趋势科技最新研究表明，不安全物联网(IoT)设备4个月内泄露了2.1亿多条数据。被泄数据中包含的机密邮件会令工业间谍、拒绝服务攻击和针对性攻击几乎没完没了。这份65页的报告中提到了AWS的IoT设置，以之作为可以防止此类泄露的最佳实践样例。

问题出在哪儿？

这家总部位于日本东京和美国硅谷的安全公司发现，两大机器对机器(M2M)协议——消息队列遥测传输(MQTT)和约束应用协议(CoAP)，有着严重的设计缺陷和部署安全缺失。

数亿消息因而经由暴露在网上的代理和服务器泄露出去。攻击者只需关键字搜索便能在网上定位这些消息。

趋势科技扫描了互联网，共在78,549个代理上找出2.09亿条MQTT消息。

不安全IoT：漏漏协议

带漏洞MQTT协议的一个样例是Douzone开发的安卓群件应用 Bizbox Alpha。

趋势科技在报告中指出：该应用使用的一个代理某段时期配置错误，在4个月里泄露了55,475条消息，其中包含1.8万封邮件消息。

趋势科技的研究团队在这些被泄消息中发现了与业务运营相关的私密信息，比如商务联系人信息及其相互间的通信。

实现及设计问题

MQTT协议还存在多个实现及设计上的问题，比如流行代理Mosquito就允许被黑客户端发送无效数据。

利用CVE-2017-7653漏洞，发送一条无效UTF-8主题字符串就能使客户端与代理断开，从而引发拒绝服务攻击。

约束应用协议(CoAP)也可致信息泄露。CoAP通过启动客户端节点向服务器节点发送请求来交换数据。

客户端随时可以向服务器发送CoAP数据包。每条请求都有几个选项，最重要的一个选项是统一资源标识符(URI)，指明通往所请求资源的“路径”——与网站用的统一资源定位符(URL)类似。

研究人员扫描了网上暴露的CoAP主机，从近50万台服务器上发现了超过1900万条响应。不过，他们并没有在CoAP协议中发现设计缺陷。

趋势科技网络安全副总裁 Greg Young 表示：这些协议在设计时就没考虑过安全，但却广泛应用在任务关键环境和用例中。

这反映出严重的网络安全风险。黑客只需一点点资源就可以利用这些设计漏洞执行侦察、横向移动、数据盗窃和拒绝服务攻击。

最佳实践

趋势科技给出的最佳实践样例是 AWS IoT：

AWS IoT 中，用户(甚至非专家用户)无法以不安全的方式连接IoT设备，也不能创建 AWS IoT 后端不安全实例。该服务基本上就是个托管MQTT代理，具备以下功能：

• 强制TLS加密。除了TLS，没有别的方法可以连接到该代理。
• 强制使用设备证书实现基于TLS的相互身份验证。每个新节点必须有个新证书，用于供服务器对其进行身份验证，还要有个供节点对 AWS IoT 服务器进行身份验证的证书。如果节点掉线或被黑，管理面板可以撤销其证书。
• 禁用 QoS = 2 和保留消息。这能有效减少拒绝服务风险和威力。如果恶意发布者发送 QoS = 2 消息(消息必须经验证且要求两边都传输两次)并启用“保留选项”，将会造成消息发送无限循环，直到订阅者及所有未来订阅者ACK(告知收到)该消息。如果因为故障而某条消息没被确认，代理会一直重复发送该消息。
• 可用性。所有上述功能都封装到一个可用Web向导中，指导用户从零开始学会使用内联文档进行测试。

我们认为这种部署应为其他服务提供商所用，并作为系统集成商的参考。

趋势科技白皮书：

https://documents.trendmicro.com/assets/white_papers/wp-the-fragility-of-industrial-IoTs-data-backbone.pdf?v1