一個我們經常掛嘴邊卻不Care的存在

據Gartner發布的數據顯示：2015年，在全球智能住宅和智能建築中所使用的物聯網設備總數為4.95億，佔全球物聯網設備總數（11億）的45%。如此龐大的設備數量給網路安全帶來的巨大的考驗。

IoT(物聯網)是越來越頻繁出現的名詞。它可能聽起來很時尚、前衛，但物聯網其實是個概念，透過互聯網將所有的硬設備連接的一種方式。物聯網將在未來實際應用於建築自動化和中央監控系統。

我們已經習慣的網路思維是連接計算機、智能手機和個人。物聯網則是使用相同的技術來連接硬設備與硬設備之間，這個連接當中沒有「人」這個因素的存在。全球將會有越來越多具備物聯網功能的設備、系統和服務，包括各項通訊協議以及適合各式各樣應用領域的傳輸技術。這些設備的互聯幾乎可以應用在所有的領域，不再需要人為的操作與指令。

物聯網於智能建築中，涵蓋了空調、機電控制、保安防盜、防火防災等，透過網路連接所有的系統，而且不僅止於控制，針對每項設備傳回來的數據進行分析和解讀，使得設備與系統之間達到更完善的平衡與應用。透過物聯網的技術，從世界上的任一個依地方，都可以實時監控該建築物的運作情況。

近日，來自IBMX-Force安全研究團隊的研究人員對一幢寫字樓的自動化控制系統進行了測試，發現其中存在很多安全問題。他們進行測試的著手點，就是該寫字樓的一台存在漏洞的路由器。

BMX-Force團隊就找到了一種進入大樓網路的方法。IBMX-Force安全分析師ChrisPoulin指出，我們正是通過攻擊一個存在漏洞的路由器，才進入了其網路。

接下來，該測試團隊還嘗試著獲取該路由器的共享密碼（該密碼是以明文的形式保存），之後拿到訪問BAS的許可權，並控制其的運行。在拿到密碼之後，他們結合該共享密碼和路由上的安全漏洞，拿到了本地BAS控制器的管理許可權。

整個過程就像玩多米諾骨牌一樣，當其中一個關鍵步驟實現（指拿到路由器密碼），剩下的就很輕鬆了。該團隊最終拿到了BAS中央伺服器的管理許可權，並能控制美國幾個地方多棟建築中的自動化控制器。

上述這個例子並不是實驗室才會發生，在2016年第四季度，以物聯網(IoT)設備為目標和源頭的攻擊活動開始佔據新聞頭條。不安全的物聯網設備成為威脅實施者眼中唾手可得並可輕鬆利用的成熟果實。眾所周知，部分設備甚至被用作殭屍網路，針對選定的目標發起DDoS攻擊。

從上面的圖表中我們可以看到家庭路由器在2015年引發了大部分物聯網IPS特徵攻擊，將近820,000次。排在其後的依次是由網路攝像頭、電信系統、網路附屬存儲(NAS)系統引發的特徵攻擊。通過比較可以發現，數字錄像機/網路錄像機(DVR/NVR)、智能電視、以及印表機引發次數相對較少。

物聯網安全正在越來越成為當下網路安全的新的殺手鐧。如果物聯網製造商不能確保其設備的絕對安全，對數字經濟的潛在影響可能是毀滅性的。若不引起警惕，關鍵服務中斷的事件是很有可能發生的。由於目前存在漏洞的物聯網設備越來越普遍，針對物聯網設備的攻擊將繼續投機取巧並變得更加複雜物聯網通信和數據採集鏈中的漏洞會被更多的利用。物聯網安全，已經我們不得不重視的網路安全新方向。

作者：河姆渡 |智能建築研究中心