以前，為了展現(xiàn)物聯(lián)網(wǎng)攻擊的危害，我總是要想很多故事講給你們聽，比如小紅在家洗澡，一言不合被破解后攝像頭直播；老張的媳婦出軌黑客老王，老王密謀控制老張高速行駛的物聯(lián)網(wǎng)汽車，來個緊急制動，車毀人亡，摟著媳婦把家還……

哦喲喲，這些故事都好沒有節(jié)操。

于是，我打算洗心革面，重新做人。。。不，講故事。

最近，雷鋒網(wǎng)的同事寫了一篇《剛剛，阿里宣布全面進軍一條新的主賽道》，講了講阿里將全面進軍物聯(lián)網(wǎng)領域，就輕松達到5W+閱讀量，哼，我不服！我要寫一篇“懟文”：黑客到底如何對物聯(lián)網(wǎng)發(fā)起攻擊，整個攻擊鏈是怎樣。

于是，我請教了綠盟科技的幾位專家（楊傳安、李東宏等人）。

我：老師，如果我想當黑客攻擊物聯(lián)網(wǎng)設備，應該怎么做。

李東宏：你應該。。?，F(xiàn)在就打消這個念頭，不然我們就用技術(shù)反制你，然后和警察蜀黍打配合，抓住你。。。

我：不要這么認真，我們假設下，那些安全研究人員還教我“不知攻，焉知防”呢，是吧？（套路。。。）

李東宏：你這么說也有點道理，好吧，我們先來看下。

********

一、黑客怎么攻入你的攝像頭/打印機/互聯(lián)網(wǎng)汽車/。。。。。

第一步：設備選型

原則1：假如我是一個黑客，當然為了利益最大化，要選擇選一個市場占有量較大的廠商。

原則2：尋找市場占有量較高的設備型號。如果我找到一個漏洞，能一下拿下市場上10萬，甚至100萬臺設備，簡直就是隔山打牛，坐擁肉雞。不然，我吭哧吭哧花了五萬塊，結(jié)果就獲益5000塊，不是費力不討好嘛。

原則3：雖然一個物聯(lián)網(wǎng)設備廠商推出了很多型號的同類產(chǎn)品，但往往用的是同一套系統(tǒng)，不同的宏開關(guān)，比如，網(wǎng)絡攝像頭的漏洞可能在多媒體攝像機中存在。所以，黑客會關(guān)注歷年漏洞信息，老漏洞新用，或者在漏洞被修復前打個時間差用一用都是有可能的。

原則4：要看廠商是否有相關(guān)的安全團隊或者合作公司支持，如果我只是一個菜鳥黑客，剛學會了皮毛，就被黑客大牛反制，大概就會“出師未捷身先死”了?；蛘?，這種物聯(lián)網(wǎng)設備可能漏洞數(shù)量會較少，人家早發(fā)現(xiàn)早補完了，難道留著漏洞給你過年？

第二步：本地漏洞挖掘

選好型，拿到設備的第一手動作，當然是把設備拆開，獲得固件。

目標點1：獲取設備指紋，因為它將告訴一個黑客，這個設備在互聯(lián)網(wǎng)上的資產(chǎn)暴露情況。

目標點2：拆解固件，找到設備的后門指令或弱口令，所謂后門口令，就是粗心的廠家在發(fā)布產(chǎn)品時沒有把調(diào)試版本里的口令去掉，而弱口令，就是出廠口令，比如1234567、000000，但是粗心的用戶沒有安全意識，覺得初始口令比較好記。

目標點3：進入 WEB 界面，突破管理員限制，挖掘其中的未授權(quán)漏洞，控制物聯(lián)網(wǎng)設備。通過WEB 界面，還可以了解用戶泄露的賬戶信息。

目標點4：分析設備是否有對外的安全服務，利用弱口令和安全服務，就可以控制物聯(lián)網(wǎng)設備。

目標點5：分析是否有公開漏洞測試，比如，如果是一個LINUX系統(tǒng)，它經(jīng)常有一些漏洞公布，假如我是一個黑客，只要到網(wǎng)上尋找相關(guān)的漏洞和利用工具，就能開干了。

