物聯網安全風險威脅報告

新聞 05-12

* 原創作者：魅影兒，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

一．物聯網安全概述

物聯網定義：日常物品（如電視、冰箱、空調、燈光、窗帘）的有網路連接，允許發送和接收數據。

萬物互聯（IOT）時代已經到來，隨著智能硬體創業的興起，大量智能家居和可穿戴設備進入了人們的生活，根據Gartner 報告預測，2020年全球IOT物聯網設備數量將高達260億個。但是由於安全標準滯後，以及智能設備製造商缺乏安全意識和投入，物聯網已經埋下極大隱患，是個人隱私、企業信息安全甚至國家關鍵基礎設施的頭號安全威脅。試想一下，無論家用或企業級的互連設備，如接入互聯網的交通指示燈，恆溫器，或醫用監控設備遭到攻擊，後果都將非常可怕。

物聯網總的體系結構通常由執行器、網關、感測器、雲和移動app五部分組成。

移動app（Mobile）:移動設備大多使用的，在設備上的應用程序，以實現手機端控制 IoT環境來進行互動；

雲（Cloud）:Web界面或API 託管用於收集數據的雲端web應用和大型數據集分析。一般來說，就是在做信息與其它方資源共享時使用；

網關（Gateway）:用於收集感測器信息和控制中心；

執行器（Actuator）:通過物理過程式控制制事物，如空調機組、門鎖、窗帘；

感測器（Sensor）:用於檢測環境，例如光、運動、溫度、濕度、水/ 電量；

物聯網根據業務形態主要分為工業控制物聯網、車載物聯網、智能家居物聯網。不同的業務形態對安全的需求不盡相同。

工業控制物聯網：涉及到國家安全、再加上目前工業控制網路基本是明文協議很容易遭受攻擊。所以很早就有很多安全公司看到這塊蛋糕：威努特、匡恩網路等已經完成市場布局。主要產品形態：工控防火牆、工控漏洞挖掘、主機白名單產品。安全需求基本是傳統安全的思路。

車載物聯網：涉及到駕車人生命安全。但是目前是爭標準的時代，目前國內廠商360在這方面有所建樹。在標準未確定前，安全廠商都想做升級版的 OBD，嵌入式安全硬體。國外相關安全廠商產品形態大致是OBD防火牆、雲端大數據分析異常監控等。安全需求集中在車載核心物聯網硬體安全上。

智能家居物聯網：涉及到個人家庭隱私安全。這一塊的安全投入，比較少。但是大的家電企業相對來說會多一點。這也是安全廠商的機會。目前我們公司的產品形態主要是智能家居物聯網，文中後續會對這塊重點關注。

要想做物聯網安全，首先要了解企業級物聯網架構。

智能家居物聯網：

當前一個典型的物聯網項目，從組成上來講，至少有三部分：一是設備端；二是雲端；三是監控端。三者之間遵照通信協議完成消息傳輸。物聯網安全的威脅風險也主要來自於這四部分。

二．物聯網安全威脅現狀及預防

惠普安全研究院調查的10個最流行的物聯網智能設備後發現幾乎所有設備都存在高危漏洞，主要有五大安全隱患，一些關鍵數據如下：

80%的IOT設備存在隱私泄露或濫用風險；

80%的IOT設備允許使用弱密碼；

70%的IOT設備與互聯網或區域網的通訊沒有加密；

60%的IOT設備的web 界面存在安全漏洞；

60%的IOT設備下載軟體更新時沒有使用加密；

讀一下網上關於物聯網安全的報道，我們會發現很多與安全相關的駭人聽聞的事件，例如：汽車被黑客遠程操縱而失控；攝像頭被入侵而遭偷窺；聯網的烤箱被惡意控制干燒；洗衣機空轉；美國製造零日漏洞病毒，利用「震網」攻入伊朗核電站，破壞伊朗核實施計劃等，這些信息安全問題已經影響到了我們的人身、財產、生命安全乃至國家安全。

2.1．物聯網通信協議安全

需要物聯網廠商提供協議訪問API介面，以及訪問證書，這樣可以更全面的監控物聯網設備，更好判斷異常現象。針對MQTT 協議，如果是XMPP，建議不要使用這種不支持TLS的物聯網協議，協議本身就缺乏安全考慮。自由協議，建議是站在巨人的肩膀上做事情，自己造輪子會存在很多缺陷，所以不建議用。如果出於成本考慮，協議本身建議增加部分安全限制。

2.2．物聯網設備安全現狀

2.2.1. IOT設備通用漏洞按廠商排名

2016年CNVD收錄IOT設備漏洞 1117個，漏洞涉及Cisco、Huawei、Google 、Moxa等廠商。其中，傳統網路設備廠商思科（Cisco）設備漏洞356條，佔全年 IOT設備漏洞的32%；華為（Huawei）位列第二，共收錄155 條；安卓系統提供商谷歌（Google）位列第三，工業設備產品提供廠商摩莎科技（Moxa）、西門子（Siemens ）分列第四和第五。

