微軟公司近期在拉斯維加斯舉行的年度黑帽大會(huì)上發(fā)布了一個(gè)消息，這引發(fā)了人們對(duì)常見(jiàn)的物聯(lián)網(wǎng)（IOT）設(shè)備對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行大規(guī)模攻擊的一個(gè)惡意黑客集團(tuán)的關(guān)注。

微軟公司表示，這個(gè)黑客集團(tuán)為了侵入企業(yè)網(wǎng)絡(luò)，采用了幾種物聯(lián)網(wǎng)設(shè)備，其中包括IP語(yǔ)音電話、Wi-Fi辦公室打印機(jī)、視頻解碼器等。微軟公司表示，這些攻擊是由一個(gè)名為Strontium的組織（也稱(chēng)為Fancy Bear或APT28）進(jìn)行的，該組織與某個(gè)軍事情報(bào)機(jī)構(gòu)有所關(guān)聯(lián)。

根據(jù)Gartner公司的調(diào)查，到2020年，家庭和企業(yè)用戶(hù)將使用140億多臺(tái)物聯(lián)網(wǎng)設(shè)備。鑒于微軟公司發(fā)布的消息，現(xiàn)在是審查固件中的安全風(fēng)險(xiǎn)的時(shí)候了。固件是為物聯(lián)網(wǎng)設(shè)備的硬件提供低級(jí)控制的特定軟件類(lèi)別。固件安全被廣泛認(rèn)為是一個(gè)緊迫的網(wǎng)絡(luò)安全問(wèn)題，它是黑客用來(lái)在網(wǎng)絡(luò)中立足的無(wú)保護(hù)的常見(jiàn)攻擊面。不安全的物聯(lián)網(wǎng)設(shè)備本質(zhì)上是一個(gè)沒(méi)有上鎖的大門(mén)，這意味著一旦攻擊者控制物聯(lián)網(wǎng)設(shè)備，就可以侵入到其他公司的網(wǎng)絡(luò)中。

黑客積極利用物聯(lián)網(wǎng)安全的弱點(diǎn)，而不是攻擊設(shè)備本身，并將其作為惡意行為的起點(diǎn)，這些惡意行為可能包括分布式拒絕服務(wù)攻擊、惡意軟件分發(fā)、垃圾郵件、網(wǎng)絡(luò)釣魚(yú)、點(diǎn)擊欺詐，以及信用卡詐騙等等。因此，在設(shè)備漏洞導(dǎo)致企業(yè)的收入損失、訴訟、公司聲譽(yù)受損之前，需要了解8個(gè)常見(jiàn)的固件漏洞，以保障企業(yè)網(wǎng)絡(luò)沒(méi)有敞開(kāi)大門(mén)。

1.未經(jīng)身份驗(yàn)證的訪問(wèn)：固件中常見(jiàn)的漏洞之一，未經(jīng)身份驗(yàn)證的訪問(wèn)允許威脅參與者獲得對(duì)物聯(lián)網(wǎng)設(shè)備的訪問(wèn)權(quán)限，從而可以輕松利用設(shè)備數(shù)據(jù)及其提供的控制。

2.弱認(rèn)證：當(dāng)固件具有弱認(rèn)證機(jī)制時(shí)，威脅參與者可以輕松訪問(wèn)設(shè)備。這些機(jī)制的范圍可以從單因素和基于密碼的身份驗(yàn)證到基于弱加密算法的系統(tǒng)，這些算法可以通過(guò)暴力攻擊進(jìn)行破解。

3.隱藏后門(mén)：在固件方面，隱藏后門(mén)是黑客喜歡利用的漏洞。后門(mén)是植入嵌入式設(shè)備中的有意漏洞，可向具有“秘密”身份驗(yàn)證信息的人提供遠(yuǎn)程訪問(wèn)。雖然后門(mén)可能有助于客戶(hù)支持，但當(dāng)惡意行為者發(fā)現(xiàn)后門(mén)時(shí)，它們可能會(huì)產(chǎn)生嚴(yán)重后果。而黑客很擅長(zhǎng)發(fā)現(xiàn)它們。