第三步：工具制作

拿下一種物聯(lián)網(wǎng)設備，肯定是為了利益轉(zhuǎn)換，那么，接下來黑客就會開始寫工具了。

工具1：資產(chǎn)識別工具，通過對一種設備進行分析，然后掃蕩整個互聯(lián)網(wǎng)上的相同設備。

工具2：漏洞利用工具，利用現(xiàn)有框架，或者自己編寫一個獨立的漏洞利用小工具。

第四步：資產(chǎn)統(tǒng)計

這些工具做好后，黑客會進行二次掃描和情報監(jiān)測，評估漏洞在互聯(lián)網(wǎng)的可控制量，以便隨后輸出一個利益評估的價值體系，也就是傳說中的“定價”了！

第五步：利益轉(zhuǎn)換

一般來說，黑客會售賣利用工具、設備信息、控制設備。

二、物聯(lián)網(wǎng)設備哪里最弱

假如我是一個黑客，肯定會尋找設備最弱的地方開始突破。

弱點1：在第二步“本地漏洞挖掘”中，其實拆開硬件設備后，會出現(xiàn)兩個接口：JTAG 和 串口。

JTAG 會控制 CPU 的狀態(tài)，進行代碼調(diào)試，也可以發(fā)起程序，加載固件等。為了提升效率，會使用串口進行調(diào)試，調(diào)試信息可通過串口打印到屏幕上，可包含內(nèi)核的加載地址、內(nèi)存大小、文件系統(tǒng)的加載地址和文件系統(tǒng)的大小等。

弱點2：弱口令。

弱口令的誕生一般是因為用戶沒有修改廠商初始密碼，或者用戶自行設置的弱密碼，攻擊者可以搜集用戶名和密碼列表，也就是把常用的用戶名和密碼找出來，放到掃描工具和代碼中。

劃重點來了：不要把自己的生日設置成密碼，尤其是不滿8位數(shù)的密碼，這等于送羊入虎口。

弱點3：信息泄露

設備信息包含設備型號、平臺、操作系統(tǒng)、硬件版本，會泄露用戶認證信息，比如用戶名和加密密碼算法。

拿到用戶名和密碼算法，黑客會到 CMD5 網(wǎng)站或者通過運算進行暴力破解，獲得加密密碼的明文，從而控制設備。

弱點4：未授權(quán)訪問

直連模式直接獲得最高權(quán)限，后門賬戶可讓黑客直接登錄后臺。還有一點是，設計缺陷可能讓黑客直接無認證進入操作平臺，軟件漏洞也可導致攻擊者越權(quán)訪問。

弱點5：遠程代碼執(zhí)行

輸入?yún)?shù)沒有嚴格過濾與校驗。

弱點6：中間人攻擊

黑客可利用兩種模式：監(jiān)聽模式和篡改模式，現(xiàn)在有些物聯(lián)網(wǎng)設備由于計算能力限制，導致通訊以明文傳輸方式進行，監(jiān)聽模式可以拿到一些數(shù)據(jù)，比如賬戶認證信息，而用得比較多的篡改方式是 HTTPS 解密。

弱點7：云(端)模式

現(xiàn)在為了便利，一些設備可通過手機連上云端控制設備，黑客可對云平臺進行安全測試，拿到弱口令等，還可通過中間人攻擊模擬終端給云端發(fā)送指令。

三、安全建議

當然，“教我當黑客”只是一個玩笑，換位思考看，如果我是一名攻擊者，竟然能有這么多方法搞到設備+獲利，反推一下，如果要保護自家物聯(lián)網(wǎng)設備安全，應該針對這些可能的攻擊措施做些什么？

