隨著物聯(lián)網(wǎng)的發(fā)展，每個(gè)家庭配置的物聯(lián)網(wǎng)設(shè)備越來(lái)越多，小到手表、攝像頭，大到家里的冰箱、洗衣機(jī)，甚至智能汽車(chē)，這些設(shè)備都可以通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通。不過(guò)這些設(shè)備在帶給我們便利的同時(shí)也帶來(lái)安全隱患，因?yàn)楹诳蛡円部梢酝ㄟ^(guò)物聯(lián)網(wǎng)入侵我們的設(shè)備。

并非遙不可及，IoT攻擊在你我身邊

上述介紹的手表、攝像頭、智能汽車(chē)等設(shè)備，我們統(tǒng)稱(chēng)為IoT設(shè)備。IoT是“Internet of things”的簡(jiǎn)稱(chēng)，顧名思義就是物物相連的互聯(lián)網(wǎng)，基于該網(wǎng)絡(luò)連接的設(shè)備則為IoT設(shè)備。也許很多人并不了解IoT，但是近來(lái)針對(duì)IoT設(shè)備進(jìn)行攻擊的案例卻很多。根據(jù)一項(xiàng)統(tǒng)計(jì)，僅僅在2016年下半年就有高達(dá)1.2Tbps流量DDoS攻擊、250萬(wàn)個(gè)IoT僵尸大軍、5億個(gè)IP發(fā)動(dòng)DNS查詢(xún)請(qǐng)求、全球75家大型影音、社交網(wǎng)站淪陷、近百萬(wàn)臺(tái)德國(guó)電信家用路由器停擺。據(jù)網(wǎng)絡(luò)安全公司 Corero于2017年11月底發(fā)布的一份報(bào)告，宣稱(chēng)2017上半年的DDoS攻擊數(shù)量增加一倍，起因亦是IoT所致。物聯(lián)網(wǎng)研究機(jī)構(gòu)IoT Institute采訪(fǎng)了多位物聯(lián)網(wǎng)安全專(zhuān)家，表示2018年IoT攻擊呈越來(lái)越上升的趨勢(shì)，并且很多攻擊將無(wú)法探測(cè)。

我們以家用攝像頭為例，很早以前，中央電視臺(tái)的《每周質(zhì)量報(bào)告》就曝光大量家庭攝像頭遭入侵，掃描軟件輕松獲取IP地址。這樣你在家里的一舉一動(dòng)就會(huì)被“現(xiàn)場(chǎng)直播”到網(wǎng)絡(luò)，讓我們幾乎沒(méi)有隱私可言。

央視報(bào)道攝像頭泄密截圖

當(dāng)然在常見(jiàn)的IoT設(shè)備中，并不是僅僅只是攝像頭泄密，像掃地機(jī)器人、智能手環(huán)、共享單車(chē)，甚至無(wú)人駕駛汽車(chē)等等，這些設(shè)備都有被大量黑客入侵，導(dǎo)致用戶(hù)隱私泄露。針對(duì)IoT攻擊已經(jīng)時(shí)刻存在你我身邊。

黑客使用電腦入侵無(wú)人駕駛汽車(chē)

IoT設(shè)備是這樣被攻克——IoT攻擊解密

如上所述，現(xiàn)在已經(jīng)有很多IoT設(shè)備被黑客攻擊，那么這些黑客是怎樣入侵我們的IoT設(shè)備的呢？

我們先來(lái)了解一下IoT設(shè)備的工作原理，這里以家庭常見(jiàn)的網(wǎng)絡(luò)攝像頭為例。攝像頭通過(guò)WiFi連接到互聯(lián)網(wǎng)，并將影像傳輸?shù)骄W(wǎng)絡(luò)。手機(jī)通過(guò)安裝的APP，在APP完成用戶(hù)注冊(cè)和驗(yàn)證，這樣APP可以通過(guò)特定的端口連接到指定網(wǎng)絡(luò)服務(wù)器，通過(guò)服務(wù)器查看攝像頭的實(shí)時(shí)影像，這就是一個(gè)物聯(lián)網(wǎng)設(shè)備的典型應(yīng)用。

