初识物联网安全

物联网(IOT，The Internet of Things) ，物物(包括人)相连的互联网。因此，物联网可以定义为：把所有物品通过信息传感设备与互联网连接起来，实现智能化识别、运作与管理功能的网络。

目前我们都在大力发展万物互联，当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活，甚至生命安全，物联网设备安全不容小觑。
目前，物联网还没有统一的、公认的体系架构，较为公认的体系架构分为三个层次：感知层、网络层、应用层。

物联网发展史

1900年，来自卡内基梅隆大学的程序员将一台可口可乐自动售卖机连接到互联网，让工程师无需下楼就知道还剩多少可乐。这个是名义上最早的物联网设备。

1991年，来自英国剑桥大学的“特洛伊”咖啡壶吸引了百万人关注，剑桥大学的科学家们编写了一套程序。利用便携式摄像机捕捉图像，以3帧每秒的速率传递到计算机上，便于查看咖啡是否煮好。这是世界上第一个网络摄像头。
1995年。微软帝国的缔造者比尔盖茨撰写了轰动全球的《未来之路》。在该书中，比尔盖茨也提到了物联网的构想。
1998年，英国工程师kevinAshton。在保洁公司的一次演讲中，首次提出物联网概念，把所有物品通过射频识别等信息传感设备与因特网连接起来，实现智能化识别和管理。kevin Ashton 也因此被称为物联网之父。

2003年，美国技术评论提出，传感网络技术将是未来改变人们生活的十大技术之首。
2005年，在突尼斯举行的信息社会世界峰会上，国际电信联盟发布了ITU 《因特网报告2005》正式提出了物联网的概念。报告指出无所不在的物联网通信时代即将来临。
2009年，IBM 提出物联网战略-"智慧地球",标志着物联网进入到快速发展期。
2013年，谷歌眼镜发布，这是物联网和可穿戴技术的一个革命性进步。
2014年，亚马逊发布了Echo 智能扬声器，开启智能音箱及智能家居时代。
2015年至2018年期间，阿里巴巴、百度、腾讯相继成立IOT物联网事业部。
2019年，沃达丰发布了《2019年物联网报告》。调查发现，超过三分之一的公司现在正在使用物联网。
2020年，随着5g 的慢慢普及，物联网开始迎来一波爆发，国家企业都纷纷在5g 和物联网的风口中寻找到突破点，开启万物互联的智能世界。

物联网安全事件

当业界在推动产业物联网高速发展同时，物联网安全问题也给我们敲响了警钟。国内外挖矿、设备劫持事件频发，智能家居产品不断爆出安全漏洞，漏洞被利用时将造成不可逆的经济损失，同时也反映在物联网产业建设初期，安全作为物联网应用的基础设施的重要性。
总结近年来的安全事件，其中常见的物联网攻击类型包括：

1.IOT设备盗用、物理篡改

2.针对暴露在互联网上的设备、网关、服务器的DDoS攻击

3.物联网通信的拦截、窃密、重定向。

4.身份欺骗和伪装，密码爆破，构造虚假控制报文注入

5.协议窃听、恶意基站中间人攻击

6.物联网木马、恶意软件

7.利用漏洞，利用不安全的OTA更新方法进行软件和固件攻击

8.利用过度授权，进行横向攻击

http://www.iotworld.com.cn/html/News/202101/2cd2f67b3e780fc5.shtml

物联网安全维度

从物联网系统的攻击面来分析该如何进行安全测试

1.弱密码、可猜测密码或硬编码密码

物联网操作系统/云平台存在默认密码、弱密码等，包括物联设备固件或客户端软件中带有明文密码信息、未经授权访问的后门等。

2.不安全的网络服务

物联网操作运行了一些不需要或不安全的网络服务（如ftp、telnet、smb等）,尤其是那些暴露在互联网上的服务。它们会损害信息的保密性、完整性、真实性、可用性，利用低版本组件漏洞允许未经授权的远程控制。

3.不安全的生态接口

物联网操作系统中有不安全的Web、后端API、云或移动接口，导致设备或相关组件遭攻陷。常见的问题包括缺乏认证或授权、缺乏加密或弱加密以及缺乏输入和输出过滤。

4.缺乏安全的更新机制

物联网操作系统是否缺乏安全更新设备的能力，包括：缺乏对设备固件的验证、未加密的传输、缺乏防回滚机制等。

5.使用不安全或已遭弃用的组件

物联网操作系统使用已遭弃用的或不安全的软件组件/库，将导致设备遭攻陷。组件包括操作系统平台的不安全定制以及使用来自受损供应链的第三方软件或硬件组件。

6.隐私保护不充分

存储在物联网操作系统中的用户个人信息被不安全的、不当的、或未经授权的使用。

7.不安全的数据传输和存储

缺乏对物联网操作系统/云平台中任何位置的敏感数据进行加密或访问控制，包括：未使用时、传输过程中或处理过程中的敏感数据。

8.缺乏设备管理

对已部署在生产过程中的物联网设备，缺乏安全支持，包括：资产管理、更新管理、安全解除、系统监控和响应能力。

9.不安全的默认设置

物联网操作系统的默认设置不安全，或缺乏限制操作者修改配置的方式让系统更加安全的能力。

10.缺乏物理加固措施

缺乏物理加固措施，导致潜在攻击者能够获取敏感信息以便后续进行远程攻击或对物联网设备进行本地控制。

通过以上十个攻击面可以进行分解出合适的安全测试方法从而发现物联网系统中安全隐患。