物联网安全隐患已显现：从网络摄像头入侵看物联网安全问题

本篇文章1546字，读完约4分钟

近日，匡恩网络物联网安全院士工作站成立，为物联网安全防护增添了新的力量。多年来，网络安全防护和网络攻击一直是陶和魔术的博弈，物联网安全也是如此。

随着智能处理技术的发展，物联网设备已经逐渐应用于许多行业。大多使用嵌入式操作系统的物联网设备存在很多漏洞，很容易成为黑客的傀儡攻击工具。2016年美国发生的大规模网络拒绝服务攻击为物联网行业敲响了警钟。

物联网系统漏洞百出

众所周知，嵌入式操作系统和软件比普通操作系统更难修复漏洞。事实上，整个物联网系统可能存在安全漏洞。通过了解工业控制系统、智能设备和云系统的安全性和现状，发现当前的物联网系统充满了安全漏洞。

工业控制网络和设备系统的漏洞现状。2016年，美国ics-cert团队收集了500多个全球工业控制安全漏洞，其中重点制造业、能源和水处理成为三大受攻击行业，分别占33%、16%和8%；同时指出，工控设备与物联网的联系使得基于系统漏洞的鱼叉攻击成为2016年使用最广泛的攻击方式，2017年工控系统漏洞数量将继续增加。

智能设备中终端系统漏洞的安全状态。智能设备正在全面普及，制造商过于渴望用户数量和利润，却没有对安全保护给予足够的重视和投资。2012年，一名黑客说，他可以侵入距离目标50英尺以内的起搏器，释放830伏电压，导致死亡；在2013年国防形势黑客会议上，两名美国网络安全人员演示了如何通过攻击软件来突然刹车；在2015年极客网络会议上，黑客展示了破解智能家居的过程。制造商和消费者都没有对这种安全保护给予足够的重视。

云系统漏洞的安全性和现状。在物联网基础设施领域，云服务和数据逐渐积累，安全事件频繁发生。2011年，亚马逊的云计算数据中心发生了宕机事件，大量企业业务受损；2014年，ucloud的国内云平台发生大规模云服务攻击。2015年，恶意漏洞使全球数百万台虚拟机面临网络攻击的风险，这严重威胁了主要云服务提供商的数据安全。2017年，越来越多的企业业务将在云中进行。基于已知系统漏洞的社会工作者、基于未知系统漏洞的apt攻击和0天攻击将对物联网云服务构成巨大威胁。

默认密码是目前安全设备受到攻击的主要原因

在2016年美国发生大规模网络拒绝服务攻击后，中国物联网安全龙头企业匡恩网络对部分城区安装的设备进行了深入测试，发现很多设备的安全防护不力。以下是一些测试的截图:

图1利用摄像头漏洞后，工厂可以通过视频远程监控工厂

图2利用制造工厂的摄像头漏洞远程监控视频

匡恩检查了一个城市的安防设备，发现有351个摄像头暴露在公共网络中，其中96个摄像头存在漏洞，约占28%，物联网设备的安全防护远远不够。匡恩的网络分析表明，安全设备入侵的主要原因是国内安全监控设备的telnet用户名大多是root、admin、guest等常用名称。这些常见的说法很容易被暴力猜到。此外，使用这些设备的用户大多是普通人，很少更改telnet服务的默认密码，因此mirai等恶意软件可以轻松控制大量安全监控设备。更可悲的是，一些物联网设备使用硬编码的登录密码，这是不允许修改的。在这种情况下，即使发现病毒入侵这些系统，制造商和用户也无能为力。

匡恩网络提供建议和意见

正如信息系统中的漏洞无法避免一样，物联网系统中的漏洞也无法完全避免。一千英里的堤坝被蚁巢摧毁，所以物联网设备应该防范安全漏洞。匡恩网建议物联网设备(包括安全监控设备)开发商应加强安全审计，避免密码薄弱或安全旁路漏洞，避免密码硬编码无法修改的错误设计。用户使用时，应停止使用默认/通用密码，及时修改新的登录密码，尽可能避免物联网设备直接通过公共网络访问。匡恩网建议企业应该建立一个系统的、深层次的安全防护体系，这是降低物联网系统漏洞带来的安全风险的最有效途径。