換機等傳統網絡設備的暴露數量，僅次于路由器;打印機的暴露情況更為令人意外，暴露數量達到了89萬臺之多。

　　“記得之前惠普方面曾回應媒體提問時稱，數以億計的商務打印機中只有不到2%的打印機是真正安全的。”綠盟科技物聯網安全實驗室研究員張星提到，從統計數據看，攝像頭、路由器是數量最多、分布最廣的IoT設備，這類設備安全防護非常薄弱。從設備漏洞曝光情況，近三年來路由器、視頻監控設備的相應漏洞，且呈逐年上升態勢。

　　張星坦言，大量物聯網設備直接暴露在互聯網上，非常容易被網絡爬蟲和惡意攻擊者發現。更嚴重的是，這些設備中有相當大的比例存在弱口令、已知漏洞等風險，可能被惡意代碼感染成為僵尸主機。另外，這些設備一旦被感染還會繼續感染其他設備，組成大規模的物聯網僵尸網絡。

　　“物聯網的安全已從‘山雨欲來’轉向現實威脅。”中國信息安全評測中心主任朱勝濤表示，包括美國大規模停電等案例已顯示，物聯網一旦遭遇入侵將產生的巨大破壞力。 “目前，我國物聯網的安全問題有多方面，用戶安全意識仍然不高。在設備端安全措施沒有有效實施，生產廠商在接口、認證/授權、網絡服務、傳輸加密、軟固件安全等方面缺乏良好的物聯網安全解決方案。同時，物聯網的多樣化、復雜化以及設備的龐大數量，使得攻擊面更寬，攻擊手段更為多樣化。”

　　【揭秘】

　　黑客攻擊物聯網設備的三個“階段”

　　在業界人士看來，物聯網作為一種新技術，行業標準以及相關管理都還處于初級階段，對于廠商來說，片面追尋新功能而忽略安全性成為一種常態。“物聯網 DDoS 攻擊(分布式拒絕服務攻擊)將是常態，物聯網設備數量多帶來規模效應的最直接應用就是DDoS攻擊，從實施的難度、運營的成本、風險與收益來看，這是一種有效的攻擊形式，而且在相當長的時間內，仍會是一種常見的攻擊方式。”

　　張星介紹，通常來說，攻擊者攻破物聯網設備并發動DDoS攻擊可分為三個階段：第一階段，攻擊者通過掃描發現因業務需要或配置失誤被暴露在互聯網上的物聯網設備;第二階段，攻擊者進行滲透，發現設備存在漏洞，并攻擊獲得權限、執行指令;第三階段，設備淪為僵尸主機，成為攻擊者控制的僵尸網絡的一部分，接受指令發動攻擊。

　　另外，伴隨物聯網的廣泛應用，暴露在互聯網上的物聯網云服務數量也會持續增加。張星還提到，很多攻擊者也會把目光從傳統的Web服務和郵件服務等傳統服務轉向這些新興的物聯網服務。例如，在明文傳輸的物聯網應用中，攻擊者容易將流量劫持后利用信息進行欺騙，或進行中間人攻擊;此外，攻擊者也可能覬覦物聯網云服務所存儲數據背后的價值。所以，物聯網云服務的安全性需要引起物聯網解決方案提供商和云服務商的重視。

　　【建議】

　　用戶、廠商均需警惕，莫讓物聯網設備成黑客“幫兇”

　　張星坦言，如果消費者在購買設備時，沒有將設備的安全性作為必要考慮，廠商出于成本考慮也缺乏改良動機;另外，物聯網應用還較新，監管機構在出臺相關法律法規前，廠商少有合規性的壓力將安全置于整個產業鏈中;從當前的市場環境看，廠商強調智能化的功能設計，求新求快是物聯網行業中的主旋律，安全似乎是可有可無的選項，這進一步加劇了物聯網環境整體的脆弱性。

　　事實上，廠商的忽視、防護方案的不成熟、用戶的安全意識薄弱等都是造成安全隱患的重要推手。張星說，不論從升級、配置、固件補丁維護等，與傳統的威脅手段其實并無不同，在物聯網的戰場上很多傳統的手段找到了新的發揮空間。例如，網絡嗅探、遠程代碼執行、中間人攻擊、云端服務器攻陷而導致被控設備失陷等，都是傳統攻擊手段在物聯網技術中新的應用場景。“對于黑客來說，這些無疑又是一次‘盛宴’。”

　　對于用戶而言，張星認為，關注物聯網系統是否會泄露隱私信息，是否影響正常使用等，無論是家庭用戶還是企業用戶，都應把安全作為一個很重要的關注點。“可以考慮采用安全廠商提供的物聯網安全網關或具備安全能力的物聯網網關，通過手機應用很方便地跟蹤網絡中的異常并及時作出處置措施”。

　　“從物聯網安全提供商看，無論是想要拓展物聯網安全業務的傳統的信息安全廠商或者新興的物聯網安全創業公司，把握清楚自己的定位很重要。”張星建議，安全提供商在考慮物聯網安全切入點時可以從以下兩個角度入手：提供物聯網安全評估服務，通過評估來逐步提升物聯網廠商的安全意識，從而逐步提升物聯網產品的安全性;考慮到很多物聯網廠商對安全認知不足，在不影響用戶業務的前提下，提供用戶網絡的可視化和異常檢測，使用戶更好地感知其物聯網環境。

　　【鏈接】

　　從用戶、物聯網廠商和信息安全廠商角度，業界受訪專家歸納了如下安全指南：

　　●用戶在購買物聯網產品后應該：(1)修改初始口令以及弱口令，加固用戶名和密碼的安全性;(2)關閉不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;(3)修改默認端口為不常用端口，增大端口開放協議被探測的難度;(4)升級設備固件;(5)部署廠商提供的安全解決方案

　　●物聯網廠商在設計、實現和運營物聯網應用時，應該：(1)對于設備的首次使用可用戶修改初始密碼，并且對用戶密碼的復雜性進行檢測;(2)提供設備固件的自動在線升級方式，降低暴露在互聯網的設備的安全風險;(3)默認配置應遵循最小開放端口的原則，減少端口暴露在互聯網的可能性;(4)設置訪問控制規則，嚴格控制從互聯網發起的訪問;(5)與安全廠商合作，在設備層和網絡層進行加固。

　　●信息安全廠商在推廣物聯網安全防護方案時，應該：(1)優先關注暴露數量較多的物聯網資產的脆弱性分析;(2)為物聯網廠商提供設備出廠前的測評服務，將設備可能存在的風險盡可能降低;(3)關注物聯網設備的安全防護，推出既滿足正常用戶的訪問，同時又可抵抗惡意攻擊的安全產品及解決方案;(4)加大物聯網安全宣傳的力度，提高公眾的信息安全意識。