以前，為了展現(xiàn)物聯(lián)網(wǎng)攻擊的危害，我總是要想很多故事講給你們聽(tīng)，比如小紅在家洗澡，一言不合被破解后攝像頭直播；老張的媳婦出軌黑客老王，老王密謀控制老張高速行駛的物聯(lián)網(wǎng)汽車(chē)，來(lái)個(gè)緊急制動(dòng)，車(chē)毀人亡，摟著媳婦把家還……

哦喲喲，這些故事都好沒(méi)有節(jié)操。

于是，我打算洗心革面，重新做人。。。不，講故事。

最近，雷鋒網(wǎng)的同事寫(xiě)了一篇《剛剛，阿里宣布全面進(jìn)軍一條新的主賽道》，講了講阿里將全面進(jìn)軍物聯(lián)網(wǎng)領(lǐng)域，就輕松達(dá)到5W+閱讀量，哼，我不服！我要寫(xiě)一篇“懟文”：黑客到底如何對(duì)物聯(lián)網(wǎng)發(fā)起攻擊，整個(gè)攻擊鏈?zhǔn)窃鯓印?/p>

于是，我請(qǐng)教了綠盟科技的幾位專(zhuān)家（楊傳安、李東宏等人）。

我：老師，如果我想當(dāng)黑客攻擊物聯(lián)網(wǎng)設(shè)備，應(yīng)該怎么做。

李東宏：你應(yīng)該。。?，F(xiàn)在就打消這個(gè)念頭，不然我們就用技術(shù)反制你，然后和警察蜀黍打配合，抓住你。。。

我：不要這么認(rèn)真，我們假設(shè)下，那些安全研究人員還教我“不知攻，焉知防”呢，是吧？（套路。。。）

李東宏：你這么說(shuō)也有點(diǎn)道理，好吧，我們先來(lái)看下。

********

一、黑客怎么攻入你的攝像頭/打印機(jī)/互聯(lián)網(wǎng)汽車(chē)/。。。。。

第一步：設(shè)備選型

原則1：假如我是一個(gè)黑客，當(dāng)然為了利益最大化，要選擇選一個(gè)市場(chǎng)占有量較大的廠商。

原則2：尋找市場(chǎng)占有量較高的設(shè)備型號(hào)。如果我找到一個(gè)漏洞，能一下拿下市場(chǎng)上10萬(wàn)，甚至100萬(wàn)臺(tái)設(shè)備，簡(jiǎn)直就是隔山打牛，坐擁肉雞。不然，我吭哧吭哧花了五萬(wàn)塊，結(jié)果就獲益5000塊，不是費(fèi)力不討好嘛。

原則3：雖然一個(gè)物聯(lián)網(wǎng)設(shè)備廠商推出了很多型號(hào)的同類(lèi)產(chǎn)品，但往往用的是同一套系統(tǒng)，不同的宏開(kāi)關(guān)，比如，網(wǎng)絡(luò)攝像頭的漏洞可能在多媒體攝像機(jī)中存在。所以，黑客會(huì)關(guān)注歷年漏洞信息，老漏洞新用，或者在漏洞被修復(fù)前打個(gè)時(shí)間差用一用都是有可能的。

原則4：要看廠商是否有相關(guān)的安全團(tuán)隊(duì)或者合作公司支持，如果我只是一個(gè)菜鳥(niǎo)黑客，剛學(xué)會(huì)了皮毛，就被黑客大牛反制，大概就會(huì)“出師未捷身先死”了?；蛘?，這種物聯(lián)網(wǎng)設(shè)備可能漏洞數(shù)量會(huì)較少，人家早發(fā)現(xiàn)早補(bǔ)完了，難道留著漏洞給你過(guò)年？

第二步：本地漏洞挖掘

選好型，拿到設(shè)備的第一手動(dòng)作，當(dāng)然是把設(shè)備拆開(kāi)，獲得固件。

目標(biāo)點(diǎn)1：獲取設(shè)備指紋，因?yàn)樗鼘⒏嬖V一個(gè)黑客，這個(gè)設(shè)備在互聯(lián)網(wǎng)上的資產(chǎn)暴露情況。