1.對用戶：

修改初始口令以及弱口令，加固用戶名和密碼的安全性；

關(guān)閉不用的端口，如FTP（21端口）、SSH（22端口）、Telnet（23端口）等；

修改默認端口為不常用端口，增大端口開放協(xié)議被探測的難度；

升級設備固件；

部署廠商提供的安全解決方案

2.對物聯(lián)網(wǎng)廠商：

對于設備的首次使用可強制用戶修改初始密碼，并且對用戶密碼的復雜性進行檢測；

提供設備固件的自動在線升級方式，降低暴露在互聯(lián)網(wǎng)的設備的安全風險；

默認配置應遵循最小開放端口的原則，減少端口暴露在互聯(lián)網(wǎng)的可能性；

設置訪問控制規(guī)則，嚴格控制從互聯(lián)網(wǎng)發(fā)起的訪問；

與安全廠商合作，在設備層和網(wǎng)絡層進行加固。

（以上建議摘選自綠盟科技發(fā)布的《2017物聯(lián)網(wǎng)安全年報》）

四、思考

在雷鋒網(wǎng)同事發(fā)出的那篇阿里新賽道的文章中，我發(fā)現(xiàn)阿里云也在物聯(lián)網(wǎng)領域方面進行了安全能力的建設。

再加上之前小米、百度、360、騰訊等在物聯(lián)網(wǎng)安全上的動作，我總覺得一個“時候”到了。

但是，我想起了曾經(jīng)采訪過的威脅獵人 CEO 老畢的故事。

2014 年下半年，老畢做了第二個創(chuàng)業(yè)項目：物聯(lián)網(wǎng)安全。但他很快發(fā)現(xiàn)，這個其實在商業(yè)上面很難落地?！斑@個行業(yè)有很多問題，有些在某個階段沒有商業(yè)價值。我接觸到這個行業(yè)，發(fā)現(xiàn)這個行業(yè)是很苦逼的狀態(tài)。很多公司拿了上百萬人民幣，這個產(chǎn)品能最終做出來，再賣那么一兩批，已經(jīng)不錯了。你跟他說加一個什么安全，他覺得你瘋了。”老畢說。

2015 年中旬，老畢在這個創(chuàng)業(yè)項目上倉皇撤退。

3 月 27 日，綠盟科技物聯(lián)網(wǎng)專家楊傳安告訴我，綠盟的物聯(lián)網(wǎng)解決方案布局在這三方面：一是持續(xù)的安全檢查，漏洞和弱密碼檢查與固件升級的閉環(huán)管理；二是針對蠕蟲傳播，在網(wǎng)絡上進行阻斷和入侵防護，避免更多節(jié)點被感染，并清洗惡意的攻擊流量；三是接入層的準入控制，最后是物聯(lián)網(wǎng)的態(tài)勢感知平臺。

我立馬問了他一個問題：你們主要是賺誰的錢，在哪些行業(yè)落地？

事實上，他們在上面那份白皮書中早已有一份“可能”的列表：物聯(lián)網(wǎng)設備提供商、物聯(lián)網(wǎng)平臺提供商、物聯(lián)網(wǎng)網(wǎng)絡提供商（運營商）、物聯(lián)網(wǎng)應用提供商、物聯(lián)網(wǎng)用戶等。

但是，楊告訴我：“目前看，近年來由政府主導的視頻監(jiān)控項目，類似天網(wǎng)工程，對設備終端有強準入控制要求，對安全風險管控也有明確要求，這個方案落地極快；另外，運營商建設物聯(lián)網(wǎng)專網(wǎng)，也會有類似移動互聯(lián)網(wǎng)對公共網(wǎng)絡的安全監(jiān)管要求，同時運營商自營物聯(lián)網(wǎng)業(yè)務的安全運營需求，也會是項目落地的主方向?！?/p>

這個答案沒有超出我的預期。三年后，大若綠盟，在物聯(lián)網(wǎng)安全領域，依然在艱難地開墾，to C 的錢暫時不要想，to B 的錢依然難賺但有前景，to G 則是撬動這個市場的一個入口。

楊認可了這一點。但這并不是綠盟一家在開墾物聯(lián)網(wǎng)安全市場時遇到的困境，而是市場大環(huán)境如此。他依然充滿信心，希冀通過 G 端能夠在物聯(lián)網(wǎng)安全上有所建樹，他相信，引路人的工作不可缺少，未來有一天人們會越了解及認可物聯(lián)網(wǎng)安全的重要性。

誰說不可能呢？我們終將進入一個萬物互聯(lián)的未來。

雷鋒網(wǎng)注：綠盟科技物聯(lián)網(wǎng)專家張星、劉弘利、劉文懋等對此次采訪亦有貢獻。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。