2.2.2. IOT設備通用漏洞按風險技術類型分布

2016年CNVD收錄IOT設備漏洞類型分別為許可權繞過、拒絕服務、信息泄露、跨站、命令執行、緩衝區溢出、 SQL注入、弱口令、設計缺陷等漏洞。其中，許可權繞過、拒絕服務、信息泄露漏洞數量位列前三，分別占收錄漏洞總數的23%，19%， 13%。而對於弱口令（或內置默認口令）漏洞，雖然在統計比例中漏洞條數佔比不大（2%），但實際影響卻十分廣泛，成為惡意代碼攻擊利用的重要風險點。

2.2.3. IOT設備通用漏洞按設備標籤類型分布

2016年CNVD公開收錄1117個 IOT設備漏洞中，影響設備的類型（以標籤定義）包括網路攝像頭、路由器、手機設備、防火牆、網關設備、交換機等。其中，網路攝像頭、路由器、手機設備漏洞數量位列前三，分別占公開收錄漏洞總數的10%，9% ，5%。

2.2.4. IOT設備事件型漏洞按設備標籤類型分布

根據CNVD白帽子、補天平台以及漏洞盒子等來源的匯總信息，2016 年CNVD收錄IOT設備事件型漏洞540個。與通用軟硬體漏洞影響設備標籤類型有所不同，主要涉及交換機、路由器、網關設備、 GPS設備、手機設備、智能監控平台、網路攝像頭、印表機、一卡通產品等。其中，GPS設備、一卡通產品、網路攝像頭漏洞數量位列前三，分別占公開收錄漏洞總數的22% ，7%，7%。值得注意的是，目前政府、高校以及相關行業單位陸續建立一些與交通、環境、能源、校園管理相關的智能監控平台，這些智能監控平台漏洞佔比雖然較少（ 2%），但一旦被黑客攻擊，帶來的實際威脅卻是十分嚴重的。

2.2.5. 傳統網路設備漏洞收錄統計

根據CNVD平台近五年公開發布的網路設備（含路由器、交換機、防火牆以及傳統網路設備網關等產品）漏洞數量分布分析，傳統網路設備漏洞數量總體呈上升趨勢。 2016年CNVD公開發布的網路設備漏洞697條，與去年環比增加27% 。

2.2.6. 典型IOT設備漏洞案例

Android NVIDIA攝像頭驅動程序許可權獲取漏洞

Lexmark印表機競爭條件漏洞

格爾安全認證網關係統存在多處命令執行漏洞

多款mtk平台手機廣升FOTA服務存在system 許可權提升漏洞（魅魔漏洞）

Android MediaTek GPS驅動提權漏洞

多款Sony網路攝像頭產品存在後門賬號風險

網件Netgear多款路由器存在任意命令注入漏洞

Pulse Secure Desktop Client(Juniper Junos Pulse)許可權提升漏洞

Cisco ASA Software IKE密鑰交換協議緩衝區溢出漏洞

Fortigate防火牆存在SSH認證「後門」漏洞

2.3. 雲安全

黑客入侵智能設備並不難，很多時候它們不需要知道物聯網智能設備有哪些功能以及如何運作的。只要它們能進入與智能設備連接的相關網站，他們就能操控物聯網設備，而設備連接的網站通常都部署在雲端，因此保護好雲端安全也是保護好物聯網安全的關鍵環節，雲端一般包含三部分：web 前台+web後台+中間件。

根據對2016年雲產品的調研，發現雲安全主要有十二大威脅，雲服務客戶和提供商可以根據這些威脅調整防禦策略。

近年來，雲端應用安全事件頻發。

2.3.1. 資料庫信息泄露

案例：

某雲平台是面向個人、企業和政府的雲計算服務，206年3 月被曝出存在門戶管理後台及系統管理員賬戶弱口令，通過登錄賬號可查看數十萬用戶的個人信息。通過獲取的用戶個人賬戶密碼能夠登錄客戶應用平台，查看應用配置信息，然後獲取業務安裝包、代碼及密鑰數據等敏感信息，進一步獲取資料庫訪問許可權、篡改記錄、偽造交易、癱瘓系統等。這樣一次看似簡單的數據泄露事件，發生在雲平台門戶，造成的影響非比尋常。

產生原因：

賬戶弱口令容易被暴力破解。

預防：

增加密碼複雜度，設置好記難猜的密碼。

2.3.2. 服務配置信息明文存儲在雲上

案例：

2014年8月，專業從事Paas服務的某雲被曝出由於伺服器許可權設置不當，導致可使用木馬通過後台查看不同客戶存放在雲上的服務配置信息，包括 WAR包、資料庫配置文件等，給託管客戶的應用服務帶來了巨大的安全隱患。

