本文轉載自微信公眾號“數世咨詢”（dwconcn）。

盡管物聯網帶來了新的數據收集、管理和應用的途徑，但是也帶來了大量的網絡安全攻擊。其中的一大隱患就在于TCP/IP架構中，包括了應用層、傳輸層、網絡層和物理層。

其實從各種角度來看，TCP/IP架構本來就不是為物聯網而設計的。雖然說工程師和開發(fā)者們都在努力試圖修改或者為TCP/IP架構增加擴展，但是環(huán)境本身的復雜性，外加TCP/IP架構設計之初就沒有考慮到安全性的原因，這一過程帶來了許多安全層面的挑戰(zhàn)——其中不乏有現實層面的問題。

加州的物聯網咨詢與應用公司Strategy of Things的高級合伙人Benson Chan認為，TCP/IP之所以成為一大隱患，是因為TCP/IP幾乎是所有物聯網設備的基礎軟件組成部分，因此涉及的數量極大。

[[382547]]

TCP/IP為何成為物聯網的威脅?

從最基礎的層面來看，TCP/IP架構使得物聯網設備能夠和網路以及其他設備進行通信。這些架構都是開源的，而被大部分嵌入式設備以及物聯網組件的廠商免費試用。

Chan補充道：“物聯網設備廠商會購買已經內置好TCP/IP架構代碼的芯片和組件，再用這些元件建造物聯網產品。”

然而可惜的是，許多的物聯網設備廠商并不知道他們的設備是否有隱患，因為他們對芯片和組件中使用的架構沒有絲毫可視能力。另外，分析每一個設備，然后找出程序錯誤或者TCP/IP結構中的其他問題，顯然不可行。

這導致的結果，就是所有設備都容易遭到攻擊，產生信息泄露;會發(fā)生設備故障、數據丟失或者損壞，最終對品牌產生損害。同樣的，這也會對網絡安全成本造成上升。

Forescout的研究經理，Danile dos Santos，認為：“TCP/IP結構的脆弱性管理正在對安全社群而言，成為一個真正的挑戰(zhàn)。”

究竟有哪些威脅?

就在去年，URGENT/11和RIPPLE20等一系列漏洞造成了極大影響。而今年，AMNESIA:33等33個其他漏洞影響了四個常用的開源TCP/IP架構——uIP、FNET、picoTCP、以及Nut/Net。這四個架構是包括醫(yī)療設備、工控系統(tǒng)、路由器、交換機、智能家居在內的百萬物聯網設備、工業(yè)設備、網絡設備的基礎組件。攻擊者可以利用這些漏洞進行遠程代碼執(zhí)習、DoS攻擊，甚至強行占用設備。根據Forescout上個月的報告，超過150個廠商的設備帶有風險。

這些漏洞可能存在于商業(yè)組件或者開源組件中。嵌入組件包括芯片級系統(tǒng)、連接組件、OEM主板等;物聯網設備包括智能插件、智能手機、傳感器、游戲手柄等;OT系統(tǒng)包括門禁、IP攝像頭、協(xié)議網關、HVAC等;網絡和IT設備則包括打印機、路由器、服務器等。

dos Santos指出，AMNESIA:33 之所以影響巨大，不僅因為大量存在該漏洞的設備，還有其他幾個原因。其中一個原因，是硬件中對開源組件的廣泛以及嚴重的依賴性。這些結構中的代碼幾乎和每個與設備進行交互的數據包都有接觸，從而使得這些漏洞能對空閑的設備產生影響。由于源代碼在88%的嵌入式項目中都會被重用，這會使得AMNESIA:33這類漏洞造成的影響數倍擴大。

Forescout的報告中提到，攻擊者可以通過遠程代碼執(zhí)行控制目標設備，然后DoS攻擊影響其性能，最終損害業(yè)務。攻擊者還能通過信息泄露的漏洞獲取敏感信息，用DNS中毒的方式將目標設備導向惡意網站。

根據報告：“由于漏洞的廣泛影響特性，全球許多組織可能都已經被AMNESIA:33所影響。”

組織如何能夠解決TCP/IP結構中的漏洞?

專家指出，解決TCP/IP架構中的隱患可以分為三個基礎步驟：識別網絡上所有的設備并意識到哪些是有隱患的、評估這些設備帶來的風險——包括業(yè)務關聯性、嚴重性、以及互聯網暴露程度、最后緩解評估到的風險。

dos Santos補充認為：“最后一點可以由多種方式達成：比如補丁修復、對網絡進行劃分并隔離關鍵設備、加強安全合規(guī)、以及監(jiān)測網絡中的惡意流量。”

而專門針對AMNESIA:33，他建議禁止并阻斷IPv6流量，并在任何可能的時候依靠內部DNS服務器進行交互;因為在架構中的數個協(xié)議都受到了多個漏洞的影響。

同樣，企業(yè)也可以依靠網絡安全解決方案，自動化優(yōu)化最佳實踐。這包括了采取一些更主動的方式，比如對關鍵設備進行隔離——無論這些設備是否存在漏洞，從而減少風險暴露面以及限制攻擊造成的影響。

另一方面，安全團隊能回答問以下一些關鍵問題：代碼是否正規(guī)?這些代碼的貢獻者是誰，是否還有人在維護這些代碼?開源代碼庫確實簡化了編程過程，但是這依然需要開發(fā)者了解代碼庫里存在什么——畢竟現在太多時候，開發(fā)者會在不了解代碼內容的情況下輕易連入一個代碼庫。

對了，AMNESIA:33以及其他和TCP/IP相關的物聯網漏洞暫時看來不大可能消失。

Chan表示：“大部分在AMNESIA:33中的漏洞是由糟糕的軟件開發(fā)流程和管理行為導致的。升級軟件可以解決一部分問題，但關鍵是要知道哪些設備存在受影響的架構。物聯網設備廠商從供應商處購買芯片和組件，但他們本身卻不知道其中到底有哪些軟件。”

點評

物聯網的發(fā)展是大勢所趨，但傳統(tǒng)的互聯網網絡架構和軟件能否支撐物聯網設備成為了一個疑問——而答案可能并不怎么理想。物理網設備的使用者顯然很難直接影響到物聯網設備本身的安全性，但是可以通過加強對物聯網設備的管控來減少物聯網設備風險帶來的影響;而更底層的設備本身的安全性，則需要物聯網廠商、芯片供應商等提高安全意識和重視度，從而提供更安全的物聯網設備。