以前，為了展現(xiàn)物聯(lián)網(wǎng)攻擊的危害，我總是要想很多故事講給你們聽，比如小紅在家洗澡，一言不合被破解后攝像頭直播；老張的媳婦出軌黑客老王，老王密謀控制老張高速行駛的物聯(lián)網(wǎng)汽車，來個緊急制動，車毀人亡，摟著媳婦把家還……

哦喲喲，這些故事都好沒有節(jié)操。

于是，我打算洗心革面，重新做人。。。不，講故事。

最近，雷鋒網(wǎng)的同事寫了一篇《剛剛，阿里宣布全面進(jìn)軍一條新的主賽道》，講了講阿里將全面進(jìn)軍物聯(lián)網(wǎng)領(lǐng)域，就輕松達(dá)到5W+閱讀量，哼，我不服！我要寫一篇“懟文”：黑客到底如何對物聯(lián)網(wǎng)發(fā)起攻擊，整個攻擊鏈?zhǔn)窃鯓印?/p>

于是，我請教了綠盟科技的幾位專家（楊傳安、李東宏等人）。

我：老師，如果我想當(dāng)黑客攻擊物聯(lián)網(wǎng)設(shè)備，應(yīng)該怎么做。

李東宏：你應(yīng)該。?！，F(xiàn)在就打消這個念頭，不然我們就用技術(shù)反制你，然后和警察蜀黍打配合，抓住你。。。

我：不要這么認(rèn)真，我們假設(shè)下，那些安全研究人員還教我“不知攻，焉知防”呢，是吧？（套路。。。）

李東宏：你這么說也有點道理，好吧，我們先來看下。

********

一、黑客怎么攻入你的攝像頭/打印機(jī)/互聯(lián)網(wǎng)汽車/。。。。。

第一步：設(shè)備選型

原則1：假如我是一個黑客，當(dāng)然為了利益最大化，要選擇選一個市場占有量較大的廠商。

原則2：尋找市場占有量較高的設(shè)備型號。如果我找到一個漏洞，能一下拿下市場上10萬，甚至100萬臺設(shè)備，簡直就是隔山打牛，坐擁肉雞。不然，我吭哧吭哧花了五萬塊，結(jié)果就獲益5000塊，不是費力不討好嘛。

原則3：雖然一個物聯(lián)網(wǎng)設(shè)備廠商推出了很多型號的同類產(chǎn)品，但往往用的是同一套系統(tǒng)，不同的宏開關(guān)，比如，網(wǎng)絡(luò)攝像頭的漏洞可能在多媒體攝像機(jī)中存在。所以，黑客會關(guān)注歷年漏洞信息，老漏洞新用，或者在漏洞被修復(fù)前打個時間差用一用都是有可能的。

原則4：要看廠商是否有相關(guān)的安全團(tuán)隊或者合作公司支持，如果我只是一個菜鳥黑客，剛學(xué)會了皮毛，就被黑客大牛反制，大概就會“出師未捷身先死”了?；蛘?，這種物聯(lián)網(wǎng)設(shè)備可能漏洞數(shù)量會較少，人家早發(fā)現(xiàn)早補(bǔ)完了，難道留著漏洞給你過年？

第二步：本地漏洞挖掘

選好型，拿到設(shè)備的第一手動作，當(dāng)然是把設(shè)備拆開，獲得固件。

目標(biāo)點1：獲取設(shè)備指紋，因為它將告訴一個黑客，這個設(shè)備在互聯(lián)網(wǎng)上的資產(chǎn)暴露情況。

目標(biāo)點2：拆解固件，找到設(shè)備的后門指令或弱口令，所謂后門口令，就是粗心的廠家在發(fā)布產(chǎn)品時沒有把調(diào)試版本里的口令去掉，而弱口令，就是出廠口令，比如1234567、000000，但是粗心的用戶沒有安全意識，覺得初始口令比較好記。

目標(biāo)點3：進(jìn)入 WEB 界面，突破管理員限制，挖掘其中的未授權(quán)漏洞，控制物聯(lián)網(wǎng)設(shè)備。通過WEB 界面，還可以了解用戶泄露的賬戶信息。

目標(biāo)點4：分析設(shè)備是否有對外的安全服務(wù)，利用弱口令和安全服務(wù)，就可以控制物聯(lián)網(wǎng)設(shè)備。

目標(biāo)點5：分析是否有公開漏洞測試，比如，如果是一個LINUX系統(tǒng)，它經(jīng)常有一些漏洞公布，假如我是一個黑客，只要到網(wǎng)上尋找相關(guān)的漏洞和利用工具，就能開干了。