4. 哈希密碼：大多數(shù)設(shè)備中的固件包含用戶(hù)無(wú)法更改的硬編碼密碼或用戶(hù)很少更改的默認(rèn)密碼。兩者都導(dǎo)致相對(duì)容易利用的設(shè)備。2016年，Mirai僵尸網(wǎng)絡(luò)在全球范圍內(nèi)感染了250萬(wàn)多臺(tái)物聯(lián)網(wǎng)設(shè)備，利用物聯(lián)網(wǎng)設(shè)備中的默認(rèn)密碼執(zhí)行DDoS攻擊，Netflix、亞馬遜和紐約時(shí)報(bào)等一些大公司都遭到了這樣的攻擊。

5.加密密鑰：當(dāng)以易于被黑客攻擊的格式存儲(chǔ)時(shí)，如20世紀(jì)70年代引入的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）的變體，加密密鑰可能給物聯(lián)網(wǎng)安全帶來(lái)很大問(wèn)題。盡管已經(jīng)證明數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）安全性不足，但它仍然在使用。黑客可以利用加密密鑰竊聽(tīng)通信，獲取對(duì)設(shè)備的訪問(wèn)權(quán)限，甚至可以創(chuàng)建可以執(zhí)行惡意行為的惡意設(shè)備。

6. 緩沖區(qū)溢出：當(dāng)對(duì)固件進(jìn)行編碼時(shí)，如果程序員使用不安全的字符串處理函數(shù)，可能會(huì)導(dǎo)致緩沖區(qū)溢出，這將會(huì)出現(xiàn)問(wèn)題。攻擊者花費(fèi)大量時(shí)間查看設(shè)備軟件中的代碼，試圖找出導(dǎo)致不穩(wěn)定的應(yīng)用行為或漏洞，從而打開(kāi)安全漏洞的路徑。緩沖區(qū)溢出可以允許黑客遠(yuǎn)程訪問(wèn)設(shè)備，并且可以實(shí)現(xiàn)創(chuàng)建拒絕服務(wù)和代碼注入攻擊。

7. 開(kāi)源代碼：開(kāi)源平臺(tái)和庫(kù)使復(fù)雜的物聯(lián)網(wǎng)產(chǎn)品得以快速發(fā)展。然而，由于物聯(lián)網(wǎng)設(shè)備經(jīng)常使用第三方開(kāi)放源代碼組件，這些組件通常具有未知或未記錄的源代碼，因此固件經(jīng)常被保留為無(wú)法抵御黑客的未受保護(hù)的攻擊面。通常，只需更新到最新版本的開(kāi)源平臺(tái)就可以解決這個(gè)問(wèn)題，但許多設(shè)備已經(jīng)發(fā)布，其中包含已知漏洞。

8.調(diào)試服務(wù)：物聯(lián)網(wǎng)設(shè)備測(cè)試版中的調(diào)試信息為開(kāi)發(fā)人員提供了設(shè)備的內(nèi)部系統(tǒng)知識(shí)。不幸的是，調(diào)試系統(tǒng)通常留在生產(chǎn)設(shè)備中，使黑客能夠訪問(wèn)設(shè)備的相同內(nèi)部知識(shí)。

隨著新的物聯(lián)網(wǎng)產(chǎn)品迅速推向市場(chǎng)，企業(yè)可以盡快利用物聯(lián)網(wǎng)部署的諸多優(yōu)勢(shì)，并且不會(huì)對(duì)其安全性擔(dān)憂。

好消息是，上面列出的常見(jiàn)的物聯(lián)網(wǎng)漏洞是可以避免的，并且可以在不給制造商帶來(lái)額外成本的情況下進(jìn)行補(bǔ)救。在物聯(lián)網(wǎng)安全方面，一套良好的初始佳實(shí)踐包括：

（1）升級(jí)物聯(lián)網(wǎng)設(shè)備上的固件，并更改默認(rèn)密碼。

（2）編制網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備清單，以便了解風(fēng)險(xiǎn)。

（3）聯(lián)系部署企業(yè)網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備的制造商，詢(xún)問(wèn)他們是否已經(jīng)考慮對(duì)常見(jiàn)漏洞進(jìn)行修補(bǔ)。否則，要求他們?cè)诠碳臀锫?lián)網(wǎng)設(shè)備中實(shí)施安全編碼實(shí)踐。

責(zé)任編輯：ct