還記得當年紅極一時的黑客操控大廈電力玩起坦克大戰(zhàn)的視頻嗎？（就是這個）視頻真實性拋開不論，帶給圍觀群眾的震撼效果絕對是十級。

雷鋒網今天帶來的是另一組大片。

視頻中的神操作者是來自騰訊安全平臺部Blade團隊的兩位小哥Nicky、Xbalien。沒錯，就是這兩位?

▲左xbalien，右Nicky

這兩位還在不久前舉辦的歐洲頂級安全會議HITB大會上分享了如何以上帝視角，完成操控大樓燈光的壯舉。

先拿下一層樓

月黑風高夜，某座大廈的36樓突得陷入黑暗。

一片靜謐中有人屏息以待，心中默念：1，2，3！一間屋子亮起了燈光，又一間亮了起來……

監(jiān)控器前的拍攝團隊大喊一聲“卡”，錄制結束了。

Nicky和Xbalien長舒了一口氣，拍了三次，終于搞定了。

這不是大電影的拍攝現場，主角不是明星，而是一臺無人機和一層高樓。這波操作也并非你所預想的特效制作，而是真實上演的針對智能樓宇設備 ZigBee 通信協(xié)議新的攻擊方式——有別于以往針對某一廠商的某一產品進行攻擊，而是通用、快速的批量攻擊。

當然要實現視頻中的炫酷動作需要三步。

第一就是利用無人機，使其載著樹莓派（Raspberry PI）設備以較慢速度圍繞某一樓宇進行網絡信息搜集。

具體來說，要發(fā)送一些信標包探測 ZigBee 信道的網絡網關信息，比如設備ID信息，還會進一步探測其使用的密鑰并進行解析。

這些結果信息都會被反饋回來進行半自動化分析。

所謂的半自動化分析是什么？

這就要回到ZigBee協(xié)議本身了，ZigBee廣泛應用于智能家居系統(tǒng)中，諸如ABB、三星、小米等廠商都有生產ZigBee設備。為了使用戶更方便地連接第三方廠商生產的ZigBee設備，許多制造商使用ZigBee聯(lián)盟通用密鑰，允許設備在不同的供應商之間進行配對。也就是說你可以用小米的網關控制三星設備，而控制燈光、窗簾、空調等也有標準的實現指令。

所謂知己知彼，半自動化分析就是讓你更清楚的了解“彼方”，通過分析 ZigBee 設備來源廠商以及其控制指令是否標準，如果是兼容協(xié)議，就可以自動生成攻擊指令。假如遇上特立獨行的廠商，懶得去兼容協(xié)議，或者在控制指令中加入了特殊指令，就需要預先進行簡單的人工分析及提取指令。

完成半自動化分析后，無人機第二次起飛進行自動化批量攻擊，此時就會出現視頻中的畫面，無人機“操控”燈光，窗簾，空調等設備自動打開與關閉。

此處有個大膽腦洞，是不是以后求婚可以有這種操作……（據說兩位小哥哥也有此想法）

當然批量攻擊的實現是借前兩步中收集 ZigBee 密鑰和網絡信息的光，通過模擬網絡節(jié)點發(fā)送包含攻擊載體的廣播包，控制所有燈一起開或者關。

但要知道，一個樓層可能有幾百個ZigBee設備，它們分布在不同房間中處于不同信道。而每次攻擊卻只能針對一個信道，還存在要攻擊的信道距離無人機稍遠的可能，這會拖慢整個測試速度。

“我們做了一個新的改變！”Nicky興奮地告訴雷鋒網編輯，他們在樹莓派上同時使用了兩個嗅探設備和兩個發(fā)送設備，以便在前期搜集網絡信息時可以加快速度。同理，在發(fā)射 ZigBee 數據包進行攻擊時，也可以同時使用兩個發(fā)射器發(fā)射信號，加速攻擊流程。

ZigBee并非沒有防御措施，但Nicky和Alien利用一些漏洞繞過這些防御措施。比如Blade團隊還發(fā)現了一種新的繞過ZigBee協(xié)議重放防御機制的方法：通過在ZigBee網絡中創(chuàng)建一個虛擬節(jié)點，并將這個虛擬節(jié)點的設置一個隨機的MAC地址，和一個與網絡中節(jié)點設備相同的網絡地址，這樣在以當虛擬節(jié)點身份發(fā)送廣播包時，序列號與計數器都會從0開始計數，完全可以隨心所欲的控制所有設備。

Nicky和Alien研究這種批量攻擊方式時間不算短，從2017年6月開始，歷經兩三個月，中間也有不少難題。比如攻擊高層樓宇的智能設備可能面臨信號發(fā)射功率不夠，需要尋找載體——無人機，對無人機的控制技術也有一定要求。另外為了不影響大樓中的工作人員辦公，測試往往選擇深夜進行……

不過這兩位研究員也樂在其中，他們在不久前舉辦的HITB大會上分享了針對 ZigBee 協(xié)議的批量攻擊方式以及對應的安全加密機制，主要有以下幾點。

1. 如果不需要兼容其它廠商的設備，廠商可以避免使用通用安全密鑰。

2. 以“新”代“舊”，目前市面上不少芯片廠商提供較老的芯片只支持老版本的ZigBee協(xié)議棧，但老版本的ZigBee協(xié)議是存在漏洞的，建議使用高版本的ZigBee協(xié)議棧。