第三步：工具制作

拿下一種物聯(lián)網(wǎng)設(shè)備，肯定是為了利益轉(zhuǎn)換，那么，接下來黑客就會開始寫工具了。

工具1：資產(chǎn)識別工具，通過對一種設(shè)備進(jìn)行分析，然后掃蕩整個互聯(lián)網(wǎng)上的相同設(shè)備。

工具2：漏洞利用工具，利用現(xiàn)有框架，或者自己編寫一個獨立的漏洞利用小工具。

第四步：資產(chǎn)統(tǒng)計

這些工具做好后，黑客會進(jìn)行二次掃描和情報監(jiān)測，評估漏洞在互聯(lián)網(wǎng)的可控制量，以便隨后輸出一個利益評估的價值體系，也就是傳說中的“定價”了！

第五步：利益轉(zhuǎn)換

一般來說，黑客會售賣利用工具、設(shè)備信息、控制設(shè)備。

二、物聯(lián)網(wǎng)設(shè)備哪里最弱

假如我是一個黑客，肯定會尋找設(shè)備最弱的地方開始突破。

弱點1：在第二步“本地漏洞挖掘”中，其實拆開硬件設(shè)備后，會出現(xiàn)兩個接口：JTAG 和 串口。

JTAG 會控制 CPU 的狀態(tài)，進(jìn)行代碼調(diào)試，也可以發(fā)起程序，加載固件等。為了提升效率，會使用串口進(jìn)行調(diào)試，調(diào)試信息可通過串口打印到屏幕上，可包含內(nèi)核的加載地址、內(nèi)存大小、文件系統(tǒng)的加載地址和文件系統(tǒng)的大小等。

弱點2：弱口令。

弱口令的誕生一般是因為用戶沒有修改廠商初始密碼，或者用戶自行設(shè)置的弱密碼，攻擊者可以搜集用戶名和密碼列表，也就是把常用的用戶名和密碼找出來，放到掃描工具和代碼中。

劃重點來了：不要把自己的生日設(shè)置成密碼，尤其是不滿8位數(shù)的密碼，這等于送羊入虎口。

弱點3：信息泄露

設(shè)備信息包含設(shè)備型號、平臺、操作系統(tǒng)、硬件版本，會泄露用戶認(rèn)證信息，比如用戶名和加密密碼算法。

拿到用戶名和密碼算法，黑客會到 CMD5 網(wǎng)站或者通過運算進(jìn)行暴力破解，獲得加密密碼的明文，從而控制設(shè)備。

弱點4：未授權(quán)訪問

直連模式直接獲得最高權(quán)限，后門賬戶可讓黑客直接登錄后臺。還有一點是，設(shè)計缺陷可能讓黑客直接無認(rèn)證進(jìn)入操作平臺，軟件漏洞也可導(dǎo)致攻擊者越權(quán)訪問。

弱點5：遠(yuǎn)程代碼執(zhí)行

輸入?yún)?shù)沒有嚴(yán)格過濾與校驗。

弱點6：中間人攻擊

黑客可利用兩種模式：監(jiān)聽模式和篡改模式，現(xiàn)在有些物聯(lián)網(wǎng)設(shè)備由于計算能力限制，導(dǎo)致通訊以明文傳輸方式進(jìn)行，監(jiān)聽模式可以拿到一些數(shù)據(jù)，比如賬戶認(rèn)證信息，而用得比較多的篡改方式是 HTTPS 解密。

弱點7：云(端)模式

現(xiàn)在為了便利，一些設(shè)備可通過手機(jī)連上云端控制設(shè)備，黑客可對云平臺進(jìn)行安全測試，拿到弱口令等，還可通過中間人攻擊模擬終端給云端發(fā)送指令。

三、安全建議

當(dāng)然，“教我當(dāng)黑客”只是一個玩笑，換位思考看，如果我是一名攻擊者，竟然能有這么多方法搞到設(shè)備+獲利，反推一下，如果要保護(hù)自家物聯(lián)網(wǎng)設(shè)備安全，應(yīng)該針對這些可能的攻擊措施做些什么？

