物联网安全简析

笔者在上一家公司主要研究物联网安全，研究过几款智能设备漏洞，以及基于物联网的恶意样本攻击，基于物联网的DDOS攻击以Mirai各种变种攻击为主，同时研究过几款智能门锁和智能摄像头里面存在的一些安全问题，有一些心得与体会，这是之前笔者总结的一些研究经验，有兴趣的朋友可以看看，学习一下，关于物联网安全研究，可以从哪些方向入手

一、导读

       随着万物互联时代的到来，物联网已经逐渐走入人们生活的方方面面，但是存在的各种安全问题也一直威胁和影响着人们的日常生活，作为一名从业多年的安全研究员，我将从物联网涉及到的各种技术入手，简析物联网存在的各种安全问题，同时说说个人对物联网安全的发展趋势以及对物联网安全人才培养等方面的一些思考。

 

二、物联网概述

  物联网是新一代信息技术的重要组织部分，也是“信息化”时代的重要发展阶段。物联网就是物物相连，通过Internet将万物互联IoT(Internet of things)。

早在1999年，MIT AutoID研究室的Kevin Ashton在研究将射频识别信息与互联网相连接的时候首先提到了物联网的概念；同年，在美国召开的移动计算机和网络国际会议就提出，“传感网是下一个世纪人类面临的又一个发展机遇”；2005年11月17日，信息社会世界峰会（WSIS）上，国际电信联盟（ITU）发布《ITU互联网报告2005：物联网》，正式提出了“物联网”的概念；2009年8月温家宝总理到无锡物联网产业研究考察时，明确指出在物联网发展中，要早一点谋划未来，早一点攻破核心技术，并且明确要求尽快建立中国的传感信息中心，或者叫“感知中国”中心。物联网已经被视为继计算机和互联网之后的第三次信息技术革命。

万物互联（IOT） 时代已经到来，随着智能硬件创业的兴起，以及智能手机的大量普及，大量的智能家居和可穿戴设备进入的到人们的生活中，据据Gartner报告预测，2020年全球IOT物联网设备数量将高达260亿个。

 

三、物联网安全研究

       物联网安全问题，主要有哪些？网上不断曝出各种IOT设备安全漏洞，这些安全漏洞又是怎么样产生的？物联网涉及到哪些技术，我们如何从这些技术中找到相应的物联网安全问题以及产生的漏洞？

物联网涉及的技术点：

(1)手机客户端：大多数物联网设备可通过手机客户端控制，来进行互动

(2)云平台：云端WEB应用或API托管用于管理和收集IOT设备操作以及数据

(3)智能终端设备：IOT的各种终端设备（路由器，摄像头，智能家居，取款机等等）

(4)通讯协议：蓝牙、WIFI、Zigbee、NFC、NB-IOT、GPS、无线电射频Radio等多种通信协议共存

由于IOT涉及到各种不同的终端平台，操作系统以及协议，无形之中增大了它的攻击面，再加上物联网设备还处于发展阶段，很多安全措施都不完善，这也给黑客攻击物联网设备提供了便利，物联网安全问题主要有哪些呢？

手机客户APP安全问题：

(1)APP应用OWASP TOP 10漏洞

(2)代码未保护，易逆向

(3) Root/越狱安全

黑客通过逆向分析APP，查找相应的OWASP TOP10安全漏洞（数据存储不安全、APP组件安全、通信安全、DDOS安全、APP策略安全）等，进一步对IOT设备进行攻击，拿到IOT设备的远程管理权限可远程操控IOT设备或通过上面一些漏洞获取到IOT设备的数据信息。

云平台安全问题：

(1)WEB应用OWASP TOP10漏洞

(2)云服务器DDOS安全攻击、恶意样本攻击

黑客对IOT设备的WEB应用管理平台进行安全测试，查找相应的OWASP TOP10漏洞（弱口令、SQL注入、访问控制权限绕过、命令可执行、敏感信息涉露、XSS、SSRF、CSRF、代码未保护）等，然后通过这些漏洞对IOT设备进行安全攻击，可远程登录WEB管理平台或得到相应的数据库数据以及通过命令可执行漏洞得到IOT设备的一些敏感信息，同时对一些未保护的代码，可进行源代码安全审计，查找更多的漏洞。

同时云服务器易受到恶意代码的攻击，导致云服务器崩溃或被勒索软件进行攻击，目前针对各种不同平台的勒索软件也可不断增加，已有大部分的黑客将目标转移到了云端服务器，对服务器的数据库，以及操作系统进行勒索，同时云端服务器易受到DDOS样本的感染，成为肉鸡，对其它服务器进行DDOS安全攻击。从而导致IOT服务器的拒绝服务，直接影响IOT设备的使用。