產生原因：

雲服務商的伺服器許可權設置不當。

預防：

使用雲平台的用戶加密存儲放在雲上的服務配置信息。

2.3.3. 虛擬化漏洞

案例：

「傳送門事件」—越界讀取內存導致跨虛機執行任意代碼。

產生原因：

雲平台的虛擬化漏洞導致能夠在宿主機上進行越界內存讀取和寫入，從而實現虛擬機逃逸。

預防：

經調研，大部分雲端的威脅風險都來自於雲服務提供商自身的平台漏洞，但云服務使用者過於簡單的應用部署以及對敏感數據保護的不重視，也是導致威脅風險的重要原因。

對於雲服務使用者，不能把安全防護完全寄托在雲服務提供商身上，必須考慮自保。雲服務使用方需要重點保護其雲端應用核心代碼、關鍵數據及其系統訪問安全，可分別從雲端代碼加固、數據安全保護、雲端安全接入三個維度，設計一套安全防護體系。

雲服務使用者在應用層面對其雲端代碼、數據及系統接入進行安全保護，保證雲端應用在不可信環境下的安全。雲服務商需要進行雲平台基礎設施安全保護，提供雲平台虛擬化、網路、配置、漏洞等多方面的安全保護功能。

構建雲端安全可信的運行環境，需要雲服務提供商和使用者的共同努力，加大黑客進入與物聯網設備連接的網站的難度，進而提升物聯網安全度。

三．企業安全

3.1．為什麼做安全？

企業做安全的驅動力主要源於以下幾個方面：

1).面臨來自各方面的安全威脅

譬如：外部黑客、網路黑產、競爭對手、內鬼等

2).面臨各種安全挑戰

譬如：安全漏洞、網路攻擊、勒索、敏感信息泄露等

3).安全問題會對公司運營、業務發展造成不良影響

譬如：經濟損失、用戶流失、財產損失、聲譽受損、公信力下降等

3.2．企業需要什麼樣的安全？

雖然各個企業由於自身業務特性有所不同，但還是有很多共性的，例如：

1).數據安全

數據安全是所有互聯網公司最核心的安全需求，也是大多數網路企業高管最為關注的安全問題。目標是保障企業敏感數據的安全、可控。

2).在攻防對抗中佔據主動地位

能夠掌握企業整體的安全態勢，可主動發現潛在安全風險，及時知道誰、什麼時間、做過什麼樣的攻擊、攻擊是否成功、目標系統受影響程度，並且在第一時間內解決遇到的安全問題。

3).保障業務安全、連續、可用

儘可能降低因網路攻擊造成業務系統受影響的安全風險，比如最常見的DDOS、CC 攻擊。

3.3．如何做好安全？

1).樹立正確的安全觀

安全是相對的。企業絕不是做一次滲透測試、找安全公司提供個安全解決方案或者購買一些安全產品及服務就可以搞定的事情。安全是一個整體的、動態的、需要長期做且持續投入的事情。

2).企業安全完整視角

互聯網企業安全包含以下幾大部分：

人們總想著把任何東西都交給互聯網，但往往會發生嚴重的安全錯誤。目前，我們還處於物聯網早期，很多東西並未聯網。但一旦它們互通互聯，無論對普通用戶還是對黑客來說，都會有非常大的利用價值。這就要求公司應當把安全因素排在首位，將保護措施植入到設備中。大多數錯誤是由於安全目標不明確，缺乏經驗和意識。我們必須採取安全的物聯網策略，而不是期望它們主動來給我們安全。面對物聯網的安全危機，物聯網智能設備廠商進行安全建設時可參考以下建議：

1. 對生產的智能產品進行全面的安全審計；

2. 企業生產IOT產品前需要部署基本的安全標準；

3. 將安全融入產品生命周期，在產品還處於設計階段就接受隱私和風險評估認證，比如當用戶在使用可能有安全隱患的網路時，強制他們修改密碼或開啟加密服務；

針對傳統的連接互聯網的網路以及傳統的雲端架構還是需要使用傳統邊界防護解決方案。

a.)帶防火牆模塊硬體IPS：可以限制App 訪問的埠，對傳統的SQLi、XSS等做檢測；

b.)WAF：web應用防火牆，主要是通過上下文語義關聯對 OWASP Top 10攻擊類型做檢查和阻斷；

c.)定期對後端web應用、資料庫伺服器、物聯網大數據分析平台等做操作系統、中間件、資料庫漏洞掃描。建議配合滲透測試發現更多問題。

調研了各個物聯網安全公司，發現它們大致的解決方案如下：

a.)對IOT設備進行資產管理

快速發現連接到網路的IoT設備；

已經連接的IoT設備可視化；

配置檢測、基線檢測；