物聯(lián)網(wǎng)安全要點(diǎn)

IoT 安全事故一直都是此起彼伏，究其原因，黑客利用的仍然是Web開發(fā)時(shí)代的那些經(jīng)典漏洞。但物聯(lián)網(wǎng)有四大特點(diǎn)：24小時(shí)聯(lián)網(wǎng)、安全防護(hù)脆弱、Botnet（對(duì)應(yīng)于中文名詞“僵尸網(wǎng)絡(luò)”）攻擊成本低、安全責(zé)任歸屬難以厘清，成為黑客喜聞樂見的好目標(biāo)。接下來我們先回顧幾起重大案件。

1 物聯(lián)網(wǎng)安全事故

1.1 Mirai 僵尸網(wǎng)絡(luò)

Mirai 是由 Paras Jha，Josiah White和Dalton Norman 三名美國(guó)年輕人（當(dāng)時(shí)才20到21歲）創(chuàng)建的，這是一種針對(duì)運(yùn)行 Linux 操作系統(tǒng)的智能設(shè)備和網(wǎng)絡(luò)設(shè)備的惡意軟件。最初設(shè)計(jì)目標(biāo)是物聯(lián)網(wǎng)設(shè)備，如路由器，數(shù)字視頻錄像機(jī)和IP攝像機(jī)，攻擊成功后就變身為“僵尸”，變成一群可以對(duì)其他網(wǎng)站或網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)起攻擊的數(shù)字機(jī)器人大軍。

Mirai橫掃天下

自2016年9月 Jha 在黑客論壇上發(fā)布 Mirai 的源代碼之后，從那時(shí)起，其他不法分子已經(jīng)習(xí)慣以該代碼為起點(diǎn)創(chuàng)建大量僵尸網(wǎng)絡(luò)，其中大多數(shù)的復(fù)雜程度是一樣的，無非偶爾添加新的和更復(fù)雜的攻擊工具，擄獲更多種類的物聯(lián)網(wǎng)產(chǎn)品。如2019年1月發(fā)現(xiàn)新的 Mirai 版本也能掃描和利用企業(yè)環(huán)境中的LG智能電視和WePresent 無線演示系統(tǒng)。

Mirai 的橫空出世表明 DDoS 攻擊活動(dòng)出現(xiàn)了新的轉(zhuǎn)折點(diǎn)：IoT僵尸網(wǎng)絡(luò)已經(jīng)成為此類攻擊的主力軍。據(jù)安全人士測(cè)量，2016年11月的巔峰時(shí)期，Mirai 控制了超過60萬個(gè)存在漏洞的IoT設(shè)備。

所以有安全人士建議物聯(lián)網(wǎng)生產(chǎn)商應(yīng)改變生產(chǎn)完產(chǎn)品之后就萬事大吉的做法，而是改變商業(yè)模式，采用訂閱制模式，持續(xù)提供服務(wù)，肩負(fù)起產(chǎn)品安全防護(hù)責(zé)任。從業(yè)者也應(yīng)避免采購大量生產(chǎn)卻無后續(xù)維護(hù)的物聯(lián)網(wǎng)產(chǎn)品，防備其成為 Botnet 下手的好目標(biāo)。

2016年9月20日，Mirai針對(duì)歐洲最大的托管服務(wù)商之一法國(guó)OVH公司的攻擊，突破了DDoS攻擊記錄，其攻擊量達(dá)到1.1Tpbs，最大達(dá)到1.5Tpbs，由145，000個(gè)IoT設(shè)備共同發(fā)起。OVH創(chuàng)始人稱這些攻擊針對(duì)的是 Minecraft（中文名為“我的世界”的沙盒建造游戲）服務(wù)器。

2016年10月21日，Botnet 大軍攻擊美國(guó)一家名為 Dyn 的網(wǎng)絡(luò)基礎(chǔ)設(shè)施公司，致使美國(guó)很多主流互聯(lián)網(wǎng)公司的網(wǎng)站癱瘓，其中包括Github、Twitter、Netflix、Reddit、PayPal。淺黑科技的史中用富有詩情畫意的語言描述了這次美國(guó)大斷網(wǎng)事件：

