綠盟「教」我當了一次物聯網黑客

以前，為了展現物聯網攻擊的危害，我總是要想很多故事講給你們聽，比如小紅在家洗澡，一言不合被破解後攝像頭直播；老張的媳婦出軌黑客老王，老王密謀控制老張高速行駛的物聯網汽車，來個緊急制動，車毀人亡，摟著媳婦把家還……

哦喲喲，這些故事都好沒有節操。

於是，我打算洗心革面，重新做人。。。不，講故事。

最近，雷鋒網的同事寫了一篇《剛剛，阿里宣布全面進軍一條新的主賽道》，講了講阿里將全面進軍物聯網領域，就輕鬆達到5W+閱讀量，哼，我不服！

我要寫一篇「懟文」：黑客到底如何對物聯網發起攻擊，整個攻擊鏈是怎樣。

於是，我請教了綠盟科技的幾位專家（楊傳安、李東宏等人）。

我：老師，如果我想當黑客攻擊物聯網設備，應該怎麼做。

李東宏：你應該。。。現在就打消這個念頭，不然我們就用技術反制你，然後和警察蜀黍打配合，抓住你。。。

我：不要這麼認真，我們假設下，那些安全研究人員還教我「不知攻，焉知防」呢，是吧？（套路。。。）

李東宏：你這麼說也有點道理，好吧，我們先來看下。

********

一、黑客怎麼攻入你的攝像頭/印表機/互聯網汽車/。。。。。

第一步：設備選型

原則1：假如我是一個黑客，當然為了利益最大化，要選擇選一個市場佔有量較大的廠商。

原則2：尋找市場佔有量較高的設備型號。如果我找到一個漏洞，能一下拿下市場上10萬，甚至100萬台設備，簡直就是隔山打牛，坐擁肉雞。不然，我吭哧吭哧花了五萬塊，結果就獲益5000塊，不是費力不討好嘛。

原則3：雖然一個物聯網設備廠商推出了很多型號的同類產品，但往往用的是同一套系統，不同的宏開關，比如，網路攝像頭的漏洞可能在多媒體攝像機中存在。所以，黑客會關注歷年漏洞信息，老漏洞新用，或者在漏洞被修復前打個時間差用一用都是有可能的。

原則4：要看廠商是否有相關的安全團隊或者合作公司支持，如果我只是一個菜鳥黑客，剛學會了皮毛，就被黑客大牛反制，大概就會「出師未捷身先死」了。或者，這種物聯網設備可能漏洞數量會較少，人家早發現早補完了，難道留著漏洞給你過年？

第二步：本地漏洞挖掘

選好型，拿到設備的第一手動作，當然是把設備拆開，獲得固件。

目標點1：獲取設備指紋，因為它將告訴一個黑客，這個設備在互聯網上的資產暴露情況。

目標點2：拆解固件，找到設備的後門指令或弱口令，所謂後門口令，就是粗心的廠家在發布產品時沒有把調試版本里的口令去掉，而弱口令，就是出廠口令，比如1234567、000000，但是粗心的用戶沒有安全意識，覺得初始口令比較好記。

目標點3：進入 WEB 界面，突破管理員限制，挖掘其中的未授權漏洞，控制物聯網設備。通過WEB 界面，還可以了解用戶泄露的賬戶信息。

目標點4：分析設備是否有對外的安全服務，利用弱口令和安全服務，就可以控制物聯網設備。

目標點5：分析是否有公開漏洞測試，比如，如果是一個LINUX系統，它經常有一些漏洞公布，假如我是一個黑客，只要到網上尋找相關的漏洞和利用工具，就能開幹了。

第三步：工具製作

拿下一種物聯網設備，肯定是為了利益轉換，那麼，接下來黑客就會開始寫工具了。

工具1：資產識別工具，通過對一種設備進行分析，然後掃蕩整個互聯網上的相同設備。

工具2：漏洞利用工具，利用現有框架，或者自己編寫一個獨立的漏洞利用小工具。

第四步：資產統計

這些工具做好後，黑客會進行二次掃描和情報監測，評估漏洞在互聯網的可控制量，以便隨後輸出一個利益評估的價值體系，也就是傳說中的「定價」了！

第五步：利益轉換

一般來說，黑客會售賣利用工具、設備信息、控制設備。

二、物聯網設備哪裡最弱

假如我是一個黑客，肯定會尋找設備最弱的地方開始突破。

弱點1：在第二步「本地漏洞挖掘」中，其實拆開硬體設備後，會出現兩個介面：JTAG 和 串口。

JTAG 會控制 CPU 的狀態，進行代碼調試，也可以發起程序，載入固件等。為了提升效率，會使用串口進行調試，調試信息可通過串口列印到屏幕上，可包含內核的載入地址、內存大小、文件系統的載入地址和文件系統的大小等。

弱點2：弱口令。

弱口令的誕生一般是因為用戶沒有修改廠商初始密碼，或者用戶自行設置的弱密碼，攻擊者可以搜集用戶名和密碼列表，也就是把常用的用戶名和密碼找出來，放到掃描工具和代碼中。