網(wǎng)絡(luò)攝像頭的連接圖解

顯然在上述的連接中，只要黑客們知道連接的端口和設(shè)備的IP地址，再借助攝像頭連接的弱密碼，他們就可以通過(guò)網(wǎng)絡(luò)看到攝像頭的影像，從而導(dǎo)致個(gè)人隱私的泄露。在實(shí)際的攝像頭入侵案例中，黑客們也正是先通過(guò)通過(guò)很多非法掃描軟件，然后借助這些掃描軟件獲取攝像頭的IP地址，接著依靠掃描器，用一些弱口令密碼，做大范圍的掃描。最終通過(guò)獲得的弱口令密碼來(lái)實(shí)現(xiàn)對(duì)攝像頭的入侵。

網(wǎng)上叫賣(mài)的入侵教程

實(shí)際上IoT設(shè)備通過(guò)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)后，這些設(shè)備的驗(yàn)證、運(yùn)行方式幾乎和我們常用的電腦并沒(méi)有什么大的不同。黑客們平時(shí)通過(guò)各種黑客工具針對(duì)的電腦的攻擊，通過(guò)簡(jiǎn)單的改造就可以移植到針對(duì)IoT設(shè)備的攻擊。

因此除了上述掃描端口攻擊外，隨著IoT設(shè)備的增多，黑客們還有很多攻擊手段，僵尸網(wǎng)絡(luò)（一般由物聯(lián)網(wǎng)設(shè)備打造的僵尸網(wǎng)絡(luò)稱(chēng)做ThingBots）攻擊便是一種。ThingBots是由不同種類(lèi)的設(shè)備組成的，它們都是互聯(lián)互通的。黑客們?cè)诰W(wǎng)上激活這些設(shè)備后，就可以通過(guò)它們來(lái)進(jìn)行僵尸網(wǎng)絡(luò)攻擊，通過(guò)IoT設(shè)備來(lái)發(fā)送大量的垃圾郵件或者信息。

 ThingBots攻擊

此外還有諸如中間人攻擊（黑客通過(guò)在兩個(gè)獨(dú)立系統(tǒng)中間，進(jìn)行安全數(shù)據(jù)竊取與破壞）、身份認(rèn)證（黑客通過(guò)身份盜取來(lái)進(jìn)行對(duì)loT設(shè)備的攻擊，盜取共享單車(chē)的認(rèn)證，實(shí)現(xiàn)他人騎車(chē)你付賬）、拒絕服務(wù)（黑客通過(guò)分布式拒絕服務(wù)DDoS攻擊，大量惡意系統(tǒng)攻擊同一個(gè)目標(biāo)，從而導(dǎo)致loT設(shè)備服務(wù)商癱瘓，給廣大用戶(hù)帶來(lái)不便）等等。

DDoS攻擊

小心無(wú)大錯(cuò)，如何避免自己IoT設(shè)備被入侵

通過(guò)上述介紹可以知道，現(xiàn)在很多IoT設(shè)備都有漏洞。那么在日常使用這些IoT設(shè)備時(shí)該怎樣進(jìn)行自我保護(hù)？

IoT設(shè)備要盡量從正規(guī)渠道購(gòu)買(mǎi)，這樣可以防止買(mǎi)到暗藏后門(mén)或者惡意軟件的IoT設(shè)備。其次對(duì)設(shè)備的初始驗(yàn)證密碼進(jìn)行更改，盡量設(shè)置復(fù)雜的驗(yàn)證密碼，同時(shí)要及時(shí)升級(jí)官方固件，像不少 手品牌機(jī)的攝像頭就可以在APP端定期檢查固件升級(jí)。

小米攝像頭固件升級(jí)

當(dāng)然作為IoT設(shè)備廠(chǎng)商，也應(yīng)該針對(duì)自己的設(shè)備加強(qiáng)安全防護(hù)。針對(duì)IoT固件的防護(hù)，從源頭入手通過(guò)對(duì)IoT設(shè)備上運(yùn)行的程序進(jìn)行深入保護(hù)，在發(fā)現(xiàn)BUG時(shí)即使推出升級(jí)固件，從底層加強(qiáng)對(duì)設(shè)備的保護(hù)

物聯(lián)網(wǎng)將我們常用設(shè)備甚至信息都進(jìn)行了互聯(lián)互通，這樣在提供了便利的同時(shí)也埋下了隱患。如何更好保護(hù)我們的隱私和IoT的安全，無(wú)論是消費(fèi)者和廠(chǎng)商都還有很長(zhǎng)的路要走。