這是一個(gè)漫長(zhǎng)的白天，攻擊的潮水先后三次來襲，每次都持續(xù)一個(gè)小時(shí)左右。網(wǎng)絡(luò)服務(wù)時(shí)斷時(shí)續(xù)，美國(guó)東海岸陷入了9·11之后最大的“互聯(lián)網(wǎng)恐怖襲擊”中。這顯然是一次災(zāi)難，因?yàn)檎麄€(gè)美國(guó)在這種攻擊面前像個(gè)嬰兒一樣毫無還手之力。

直到一切塵埃落定，人們才知道，這次野蠻的攻擊，來自于世界各地的網(wǎng)絡(luò)攝像頭和路由器。是的，你沒看錯(cuò)，就是那些坐在你客廳桌子上的那些看上去“人畜無害”的小東西。它們本來靜悄悄地躺在主人家里，只通過一根網(wǎng)線和外界相連。然而正是這根小小的網(wǎng)線，卻成為了黑客控制木偶的那根“提線”。

一個(gè)神秘的病毒，順著通過網(wǎng)線鉆進(jìn)無數(shù)家庭的大門，入侵了數(shù)以百計(jì)的攝像頭。在主人眼里這些硬件并無異樣。然而，它們的指示燈卻仿佛變成了紅色的眼睛，如被感染的僵尸一樣，在賽博世界調(diào)轉(zhuǎn)槍頭，瘋狂地向互聯(lián)網(wǎng)吐出新的病毒。

就這樣，地球上數(shù)十萬的硬件設(shè)備，組成了碩大無朋的“僵尸網(wǎng)絡(luò)”。這個(gè)僵尸網(wǎng)絡(luò)，像一群食人蟻，他們發(fā)出的垃圾訪問整齊劃一，在網(wǎng)絡(luò)世界左右奔流，所到之處必定網(wǎng)絡(luò)癱瘓、寸草不生。

史中，淺黑科技《黑客的滑鐵盧——美國(guó)大斷網(wǎng)全紀(jì)實(shí)》

Mirai Botnet

據(jù)OVH以及Dyn的報(bào)告，這些攻擊的流量峰值都超過了1Tbps，這是已知攻擊中規(guī)模最大的攻擊流量。最引人注目的在于這些流量由家用路由器、空氣質(zhì)量檢測(cè)儀以及個(gè)人監(jiān)控?cái)z像頭等小型IoT設(shè)備發(fā)起。

FBI和全球安全研究者還沒有找到元兇，但是劇情仍在延續(xù)，僅僅一個(gè)月之后，新的恐慌已經(jīng)來襲——病毒的變種四處開花。2016年11月28日，德國(guó)電信 Telekom 路由器遭到大規(guī)模入侵，德國(guó)境內(nèi)2000萬臺(tái)路由器被入侵，而在入侵的過程中，有90萬臺(tái)在感染過程中就直接崩潰。這場(chǎng)攻擊幾乎波及了所有德國(guó)人，引起了巨大的恐慌。與此同時(shí)，世界各地都產(chǎn)生了無數(shù) Mirai 新的變種，像僵尸一樣擴(kuò)散著。直到2017年5月 FBI 才找到并指控了那三個(gè)年輕人。

德國(guó)總共有8000萬人口，4000萬個(gè)家庭。就在那次襲擊中，德國(guó)電信（Telekom）旗下2000萬臺(tái)家庭路由器遭到黑客攻擊，其中很多被黑客控制，90萬臺(tái)服務(wù)器直接宕機(jī)，互聯(lián)網(wǎng)的光芒像被榴彈擊碎的燈火，在這些家庭的窗口黯然熄滅。

暗夜里，德國(guó)沉入大西洋。

屠殺持續(xù)了三天。情狀之慘烈，堪比1939年納粹德國(guó)閃擊波蘭，只不過這次歷史調(diào)皮地調(diào)換了主角。

“路由器激戰(zhàn)”的這三天時(shí)間里，雙方打得昏天黑地，用戶想正常上網(wǎng)簡(jiǎn)直就是癡人說夢(mèng)。德國(guó)電信只得宣布，因故不能上寬帶網(wǎng)的家庭，可以免費(fèi)獲得一張4G網(wǎng)卡免費(fèi)券，臨時(shí)用手機(jī)網(wǎng)絡(luò)“續(xù)命”。