目標(biāo)點(diǎn)2：拆解固件，找到設(shè)備的后門(mén)指令或弱口令，所謂后門(mén)口令，就是粗心的廠家在發(fā)布產(chǎn)品時(shí)沒(méi)有把調(diào)試版本里的口令去掉，而弱口令，就是出廠口令，比如1234567、000000，但是粗心的用戶(hù)沒(méi)有安全意識(shí)，覺(jué)得初始口令比較好記。

目標(biāo)點(diǎn)3：進(jìn)入 WEB 界面，突破管理員限制，挖掘其中的未授權(quán)漏洞，控制物聯(lián)網(wǎng)設(shè)備。通過(guò)WEB 界面，還可以了解用戶(hù)泄露的賬戶(hù)信息。

目標(biāo)點(diǎn)4：分析設(shè)備是否有對(duì)外的安全服務(wù)，利用弱口令和安全服務(wù)，就可以控制物聯(lián)網(wǎng)設(shè)備。

目標(biāo)點(diǎn)5：分析是否有公開(kāi)漏洞測(cè)試，比如，如果是一個(gè)LINUX系統(tǒng)，它經(jīng)常有一些漏洞公布，假如我是一個(gè)黑客，只要到網(wǎng)上尋找相關(guān)的漏洞和利用工具，就能開(kāi)干了。

第三步：工具制作

拿下一種物聯(lián)網(wǎng)設(shè)備，肯定是為了利益轉(zhuǎn)換，那么，接下來(lái)黑客就會(huì)開(kāi)始寫(xiě)工具了。

工具1：資產(chǎn)識(shí)別工具，通過(guò)對(duì)一種設(shè)備進(jìn)行分析，然后掃蕩整個(gè)互聯(lián)網(wǎng)上的相同設(shè)備。

工具2：漏洞利用工具，利用現(xiàn)有框架，或者自己編寫(xiě)一個(gè)獨(dú)立的漏洞利用小工具。

第四步：資產(chǎn)統(tǒng)計(jì)

這些工具做好后，黑客會(huì)進(jìn)行二次掃描和情報(bào)監(jiān)測(cè)，評(píng)估漏洞在互聯(lián)網(wǎng)的可控制量，以便隨后輸出一個(gè)利益評(píng)估的價(jià)值體系，也就是傳說(shuō)中的“定價(jià)”了！

第五步：利益轉(zhuǎn)換

一般來(lái)說(shuō)，黑客會(huì)售賣(mài)利用工具、設(shè)備信息、控制設(shè)備。

二、物聯(lián)網(wǎng)設(shè)備哪里最弱

假如我是一個(gè)黑客，肯定會(huì)尋找設(shè)備最弱的地方開(kāi)始突破。

弱點(diǎn)1：在第二步“本地漏洞挖掘”中，其實(shí)拆開(kāi)硬件設(shè)備后，會(huì)出現(xiàn)兩個(gè)接口：JTAG 和 串口。

JTAG 會(huì)控制 CPU 的狀態(tài)，進(jìn)行代碼調(diào)試，也可以發(fā)起程序，加載固件等。為了提升效率，會(huì)使用串口進(jìn)行調(diào)試，調(diào)試信息可通過(guò)串口打印到屏幕上，可包含內(nèi)核的加載地址、內(nèi)存大小、文件系統(tǒng)的加載地址和文件系統(tǒng)的大小等。

弱點(diǎn)2：弱口令。

弱口令的誕生一般是因?yàn)橛脩?hù)沒(méi)有修改廠商初始密碼，或者用戶(hù)自行設(shè)置的弱密碼，攻擊者可以搜集用戶(hù)名和密碼列表，也就是把常用的用戶(hù)名和密碼找出來(lái)，放到掃描工具和代碼中。

劃重點(diǎn)來(lái)了：不要把自己的生日設(shè)置成密碼，尤其是不滿(mǎn)8位數(shù)的密碼，這等于送羊入虎口。

弱點(diǎn)3：信息泄露

設(shè)備信息包含設(shè)備型號(hào)、平臺(tái)、操作系統(tǒng)、硬件版本，會(huì)泄露用戶(hù)認(rèn)證信息，比如用戶(hù)名和加密密碼算法。

拿到用戶(hù)名和密碼算法，黑客會(huì)到 CMD5 網(wǎng)站或者通過(guò)運(yùn)算進(jìn)行暴力破解，獲得加密密碼的明文，從而控制設(shè)備。

