正在阅读：半数网络瘫痪 你不得不直视的IoT设备安全半数网络瘫痪 你不得不直视的IoT设备安全

　　【PConline 杂谈】继美国互联网瘫痪后，新加坡电信公司星和（StarHub）也遭到黑客攻击，造成公司的部分宽带用户网络中断，且所用手段与造成美国东海岸及欧洲部分地区大面积网络瘫痪的攻击方式极为相似。连续发生的智能联网设备攻击事件，也让我们看到这些设备在安全性上，仍存有脆弱的一面。

半数网络瘫痪 你不得不直视的IoT设备安全

　　此次攻击事件之所以波及范围广，是因为黑客利用公开的源代码，组建了一支以联网设备为主的僵尸网络军团，其中包括了网络摄像头、打印机等，对互联网的关键部分发动的攻击。导致Twitter、Tumblr、 Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp在内的多个知名网站的互联网服务全面宕机，造成超过半数美国人无法上网。

中枪的中国企业

　　在这场大规模网络攻击中，中国电子产品厂商雄迈的产品无意中成为黑客“帮凶”。据安全研究人员称，被称作Mirai的恶意件，一直在利用雄迈产品中的缺陷，在其中注入恶意代码，并利用它们发动大规模分布式拒绝服务攻击，其中包括对美的这次攻击。

　　Mirai能控制物联网设备，将它们组成一个巨大的僵尸网络，然后命令这些设备向目标网站发出超过其处理能力的请求，从而让网站宕机。此外，Mirai恶意件似乎也会攻击那些默认密码强度不高的其他物联网产品。有关安全专家发现，Mirai曾尝试利用60多种“用户名-密码”组合对设备进行攻击。

断网对一个国家伤害有多大？

　　那么，网络瘫痪的代价到底有多大呢？主要体现在这个国家的GDP上。从Brookings Institution研究所一项最新的研究结果表明，在过去的一年间，由于网络瘫痪造成的损失超过20亿美元，而这还仅是对成本做出的一个粗略估计。

　　本质上来说，此项研究收集的数字，表明的是某个国家的GDP受影响的程度，前提是该国经济完全依赖互联网，或依赖特定的应用程序。用它除以365天，再乘以网络崩溃的天数，例如是7天，就会得到这样一个结果：

　　当然，这还只是调查结果中，少数的几个国家数据，在2015年7月至2016年6月期间，不少国家都经历了互联网或是个人APP崩溃的情况，损失共计24亿美元左右。需要说明的是，此处提到的24亿美元，只涉及对国际GDP的影响，并不包括因网络不畅所导致的税收流失、劳动生产率下降、与网络故障相关业务拓展壁垒，或因网络中断引起的投资者、消费者和商业信心丧失等无形成本。因此，24亿美元只是一个保守估计。

物联网攻击事件的背后

　　对于美国以及欧洲部分地区发生的这次大规模断网事件，很多人都觉得来势凶猛且毫无征兆。实际上，早在10月初就有安全人员发布了物联网恶意代码Mirai的分析报告。Mirai发动DDoS攻击的源码在今年9月份就已经在黑产市面里公布出来，其后各种升级版本不断出现，并参与到多次DDoS攻击行动里，直到其被暴露在大众面前。黑客完美的利用了这个时间差，发起了此次更像是用于验证的超大范围物联网DDoS攻击。

　　不难看出，黑客物联网攻击的整个过程：先是挖掘物联网安全漏洞，使用恶意软件感染物联网设备；布设IoT僵尸网络；之后检验并升级物联网攻击恶意代码；感染针对性物联网设备，完善僵尸网络；随后，继续找寻、挖掘物联网设备漏洞，发现适合度高的攻击目标；并在合适的时间节点，发起测试性广度、深度攻击，验证物联网攻击效果；继续完善物联网攻击生态环境，然后潜伏起来；在关键时间节点发起致命攻击；探寻新物联网恶意攻击面，往复循环。

抵御网络攻击，还需软硬件厂商联手

　　此次攻击事件，也让我们看到物联网应用程序存在其脆弱的一面，毫不设防的程序代码，让黑客可以轻松得手，更给科技行业敲响了警钟，促使设备厂商尽快采取措施，改善电子设备乃至整个互联网的安全性。

　　随着越来越多的智能设备连入互联网，将使这类攻击变得更加轻松。对此，思科安全与信任组织高级主管安Anthony Grieco表示，要想确保每一件物联网设备的安全，是一件非常困难的事情。保护所有的来源是一个真正的挑战。寻找目标需要耗费大量精力。

IoT设备的其它安全问题

　　当然，除了被当做“肉鸡”外，这些联网设备还存在着其它安全隐患。当我们开发一款IoT产品时，从一开始就要将安全问题考虑进去，并通过研究攻击方式从而提高IoT产品的防御能力，听起来这个更像是一个逆向思考的过程。

　　首先是联网设备数量的增多所带来的大量数据。很多智能硬件客户端的开发者对智能硬件的配置信息和控制信息没有选择可靠的存储方式。再者，是服务端控制措施部署不当。现有智能硬件的安全策略由于要降低对服务端的性能损耗，大多数情况下是把安全规则部署在客户端，未对所有客户端输入数据的输入检查和标准化。

　　此外，在传输过程中也没有加密。IoT设备在使用过程中，需连接Wi-Fi网络，应在此场景下的设计防护措施。密钥保护措施也存在问题，如果对密钥存放的方式不当，黑客可以轻而易举地将数据还原成明文进行逆向分析，从而进行进一步的攻击。

　　如此来看，要解决物联网的安全问题，需要提高整个社会的物联网安全意识，尤其是接入物联网的智能硬件设备生产商的安全意识和安全能力，‘以攻促防、以防抑攻’，全面提高物联网产品自身的安全防御能力。