史中，淺黑科技《黑客的滑鐵盧——德國(guó)陷落全紀(jì)實(shí)》

Mirai工作原理

從核心功能上來看，Mirai是一 款能自我傳播的蠕蟲，也就是說，它是一款惡意程序，通過發(fā)現(xiàn)、攻擊并感染存在漏洞的IoT設(shè)備實(shí)現(xiàn)自我復(fù)制。Mirai也是一種僵尸網(wǎng)絡(luò)，因?yàn)樗鼤?huì)通過一組中央命令控制（command andcontrol，C&C）服務(wù)器來控制被感染的設(shè)備。這些服務(wù)器會(huì)告訴已感染設(shè)備下一步要攻擊哪些站點(diǎn)。總體而言，Mirai由兩個(gè)核心組件所構(gòu)成：復(fù)制模塊以及攻擊模塊。

Mirai的復(fù)制模塊

Mirai復(fù)制模塊的原理圖

復(fù)制模塊負(fù)責(zé)擴(kuò)大僵尸網(wǎng)絡(luò)規(guī)模，盡可能多地感染存在漏洞的IoT設(shè)備。該模塊通過（隨機(jī)）掃描整個(gè)互聯(lián)網(wǎng)來尋找可用的目標(biāo)并發(fā)起攻擊。一旦搞定某個(gè)存在漏洞的設(shè)備，該模塊會(huì)向C&C服務(wù)器報(bào)告這款設(shè)備，以便使用最新的Mirai版本來感染該設(shè)備，如上圖所示。

為了感染目標(biāo)設(shè)備，最初版本的Mirai使用的是一組固定的默認(rèn)登錄名及密碼組合憑據(jù)，其中包含64個(gè)憑據(jù)組合，這些憑據(jù)是IoT設(shè)備的常用憑據(jù)。雖然這種攻擊方式比較低級(jí)，但事實(shí)證明該方法效率極高，Mirai通過這種方法搞定了超過60萬個(gè)設(shè)備。

僅憑64個(gè)眾所周知的默認(rèn)登錄名及密碼，Mirai就能夠感染600，000個(gè)IoT設(shè)備。

攻擊模塊

C&C服務(wù)器負(fù)責(zé)指定攻擊目標(biāo)，而攻擊模塊負(fù)責(zé)向這些目標(biāo)發(fā)起DDoS攻擊，如下圖所示。該模塊實(shí)現(xiàn)了大部分DDoS技術(shù)，比如UDP泛洪（UDPflood）攻擊、HTTP泛洪攻擊，以及所有的TCP泛洪攻擊技術(shù)。Mirai具備多種模式的攻擊方法，使其能夠發(fā)起容量耗盡攻擊（volumetricattack）、應(yīng)用層攻擊（application-layer attack）以及TCP狀態(tài)表耗盡攻擊（TCP state-exhaustion attack）。

Mirai攻擊模塊的原理圖

通過分析Mirai源碼發(fā)現(xiàn)了如下技術(shù)特點(diǎn)：

1）由中心服務(wù)器C&C實(shí)施感染（這個(gè)服務(wù)被稱為L(zhǎng)oad），而非僵尸自己實(shí)施感染。

2）Josiah White寫了一個(gè)精妙的掃描器，采用高級(jí)SYN掃描，可以一次發(fā)出成千上萬的 SYN 包，掃描速度提升成百上千倍，大大提高了感染速度。

3）強(qiáng)制清除其他主流的IoT僵尸程序，干掉競(jìng)爭(zhēng)對(duì)手，獨(dú)占資源。比如清除QBOT、Zollard、Remaiten Bot、anime Bot以及其他僵尸。

4）一旦通過Telnet服務(wù)進(jìn)入，便強(qiáng)制關(guān)閉Telnet服務(wù)，以及其他入口（如SSH的22端口，Web的80端口），并且占用服務(wù)端口防止這些服務(wù)復(fù)活。