智能终端安全问题：

(1)厂商安全意识不强，自设“后门”

(2)固件未加密保护，易逆向分析

(3)终端恶意样本攻击

对于终端安全，黑客主要是利用逆向工程的手法，对终端的固件以及操作系统进行安全分析，从而查找到相应的漏洞，比方现在很多IOT设备的固件未被加密保护，黑客很容易下载到这些固件进行逆向分析，找到里面存在的漏洞（缓冲区溢出）或厂商自设的一些控制“后门”，这些“后门”本来是方便厂商的研发人员进行调试分析，结果方便了黑客。

终端安全更易同时受到恶意样本的攻击，黑客可通过各种手段侵入到设备内部，然后植入相应的恶意程序，达到控制设备的目的，之前的Mirai样本就是通过设备的弱口令密码，远程登录设备，下载相应的DDOS程序，控制多台IOT设备发起DDOS攻击，后面又发现了各种不同的IOT DDOS类的样本家族，比如：Hajime,Persirai,DvrHelper,BrickerBot等，这些家族都是通过IOT设备的不同漏洞，拿到设备控制登录权限，远程下载相应的恶意样本，发起DDOS攻击。

另外一种恶意攻击，就是能过恶意样本造成设备拒绝服务或加密设备中的数据，从而勒索用户，随着这几年的勒索样本的不断兴起，黑客已经逐步将目光转向了日益兴起的IOT设备，在未来将会有更多的IOT设备被黑客进行勒索攻击，比如:工业设备，医疗设备等。

通讯协议安全问题：

(1)通讯协议本身的安全漏洞

(2)破解通讯协议控制或欺骗IOT

IOT设备涉及到各种通讯协议，这些协议可能本身存在安全漏洞，然后黑客进行利用，同时黑客还可以通过分析这些通讯协议，对相应的协议进行破解，从而远程控制或欺骗IOT设备进行相应的操作。比方WIFI安全（中间人攻击，WIFI密码破解），蓝牙协议分析破解，GPS欺骗攻击，无线电射频信号进行重放攻击等。

通过上面的分析物联网存在各种各样的安全问题，主要由于物联网涉及的面很广，以及涉及到的知识点很多，从而导致黑客的攻击面的增加，随着物联网的普及，存在的安全问题也会越来越多。

 

四、物联网安全的发展趋势

       随着物联网的发展，万物互联的时代已经到来，物联网设备在将来也会越来越多的占领市场，物联网安全的发展趋势又是什么呢？

       (1)对物联网供应链进行安全检查

       在源头先对物联网厂商进行安全检查，在设备出厂之前对一些安全问题进行检测，这样也避免了一些厂商的设备在出现安全问题之后不得不召回的巨大损失。

       (2)物联网的DDOS攻击仍然是个大问题

       随着物联网设备的增多，相对于以前的PC电脑，IOT设备量应该远远大于之前PC电脑的数量，黑客早已看准了这个市场，同时未来会有越来越多的设备会有连网的需求，这些连网的设备也都可能会成为黑客发起DDOS攻击的“助手”。

       (3)嵌入式设备的安全将得到重视

       现在越来越多的物联网设备采用嵌入式系统，这些系统可能本身存在安全问题，同时嵌入式设备的安全之前一直是个空白点，嵌入式设备的开发人员，也没有具备相应的安全能力，对自己开发的程序进行安全检测，导致设备存在很多安全问题。

       (4)物联网协议安全

       物联网通讯协议这块的安全问题，也将是未来安全的大挑战，随着5G时代的到来，各种基于5G网络的通讯协议，是否安全漏洞，这些都是未知数，需要更多的安全研究人员对相应的协议进行分析，同时协议也有可能会被黑客破解利用。

       (5)物联网安全将会成为安全的重点

       ”金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能受到攻击的重点目标”，要求“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改。”

       近日，经中央网络安全和信息化领导小组批准，首次全国范围的关键信息基础设施网络安全检查工作已经启动，在网络安全新形势下，针对全国关键信息基础设施网络安全保护开展全局性、基础性工作。

       (6)高端的物联网安全人才短缺

       面对日益严重的物联网安全问题，物联网安全人才短缺，特别是对物联网安全全面了解，深入研究的人才更是少之又少，整个行业在未来会面临人才短缺时期，这就需要国家、企业、学校重视网络安全、积极培养物联网安全的综合性人才。

       物联网安全涉及到的知识面很广，一般的安全研究员可能只注重某一方面技能培养，物联网安全需要更广的知识面，对各种安全技能都能有所了解，可以从不同的角度去分析物联网设备的安全问题，找到更多的安全漏洞以及存在的安全风险，物联网安全从业人员，需要增加自己的技能水平以及知识面，积极学习新的技能，与时俱进，掌握更多的安全技能，成为物联网安全的综全性人才。