弱點(diǎn)4：未授權(quán)訪(fǎng)問(wèn)

直連模式直接獲得最高權(quán)限，后門(mén)賬戶(hù)可讓黑客直接登錄后臺(tái)。還有一點(diǎn)是，設(shè)計(jì)缺陷可能讓黑客直接無(wú)認(rèn)證進(jìn)入操作平臺(tái)，軟件漏洞也可導(dǎo)致攻擊者越權(quán)訪(fǎng)問(wèn)。

弱點(diǎn)5：遠(yuǎn)程代碼執(zhí)行

輸入?yún)?shù)沒(méi)有嚴(yán)格過(guò)濾與校驗(yàn)。

弱點(diǎn)6：中間人攻擊

黑客可利用兩種模式：監(jiān)聽(tīng)模式和篡改模式，現(xiàn)在有些物聯(lián)網(wǎng)設(shè)備由于計(jì)算能力限制，導(dǎo)致通訊以明文傳輸方式進(jìn)行，監(jiān)聽(tīng)模式可以拿到一些數(shù)據(jù)，比如賬戶(hù)認(rèn)證信息，而用得比較多的篡改方式是 HTTPS 解密。

弱點(diǎn)7：云(端)模式

現(xiàn)在為了便利，一些設(shè)備可通過(guò)手機(jī)連上云端控制設(shè)備，黑客可對(duì)云平臺(tái)進(jìn)行安全測(cè)試，拿到弱口令等，還可通過(guò)中間人攻擊模擬終端給云端發(fā)送指令。

三、安全建議

當(dāng)然，“教我當(dāng)黑客”只是一個(gè)玩笑，換位思考看，如果我是一名攻擊者，竟然能有這么多方法搞到設(shè)備+獲利，反推一下，如果要保護(hù)自家物聯(lián)網(wǎng)設(shè)備安全，應(yīng)該針對(duì)這些可能的攻擊措施做些什么？

1.對(duì)用戶(hù)：

修改初始口令以及弱口令，加固用戶(hù)名和密碼的安全性；

關(guān)閉不用的端口，如FTP（21端口）、SSH（22端口）、Telnet（23端口）等；

修改默認(rèn)端口為不常用端口，增大端口開(kāi)放協(xié)議被探測(cè)的難度；

升級(jí)設(shè)備固件；

部署廠商提供的安全解決方案

2.對(duì)物聯(lián)網(wǎng)廠商：

對(duì)于設(shè)備的首次使用可強(qiáng)制用戶(hù)修改初始密碼，并且對(duì)用戶(hù)密碼的復(fù)雜性進(jìn)行檢測(cè)；

提供設(shè)備固件的自動(dòng)在線(xiàn)升級(jí)方式，降低暴露在互聯(lián)網(wǎng)的設(shè)備的安全風(fēng)險(xiǎn)；

默認(rèn)配置應(yīng)遵循最小開(kāi)放端口的原則，減少端口暴露在互聯(lián)網(wǎng)的可能性；

設(shè)置訪(fǎng)問(wèn)控制規(guī)則，嚴(yán)格控制從互聯(lián)網(wǎng)發(fā)起的訪(fǎng)問(wèn)；

與安全廠商合作，在設(shè)備層和網(wǎng)絡(luò)層進(jìn)行加固。

（以上建議摘選自綠盟科技發(fā)布的《2017物聯(lián)網(wǎng)安全年報(bào)》）

四、思考

在雷鋒網(wǎng)同事發(fā)出的那篇阿里新賽道的文章中，我發(fā)現(xiàn)阿里云也在物聯(lián)網(wǎng)領(lǐng)域方面進(jìn)行了安全能力的建設(shè)。