5）過濾掉通用電氣公司、惠普公司、美國(guó)國(guó)家郵政局、國(guó)防部等大型公司和組織機(jī)構(gòu)的IP，避免招來麻煩。

6）獨(dú)特的GRE協(xié)議洪水攻擊，加大了攻擊力度。

7）由于Mirai無法將自身寫入到IoT設(shè)備固件中，只能存在于內(nèi)存中。所以一旦設(shè)備重啟，Mirai的bot程序就會(huì)消失。為了防止設(shè)備重啟，Mirai向看門狗發(fā)送控制碼 0x80045704 來禁用看門狗功能。這是因?yàn)椋?a target="_blank">嵌入式設(shè)備中，固件會(huì)實(shí)現(xiàn)一種叫看門狗的功能，有一個(gè)進(jìn)程會(huì)不斷地向看門狗進(jìn)程發(fā)送一個(gè)字節(jié)數(shù)據(jù)，這個(gè)過程叫喂狗。如果喂狗過程結(jié)束，那么設(shè)備就會(huì)重啟，因此為了防止設(shè)備重啟，Mirai關(guān)閉了看門狗功能。這種技術(shù)常常被廣泛應(yīng)用于嵌入式設(shè)備的攻擊中，比如曾經(jīng)的海康威視漏洞（CVE-2014-4880）攻擊代碼中就采用過這種防重啟技術(shù)。

小結(jié)

Mirai僵尸網(wǎng)絡(luò)的感染對(duì)象已經(jīng)從網(wǎng)絡(luò)攝像頭、路由器、家居安防系統(tǒng)，擴(kuò)展到了智能電視、智能穿戴設(shè)備，甚至是嬰兒監(jiān)視器，任何有互聯(lián)網(wǎng)連接的IoT設(shè)備都可能成為潛在的目標(biāo)，而一般用戶很難注意到設(shè)備已被感染。由于所有的密碼均固化在IoT設(shè)備固件中，因此即便重啟后Mirai從內(nèi)存中消失，也無法杜絕二次感染。建議開發(fā)者通過端口掃描工具探測(cè)一下自己的設(shè)備，是否開啟了SSH，Telnet，HTTP/HTTPS服務(wù)，條件允許的話請(qǐng)禁用SSH和Telnet服務(wù)。

1.2 海康威視設(shè)備安全事件

2015年2月27日中午，江蘇省公安廳發(fā)布特急通知《關(guān)于立即對(duì)全省海康威視監(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》稱，接省互聯(lián)網(wǎng)應(yīng)急中心通報(bào)，江蘇省各級(jí)公安機(jī)關(guān)使用的杭州海康威視數(shù)字技術(shù)股份有限公司監(jiān)控設(shè)備存在嚴(yán)重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制，所以要求各地組織力量，對(duì)使用的海康威視設(shè)備進(jìn)行全面清查，并開展安全加固，消除安全漏洞。

隨后，海康威視官方發(fā)布《海康威視針對(duì)“設(shè)備安全”的說明》，稱江蘇省互聯(lián)網(wǎng)應(yīng)急中心通過網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)部分在互聯(lián)網(wǎng)上的海康威視設(shè)備因弱口令（弱口令包括使用產(chǎn)品初始密碼或其他簡(jiǎn)單密碼，如123456、888888、admin等）問題被黑客攻擊，將組織專項(xiàng)應(yīng)急技術(shù)團(tuán)隊(duì)，幫助各地市進(jìn)行產(chǎn)品口令修改和固件升級(jí)工作。

3月2日，海康威視面向投資者召開了信息披露電話會(huì)議，其總經(jīng)理稱：“其他廠家我們不清楚。海康主動(dòng)披露了兩個(gè)缺陷，第一個(gè)是弱密鑰問題，修改密碼就可以解決；第二個(gè)是12月5日我們披露了可能存在的安全隱患RTSP（實(shí)時(shí)流傳輸協(xié)議）。現(xiàn)在公司產(chǎn)品的安全漏洞和安全隱患，可以通過改密碼，系統(tǒng)升級(jí)來解決。”這次之所以引發(fā)江蘇公安廳科技信息處發(fā)文，是因?yàn)橛幸恍〔糠直O(jiān)控設(shè)備并非普通家用，而是公安系統(tǒng)自用的監(jiān)控設(shè)備，它們也遭到境外IP地址控制。海康威視調(diào)查后發(fā)現(xiàn)，來自公安系統(tǒng)的監(jiān)控設(shè)備很可能因?yàn)槭褂昧嘶ヂ?lián)網(wǎng)寬帶服務(wù)進(jìn)行城市治安監(jiān)控而暴露于黑客攻擊范圍中。