 

五、物联网安全人才培养

      网络安全已经上升到国家安全的层次，物联网安全更是直接影响到一个国家的安全问题，国家的各种能源系统，电力系统，工业控制系统，军用系统，交通系统，金融服务系统等，都是未来国家发展的支柱产业，怎么样确保这些行业的健康发展，安全问题是必须要解决的。物联网涉及到的技术点和知识面比较多，培养物联网安全人才尤其是高端的综合性人才，需要投入大量的时间和精力以及耐心。对于物联网安全人才的培养，本文提出几点思考：

1.积极参与实践

       现在国内各大高校都在积极举办各种网络安全比赛，以及安全技术培训课程，对于学生阶段的大学生应该多去参加这类的比赛和技术培训，提高自己的安全技能。

2.与时俱进，持续学习

       对于在社会上工作的安全研究人员，我们应该做到“活到老，学到老”，技术在不断的更新，作为一名优秀的安全人员，我们不仅要能从点做到优秀，同时也要从面上做到优秀，能够从容面对各种安全挑战。这需要我们平时在工作中不断学习，不断提升自己的安全技能以及对安全的认识水平，这是需要时间，只有持续不断的投入，才能让自己的技能以及对安全问题的了解更加深入，从而可以站在更高的一个层次去看待和解决安全问题，任重而道远，同时安全人员需要时刻关注各种最新的安全报道，对各种新的安全技术进行探索研究。

3.相互交流

       学校，政府，企业以和各种相关安全单位在培养安全人才时，一方面给安全人员更多的空间和资源，让他们能够在自己的技术领域都能有所成就；另一方面企业需要帮助安全人员，让他们更多的参加安全会议，与外界进行沟通交流，同时对安全人员的技能培训给予更多的支持和帮助。

4.重视人才培养储备

       未来会需要更多的高端的综合安全人才，如何能够培养出这样的人才，是一个大的问题，现在不管是企业，还是政府高端的综合性安全人才还是太少，还有一些安全人员，在企业和政府得不到足够的重视，导致他们的工作效率和成长进度，受到限制，从而出现很多断面，对于安全人才的培养是一个持续的过程，就好比国防事业一样，养兵千日用兵一时，如果平时不加强安全人才的培养，到时又如何有精兵强将可用？

       政府和企业以及高校，应该多多重视安全人才的培养，特别是物联网安全，涉及到的攻击面也越来越多，技术点也越来越多，这需要安全人才花费更多的时间和精力进行安全研究和学习，这也需要更多的想从事这方面的人加入进来，让更多愿意花时间和精力投入到这方面的人，得到更多的支持和帮助，这样不仅对企业的发展有好处，同时也关乎到国家的安全问题，未来企业的发展肯定大部分都会与IOT相关，如果IOT安全出现问题，企业也会受到损失，国家安全更是与IOT安全紧密连接在一起，习近平指出：没有网络安全，就没有国家安全。

       这也给各位安全从业人员提出了更高的标准，以及更高的技能水平，作为一合格的安全人员，需要做的事还有很多，路还很长，不要停止不前，物联网安全问题会层出不穷，我们要时刻做好准备，应对各种物联网安全问题，同时作为一名研究人员，要不断对自己提出更高的要求，扎扎实实研究技术，以应对未来的各种安全挑战和安全问题。

       未来对物联网安全检测，安全分析，安全防护的人员都会有大量的需求，你做好准备了吗？

 

六、参考

【1】《2016物联网安全白皮书》揭露物联网安全本质

【2】《重磅|全国范围关键信息基础设施网络安全检查工作启动》

【3】《2017物联网安全的六大趋势》

关于物联网安全的研究，在未来应该也是一个比较重要的方向，但是主要的安全问题还是要做好基础安全研究，目前基于Mirai变种的恶意样本家族越来越多，基本上每隔一段时间都有新的Mirai变种出现，笔者之前分析过多款Mirai变种样本，后面会分享给大家

如果你想学习恶意样本分析，或者对恶意样本分析感兴趣，想与一些专业的安全分析师与漏洞研究专家交流，欢迎加入知识星球，安全分析与研究，跟一些业界顶尖大牛一起交流学习，在知识星球跟熊猫正正一起学习安全知识，专注于安全分析与研究，分享各种安全纯干货！

加入知识星球的朋友，可以加我微信:pandazhengzheng，然后会拉你加入微信群：安全分析与研究，随时提供专业的安全咨询和指导

最后还是感谢那些支持我的朋友们，多谢你们的关注、转发、赞赏以及留言，关注微信公众号：安全分析与研究 。