再加上之前小米、百度、360、騰訊等在物聯(lián)網(wǎng)安全上的動(dòng)作，我總覺(jué)得一個(gè)“時(shí)候”到了。

但是，我想起了曾經(jīng)采訪(fǎng)過(guò)的威脅獵人 CEO 老畢的故事。

2014 年下半年，老畢做了第二個(gè)創(chuàng)業(yè)項(xiàng)目：物聯(lián)網(wǎng)安全。但他很快發(fā)現(xiàn)，這個(gè)其實(shí)在商業(yè)上面很難落地?！斑@個(gè)行業(yè)有很多問(wèn)題，有些在某個(gè)階段沒(méi)有商業(yè)價(jià)值。我接觸到這個(gè)行業(yè)，發(fā)現(xiàn)這個(gè)行業(yè)是很苦逼的狀態(tài)。很多公司拿了上百萬(wàn)人民幣，這個(gè)產(chǎn)品能最終做出來(lái)，再賣(mài)那么一兩批，已經(jīng)不錯(cuò)了。你跟他說(shuō)加一個(gè)什么安全，他覺(jué)得你瘋了?！崩袭呎f(shuō)。

2015 年中旬，老畢在這個(gè)創(chuàng)業(yè)項(xiàng)目上倉(cāng)皇撤退。

3 月 27 日，綠盟科技物聯(lián)網(wǎng)專(zhuān)家楊傳安告訴我，綠盟的物聯(lián)網(wǎng)解決方案布局在這三方面：一是持續(xù)的安全檢查，漏洞和弱密碼檢查與固件升級(jí)的閉環(huán)管理；二是針對(duì)蠕蟲(chóng)傳播，在網(wǎng)絡(luò)上進(jìn)行阻斷和入侵防護(hù)，避免更多節(jié)點(diǎn)被感染，并清洗惡意的攻擊流量；三是接入層的準(zhǔn)入控制，最后是物聯(lián)網(wǎng)的態(tài)勢(shì)感知平臺(tái)。

我立馬問(wèn)了他一個(gè)問(wèn)題：你們主要是賺誰(shuí)的錢(qián)，在哪些行業(yè)落地？

事實(shí)上，他們?cè)谏厦婺欠莅灼?shū)中早已有一份“可能”的列表：物聯(lián)網(wǎng)設(shè)備提供商、物聯(lián)網(wǎng)平臺(tái)提供商、物聯(lián)網(wǎng)網(wǎng)絡(luò)提供商（運(yùn)營(yíng)商）、物聯(lián)網(wǎng)應(yīng)用提供商、物聯(lián)網(wǎng)用戶(hù)等。

但是，楊告訴我：“目前看，近年來(lái)由政府主導(dǎo)的視頻監(jiān)控項(xiàng)目，類(lèi)似天網(wǎng)工程，對(duì)設(shè)備終端有強(qiáng)準(zhǔn)入控制要求，對(duì)安全風(fēng)險(xiǎn)管控也有明確要求，這個(gè)方案落地極快；另外，運(yùn)營(yíng)商建設(shè)物聯(lián)網(wǎng)專(zhuān)網(wǎng)，也會(huì)有類(lèi)似移動(dòng)互聯(lián)網(wǎng)對(duì)公共網(wǎng)絡(luò)的安全監(jiān)管要求，同時(shí)運(yùn)營(yíng)商自營(yíng)物聯(lián)網(wǎng)業(yè)務(wù)的安全運(yùn)營(yíng)需求，也會(huì)是項(xiàng)目落地的主方向。”

這個(gè)答案沒(méi)有超出我的預(yù)期。三年后，大若綠盟，在物聯(lián)網(wǎng)安全領(lǐng)域，依然在艱難地開(kāi)墾，to C 的錢(qián)暫時(shí)不要想，to B 的錢(qián)依然難賺但有前景，to G 則是撬動(dòng)這個(gè)市場(chǎng)的一個(gè)入口。

楊認(rèn)可了這一點(diǎn)。但這并不是綠盟一家在開(kāi)墾物聯(lián)網(wǎng)安全市場(chǎng)時(shí)遇到的困境，而是市場(chǎng)大環(huán)境如此。他依然充滿(mǎn)信心，希冀通過(guò) G 端能夠在物聯(lián)網(wǎng)安全上有所建樹(shù)，他相信，引路人的工作不可缺少，未來(lái)有一天人們會(huì)越了解及認(rèn)可物聯(lián)網(wǎng)安全的重要性。

誰(shuí)說(shuō)不可能呢？我們終將進(jìn)入一個(gè)萬(wàn)物互聯(lián)的未來(lái)。

雷鋒網(wǎng)注：綠盟科技物聯(lián)網(wǎng)專(zhuān)家張星、劉弘利、劉文懋等對(duì)此次采訪(fǎng)亦有貢獻(xiàn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。