1.3 Ripple20事件

2020年6月16日（上個(gè)月的事兒！），以色列網(wǎng)絡(luò)安全公司JSOF公布，研究人員在Treck，Inc.開發(fā)的TCP/IP軟件庫中發(fā)現(xiàn)了19個(gè)0day漏洞，這一系列漏洞統(tǒng)稱為“Ripple20”。全球數(shù)億臺(tái)（甚至更多）IoT設(shè)備可能會(huì)受到遠(yuǎn)程攻擊。

研究人員表示，他們將這19個(gè)漏洞命名為“Ripple20”并不是說發(fā)現(xiàn)了20個(gè)漏洞，而是因?yàn)檫@些漏洞將在2020年及以后的IoT市場(chǎng)中連鎖引發(fā)安全風(fēng)暴。更糟糕的是，研究人員指出，目前發(fā)現(xiàn)的19個(gè)“Ripple20”零日漏洞可能只是冰山一角，而且攻擊者的惡意代碼可能會(huì)在嵌入式設(shè)備中潛伏多年。

JSOF對(duì)Ripple20的安全通告

漏洞詳情

漏洞存在于一個(gè)90年代設(shè)計(jì)的軟件庫里——物聯(lián)網(wǎng)開發(fā)商廣泛使用的，由一家總部位于辛辛那提的軟件公司Treck在1997年開發(fā)的TCP/IP軟件庫，它實(shí)現(xiàn)了輕量級(jí)的TCP/IP堆棧。在過去的20多年間，該軟件庫已經(jīng)被廣泛使用并集成到無數(shù)企業(yè)和個(gè)人消費(fèi)者設(shè)備中。

JSOF研究實(shí)驗(yàn)室的研究人員稱， 受影響的硬件幾乎無所不在，包括從聯(lián)網(wǎng)打印機(jī)到醫(yī)用輸液泵和工業(yè)控制設(shè)備的海量設(shè)備。

這19個(gè)漏洞都是內(nèi)存損壞問題，源于使用不同協(xié)議（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太網(wǎng)鏈路層）在網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包的處理錯(cuò)誤。

潛在風(fēng)險(xiǎn)

仍在使用設(shè)備時(shí)，Ripple20構(gòu)成重大風(fēng)險(xiǎn)。潛在的風(fēng)險(xiǎn)場(chǎng)景包括：

如果面向互聯(lián)網(wǎng)，則來自網(wǎng)絡(luò)外部的攻擊者將控制網(wǎng)絡(luò)中的設(shè)備；已經(jīng)設(shè)法滲透到網(wǎng)絡(luò)的攻擊者可以使用庫漏洞來針對(duì)網(wǎng)絡(luò)中的特定設(shè)備；攻擊者可以廣播能夠同時(shí)接管網(wǎng)絡(luò)中所有受影響設(shè)備的攻擊；攻擊者可能利用受影響的設(shè)備隱藏在內(nèi)網(wǎng)中；復(fù)雜的攻擊者可能會(huì)從網(wǎng)絡(luò)邊界外部對(duì)網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行攻擊，從而繞過任何NAT配置。這可以通過執(zhí)行MITM攻擊或dns緩存中毒來完成；在某些情況下，攻擊者可能能夠通過響應(yīng)離開網(wǎng)絡(luò)邊界的數(shù)據(jù)包，繞過NAT，從網(wǎng)絡(luò)外部執(zhí)行攻擊；在所有情況下，攻擊者都可以遠(yuǎn)程控制目標(biāo)設(shè)備，而無需用戶干預(yù)。

Treck于2020年6月22日已經(jīng)發(fā)布了補(bǔ)丁，供OEM使用最新的Treck堆棧版本（6.0.1.67或更高版本）。現(xiàn)在的主要挑戰(zhàn)是如何讓全球如此多的企業(yè)盡快修復(fù)漏洞，尤其是很多IoT設(shè)備無法安裝補(bǔ)丁程序。針對(duì)此重大風(fēng)險(xiǎn)，IoT設(shè)備開發(fā)者應(yīng)當(dāng)迅速行動(dòng)起來。