3. 制定自定義加密方案，ZigBee包含物理層、網絡層、應用層等，建議廠商在應用層，用非對稱算法實現自己的認證加密方案，這樣即使密鑰泄露，網絡通信也有一定的安全保證。

4. 密鑰存儲，市面上一些廠商的 ZigBee 固件或者硬件的flash芯片會明文存儲一些密鑰。黑客只要購買這種智能設備就可以從固件中提取密鑰進而攻擊同類產品。因此密鑰不應該以明文方式存儲在固件或芯片中，應該做一些加密或打散方式存儲，提高黑客攻擊成本。

下一步：拿下一棟酒店

拿下一層樓不算什么，Blade團隊的下一個目標是整棟酒店，他們瞄準的是KNX協(xié)議。

目前，智能家居的通信協(xié)議多使用ZigBee協(xié)議，而KNX常用于大型公共場所，如體育場館、機場、豪華酒店以及核電站、工廠等一些工業(yè)設施。Nicky和Xbalien從去年11月開始研究這一協(xié)議，發(fā)現這一協(xié)議相關的研究及安全工具極少，他們前期花費了大量時間和精力去分析這一協(xié)議。

早前在 DEFCON 大會上，曾有安全研究員通過WiFi網絡入侵了深圳京基100大樓瑞吉酒店的 KNX系統(tǒng)，并控制了酒店的照明系統(tǒng)。但 Nicky和Xbalien在實地測試時發(fā)現多數酒店的KNX網關網絡與酒店本身的WiFi網絡相隔離，其 KNX 設備的最后網關在單獨的控制室內，旁人接觸不到。

通過對KNX協(xié)議的分析，他們發(fā)現可以通過接入KNX電纜網絡來修改KNX/IP路由器的配置，在不影響整個原有KNX網絡設備的正常使用情況下，攻擊KNX網絡中的任何設備或嗅探KNX網絡流量，這種攻擊同時可以導致整個KNX網絡的設備拒絕服務。

當然這只是一個思路，能否實現還需親自接觸KNX設備進行測試。

于是兩位小哥哥自己添置了KNX設備，搭建起小型KNX網絡，并在上面完成了整套攻擊流程。

“但這種小型網絡無法完全模擬大型網絡的攻擊場景，于是我們決定，去某五星級酒店開房?！?/p>

選擇某五星級酒店開房是有原因的，當然不是你想的某些不正經原因，而是因為該酒店的所有房間以及走廊或大廳都用到了KNX設備。這是一個較大型的網絡，其中可能使用了幾千甚至上萬個KNX設備，以此為研究目標就可以實現大型KNX網絡的批量攻擊。

于是，Nicky和Xbalien一拍即合，跑去酒店花了1800開了一間房，在里面測試了一天一夜，成功驗證了利用上述攻擊方式可以操縱酒店走廊燈，以及客房“請勿打擾”燈牌亮滅。

（試想若是這波操作被心懷不軌的黑客利用，在男女主人公在床上酣戰(zhàn)之時，窗簾慢慢打開……好吧，以上情節(jié)只是編輯的無良腦洞……）

他們也在HITB大會上分享了針對KNX協(xié)議的安全防護建議：

1. 目前國內外多數廠商仍在使用老舊KNX設備，這些設備不兼容最新版KNX協(xié)議，更不支持最新版協(xié)議中的加密機制，暴露出來的漏洞有很多，應該將設備升級到新版協(xié)議。

2. KNX網關要做好網絡隔離，不能將KNX網關開放在公網上，會帶來很大安全風險。
   

3. 另外，最新版的KNX協(xié)議支持數據包加密，但很多廠商沒有開啟這一安全選項。我們建議廠商開啟這一選項，對數據進行加密。

智能樓宇通信協(xié)議安全性普遍不高？

針對這兩種協(xié)議的攻擊是否會被黑客利用？

Nicky告訴雷鋒網，目前新聞中并未出現過黑客大規(guī)模攻擊這些設備。究其原因可能是ZigBee和KNX皆偏向控制設備一類的通信協(xié)議，本身不會包含一些敏感信息或者數據。而黑客攻擊往往帶有逐利性，攻擊這兩種協(xié)議所能得到的回報不高，通常只是為了炫技。

但實際上這類攻擊同樣可能被恐怖分子用于攻擊城市電力與照明系統(tǒng)，制造社會恐慌等。

“我們選擇研究的這兩種協(xié)議是智能樓宇領域使用最廣泛的、最具代表性的協(xié)議，通過這兩種協(xié)議的研究，我們認為智能樓宇領域普遍使用協(xié)議的安全性不高。”

這種安全性不高的原因主要源于廠商。

這倒不是說廠商對協(xié)議安全性毫不關注，而取決于在部署安裝設備時的安裝人員是否有開啟安全選項或者用正確的網關及路由設備部署網絡。也就是說，就算設備是安全的，安全人員卻沒有正確部署設備，同樣會造成安全問題。另外，還有一些國內外廠商缺少由于安全技術人員，基本只要實現設備可用性就不會再考慮設備的安全性的原因。

當然，這些都只是冰山一角，智能樓宇的安全攻防之戰(zhàn)還任重道遠。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。