劃重點來了：不要把自己的生日設置成密碼，尤其是不滿8位數的密碼，這等於送羊入虎口。

弱點3：信息泄露

設備信息包含設備型號、平台、操作系統、硬體版本，會泄露用戶認證信息，比如用戶名和加密密碼演算法。

拿到用戶名和密碼演算法，黑客會到 CMD5 網站或者通過運算進行暴力破解，獲得加密密碼的明文，從而控制設備。

弱點4：未授權訪問

直連模式直接獲得最高許可權，後門賬戶可讓黑客直接登錄後台。還有一點是，設計缺陷可能讓黑客直接無認證進入操作平台，軟體漏洞也可導致攻擊者越權訪問。

弱點5：遠程代碼執行

輸入參數沒有嚴格過濾與校驗。

弱點6：中間人攻擊

黑客可利用兩種模式：監聽模式和篡改模式，現在有些物聯網設備由於計算能力限制，導致通訊以明文傳輸方式進行，監聽模式可以拿到一些數據，比如賬戶認證信息，而用得比較多的篡改方式是 HTTPS 解密。

弱點7：雲(端)模式

現在為了便利，一些設備可通過手機連上雲端控制設備，黑客可對雲平台進行安全測試，拿到弱口令等，還可通過中間人攻擊模擬終端給雲端發送指令。

三、安全建議

當然，「教我當黑客」只是一個玩笑，換位思考看，如果我是一名攻擊者，竟然能有這麼多方法搞到設備+獲利，反推一下，如果要保護自家物聯網設備安全，應該針對這些可能的攻擊措施做些什麼？

1.對用戶：

修改初始口令以及弱口令，加固用戶名和密碼的安全性；

關閉不用的埠，如FTP（21埠）、SSH（22埠）、Telnet（23埠）等；

修改默認埠為不常用埠，增大埠開放協議被探測的難度；

升級設備固件；

部署廠商提供的安全解決方案

2.對物聯網廠商：

對於設備的首次使用可強制用戶修改初始密碼，並且對用戶密碼的複雜性進行檢測；

提供設備固件的自動在線升級方式，降低暴露在互聯網的設備的安全風險；

默認配置應遵循最小開放埠的原則，減少埠暴露在互聯網的可能性；

設置訪問控制規則，嚴格控制從互聯網發起的訪問；

與安全廠商合作，在設備層和網路層進行加固。

（以上建議摘選自綠盟科技發布的《2017物聯網安全年報》）

四、思考

在雷鋒網同事發出的那篇阿里新賽道的文章中，我發現阿里雲也在物聯網領域方面進行了安全能力的建設。

再加上之前小米、百度、360、騰訊等在物聯網安全上的動作，我總覺得一個「時候」到了。

但是，我想起了曾經採訪過的威脅獵人 CEO 老畢的故事。

2014 年下半年，老畢做了第二個創業項目：物聯網安全。但他很快發現，這個其實在商業上面很難落地。「這個行業有很多問題，有些在某個階段沒有商業價值。我接觸到這個行業，發現這個行業是很苦逼的狀態。很多公司拿了上百萬人民幣，這個產品能最終做出來，再賣那麼一兩批，已經不錯了。你跟他說加一個什麼安全，他覺得你瘋了。」老畢說。

2015 年中旬，老畢在這個創業項目上倉皇撤退。

3 月 27 日，綠盟科技物聯網專家楊傳安告訴我，綠盟的物聯網解決方案布局在這三方面：一是持續的安全檢查，漏洞和弱密碼檢查與固件升級的閉環管理；二是針對蠕蟲傳播，在網路上進行阻斷和入侵防護，避免更多節點被感染，並清洗惡意的攻擊流量；三是接入層的准入控制，最後是物聯網的態勢感知平台。

我立馬問了他一個問題：你們主要是賺誰的錢，在哪些行業落地？

事實上，他們在上面那份白皮書中早已有一份「可能」的列表：物聯網設備提供商、物聯網平台提供商、物聯網網路提供商（運營商）、物聯網應用提供商、物聯網用戶等。

但是，楊告訴我：「目前看，近年來由政府主導的視頻監控項目，類似天網工程，對設備終端有強准入控制要求，對安全風險管控也有明確要求，這個方案落地極快；另外，運營商建設物聯網專網，也會有類似移動互聯網對公共網路的安全監管要求，同時運營商自營物聯網業務的安全運營需求，也會是項目落地的主方向。」

這個答案沒有超出我的預期。三年後，大若綠盟，在物聯網安全領域，依然在艱難地開墾，to C 的錢暫時不要想，to B 的錢依然難賺但有前景，to G 則是撬動這個市場的一個入口。

楊認可了這一點。但這並不是綠盟一家在開墾物聯網安全市場時遇到的困境，而是市場大環境如此。他依然充滿信心，希冀通過 G 端能夠在物聯網安全上有所建樹，他相信，引路人的工作不可缺少，未來有一天人們會越了解及認可物聯網安全的重要性。

誰說不可能呢？我們終將進入一個萬物互聯的未來。

雷鋒網註：綠盟科技物聯網專家張星、劉弘利、劉文懋等對此次採訪亦有貢獻。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！