安卓設(shè)備不用擔(dān)心。主要是RTOS。嵌入式產(chǎn)品是重災(zāi)區(qū)。

1.4 其他智能設(shè)備漏洞事件

兒童智能手表

由于終端與云端通訊時(shí)的Web API存在經(jīng)典漏洞，所以安全公司曝光全球范圍內(nèi)很多兒童智能手表供應(yīng)商普遍存在安全防護(hù)問題，包括中國(guó)、德國(guó)、挪威等供應(yīng)商，估計(jì)至少有 4700 萬甚至更多數(shù)量的終端設(shè)備可能受此影響。

安全公司發(fā)現(xiàn)，其中一家廠商的產(chǎn)品（包括貼牌生產(chǎn)的）與云平臺(tái)通訊的時(shí)候，所有的通訊請(qǐng)求均為未加密的明文JSONAjax（一種輕量級(jí)的數(shù)據(jù)交換格式）請(qǐng)求，傳輸信息附帶指定的 ID 號(hào)和默認(rèn)密碼 123456，對(duì)調(diào)用的合法性也沒有做動(dòng)態(tài)校驗(yàn)，給黑客控制兒童智能手表提供了機(jī)會(huì)。

2018 年 5 月，深圳市消委會(huì)曾牽頭編制發(fā)布《深圳市兒童智能手表標(biāo)準(zhǔn)化技術(shù)文件》，試圖從產(chǎn)業(yè)鏈層面解決行業(yè)無標(biāo)準(zhǔn)、無監(jiān)管以及山寨雜牌橫行的亂象，文件里概括性提到了在終端、客戶端、安全管理平臺(tái)、數(shù)據(jù)傳輸?shù)葘用娴男畔踩蟆?/p>

電動(dòng)踏板車

小米M365電動(dòng)踏板車可以通過藍(lán)牙與手機(jī)APP完成交互，藍(lán)牙通信使用密碼加密，以確保遠(yuǎn)程交互的安全性，但是安全人員發(fā)現(xiàn)，在交互認(rèn)證過程中，該密碼并沒有被正確的使用。Zimperium zLabs的研究員Rani Idan 在報(bào)告中稱，“我們確定密碼沒有被正確地用作滑板車的認(rèn)證過程的一部分，并且所有命令都可以在沒有密碼的情況下執(zhí)行，密碼僅在應(yīng)用程序端驗(yàn)證，但車本身不驗(yàn)證身份。” 于是安全人員開發(fā)了一個(gè)專門的驗(yàn)證應(yīng)用程序，可以掃描附近的小米M365踏板車，并使用踏板車的防盜功能鎖定它們，無需密碼認(rèn)證。

2 物聯(lián)網(wǎng)脆弱之處

如前所述，為什么IoT設(shè)備會(huì)如此容易受到攻擊呢？大致總結(jié)四點(diǎn)：

一）設(shè)備本身并不集成安全機(jī)制。不像手機(jī)、筆記本、臺(tái)式機(jī)，IoT的操作系統(tǒng)基本上沒有什么防護(hù)能力。原因就在于設(shè)備集成安全機(jī)制的成本太高，還會(huì)減緩開發(fā)流程，有時(shí)候甚至?xí)绊懺O(shè)備性能，如運(yùn)行速度和容量。

二）設(shè)備直接暴露在互聯(lián)網(wǎng)公網(wǎng)中，同時(shí)還可以作為內(nèi)網(wǎng)的一個(gè)中轉(zhuǎn)點(diǎn)，給不法之徒開了后門。

三）設(shè)備中含有基于通用的、Linux驅(qū)動(dòng)的硬件和軟件開發(fā)過程中留下的非必要的功能。設(shè)備應(yīng)用引用的公共類庫，可能年代久遠(yuǎn)、漏洞滿身。存在漏洞的軟件庫不僅由設(shè)備供應(yīng)商直接使用，還集成到大量其他軟件套件中，這意味著許多公司甚至都不知道他們正在使用存在漏洞的代碼。

四）默認(rèn)的身份信息是硬編碼的。這意味著插入設(shè)備就可以運(yùn)行，而不會(huì)創(chuàng)建唯一的用戶名和密碼。甚至根證書、密鑰等機(jī)密信息也都以文本文件的形式燒入固件之中。