1.對用戶：

修改初始口令以及弱口令，加固用戶名和密碼的安全性；

關(guān)閉不用的端口，如FTP（21端口）、SSH（22端口）、Telnet（23端口）等；

修改默認(rèn)端口為不常用端口，增大端口開放協(xié)議被探測的難度；

升級設(shè)備固件；

部署廠商提供的安全解決方案

2.對物聯(lián)網(wǎng)廠商：

對于設(shè)備的首次使用可強(qiáng)制用戶修改初始密碼，并且對用戶密碼的復(fù)雜性進(jìn)行檢測；

提供設(shè)備固件的自動在線升級方式，降低暴露在互聯(lián)網(wǎng)的設(shè)備的安全風(fēng)險；

默認(rèn)配置應(yīng)遵循最小開放端口的原則，減少端口暴露在互聯(lián)網(wǎng)的可能性；

設(shè)置訪問控制規(guī)則，嚴(yán)格控制從互聯(lián)網(wǎng)發(fā)起的訪問；

與安全廠商合作，在設(shè)備層和網(wǎng)絡(luò)層進(jìn)行加固。

（以上建議摘選自綠盟科技發(fā)布的《2017物聯(lián)網(wǎng)安全年報》）

四、思考

在雷鋒網(wǎng)同事發(fā)出的那篇阿里新賽道的文章中，我發(fā)現(xiàn)阿里云也在物聯(lián)網(wǎng)領(lǐng)域方面進(jìn)行了安全能力的建設(shè)。

再加上之前小米、百度、360、騰訊等在物聯(lián)網(wǎng)安全上的動作，我總覺得一個“時候”到了。

但是，我想起了曾經(jīng)采訪過的威脅獵人 CEO 老畢的故事。

2014 年下半年，老畢做了第二個創(chuàng)業(yè)項目：物聯(lián)網(wǎng)安全。但他很快發(fā)現(xiàn)，這個其實在商業(yè)上面很難落地?！斑@個行業(yè)有很多問題，有些在某個階段沒有商業(yè)價值。我接觸到這個行業(yè)，發(fā)現(xiàn)這個行業(yè)是很苦逼的狀態(tài)。很多公司拿了上百萬人民幣，這個產(chǎn)品能最終做出來，再賣那么一兩批，已經(jīng)不錯了。你跟他說加一個什么安全，他覺得你瘋了?！崩袭呎f。

2015 年中旬，老畢在這個創(chuàng)業(yè)項目上倉皇撤退。

3 月 27 日，綠盟科技物聯(lián)網(wǎng)專家楊傳安告訴我，綠盟的物聯(lián)網(wǎng)解決方案布局在這三方面：一是持續(xù)的安全檢查，漏洞和弱密碼檢查與固件升級的閉環(huán)管理；二是針對蠕蟲傳播，在網(wǎng)絡(luò)上進(jìn)行阻斷和入侵防護(hù)，避免更多節(jié)點被感染，并清洗惡意的攻擊流量；三是接入層的準(zhǔn)入控制，最后是物聯(lián)網(wǎng)的態(tài)勢感知平臺。

我立馬問了他一個問題：你們主要是賺誰的錢，在哪些行業(yè)落地？

事實上，他們在上面那份白皮書中早已有一份“可能”的列表：物聯(lián)網(wǎng)設(shè)備提供商、物聯(lián)網(wǎng)平臺提供商、物聯(lián)網(wǎng)網(wǎng)絡(luò)提供商（運營商）、物聯(lián)網(wǎng)應(yīng)用提供商、物聯(lián)網(wǎng)用戶等。

但是，楊告訴我：“目前看，近年來由政府主導(dǎo)的視頻監(jiān)控項目，類似天網(wǎng)工程，對設(shè)備終端有強(qiáng)準(zhǔn)入控制要求，對安全風(fēng)險管控也有明確要求，這個方案落地極快；另外，運營商建設(shè)物聯(lián)網(wǎng)專網(wǎng)，也會有類似移動互聯(lián)網(wǎng)對公共網(wǎng)絡(luò)的安全監(jiān)管要求，同時運營商自營物聯(lián)網(wǎng)業(yè)務(wù)的安全運營需求，也會是項目落地的主方向?！?/p>

這個答案沒有超出我的預(yù)期。三年后，大若綠盟，在物聯(lián)網(wǎng)安全領(lǐng)域，依然在艱難地開墾，to C 的錢暫時不要想，to B 的錢依然難賺但有前景，to G 則是撬動這個市場的一個入口。

楊認(rèn)可了這一點。但這并不是綠盟一家在開墾物聯(lián)網(wǎng)安全市場時遇到的困境，而是市場大環(huán)境如此。他依然充滿信心，希冀通過 G 端能夠在物聯(lián)網(wǎng)安全上有所建樹，他相信，引路人的工作不可缺少，未來有一天人們會越了解及認(rèn)可物聯(lián)網(wǎng)安全的重要性。

誰說不可能呢？我們終將進(jìn)入一個萬物互聯(lián)的未來。

雷鋒網(wǎng)注：綠盟科技物聯(lián)網(wǎng)專家張星、劉弘利、劉文懋等對此次采訪亦有貢獻(xiàn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。