3 我們的防范措施

措施主要分為三類：管理、硬件、軟件。

管理方面的防范措施：

從項(xiàng)目立項(xiàng)、配送、綁定、激活，到正式投入使用以及后期的回收、報(bào)廢，都是基于一套完整的中臺(tái)系統(tǒng)，方便跟蹤設(shè)備流轉(zhuǎn)的整個(gè)鏈條，確保設(shè)備流轉(zhuǎn)安全。通過監(jiān)控設(shè)備坐標(biāo)位置、定期自動(dòng)排查偏離校區(qū)的設(shè)備，確保設(shè)備應(yīng)用在校園封閉式環(huán)境中。按餐飲中心維度監(jiān)控設(shè)備上的流量、網(wǎng)絡(luò)請(qǐng)求、應(yīng)用安裝等情況，可以排查惡意使用行為和異常流量。對(duì)設(shè)備的運(yùn)行情況、流量、異常信息、軟硬件使用情況監(jiān)控匯報(bào)，實(shí)時(shí)分析和度量設(shè)備的健康度。

硬件及存儲(chǔ)方面：

采用安全級(jí)處理器，具備加密引擎、SecureBoot、TrustZone。采用業(yè)界領(lǐng)先的3D結(jié)構(gòu)光攝像頭，可實(shí)現(xiàn)金融級(jí)安全，確保支付安全。接口安全：①調(diào)試串口隱藏不外露，且默認(rèn)禁用；②I2C/SPI/MIPI等總線接口隱藏，在PCB內(nèi)層；③JTAG/SWD接口隱藏不外露，且默認(rèn)禁用；④USB/UART或者其他編程接口關(guān)閉。設(shè)備具有唯一的識(shí)別號(hào)（設(shè)備SN號(hào)），便于個(gè)性化安全管控。

系統(tǒng)及接口方面：

基于安卓系統(tǒng)定制安全系統(tǒng)，用自定義的簽名文件作為系統(tǒng)簽名。系統(tǒng)禁用root權(quán)限，關(guān)閉開發(fā)者模式。關(guān)閉了 ADB 服務(wù)接口、USB 調(diào)試接口、WIFI 等接口。開啟 SE 安全模式，嘗試TEE運(yùn)行安全區(qū)，防止沒有啟用 SeLinux 使得設(shè)備陷入遠(yuǎn)程代碼執(zhí)行、遠(yuǎn)程信息泄露、遠(yuǎn)程拒絕服務(wù)等危險(xiǎn)之中。SeLinux 是 Security Enhanced Linux 的縮寫。TEE 是 Trusted ExecutionEnvironment 的縮寫。啟用SECURE BOOT，并校驗(yàn)uboot、boot、system分區(qū)。防止被黑客刷入惡意篡改的固件或分區(qū)鏡像，植入木馬從而被遠(yuǎn)程控制。固件支持遠(yuǎn)程OTA，且OTA有加密加簽的安全校驗(yàn)機(jī)制，確保升級(jí)過程的安全性。系統(tǒng)內(nèi)置自定義的安全桌面，屏蔽第三方惡意應(yīng)用安裝，杜絕軟件風(fēng)險(xiǎn)。需要憑“設(shè)備授權(quán)碼”才能修改系統(tǒng)配置，包括修改網(wǎng)絡(luò)配置等。

軟件方面：

自主授權(quán)和簽名方式，有效防止非法第三方應(yīng)用安裝所帶來的風(fēng)險(xiǎn)。應(yīng)用關(guān)鍵信息so庫化，防止反編譯帶來關(guān)鍵信息泄露的風(fēng)險(xiǎn)。應(yīng)用目錄權(quán)限嚴(yán)格遵守安卓系統(tǒng)規(guī)范。應(yīng)用通信基于HTTPS（HTTP通訊模式下），和MQTT+TLS 1.3（物聯(lián)網(wǎng)通訊模式下）。

4 本章小結(jié)

本章主要介紹了IoT設(shè)備近期發(fā)生的幾起危害遍及全球的大案，從中我們可以發(fā)現(xiàn)IoT設(shè)備安全性薄弱之處，從而可以有針對(duì)性地在設(shè)備管理、硬件和存儲(chǔ)、系統(tǒng)和軟件這三個(gè)層面上做出防范措施和規(guī)范流程。
? ? ? ?責(zé)任編輯:pj