Came Saw Conquered 网络空间中的IoT安全 ID：ppprince From:中国科学院信息工程研究所 物联网信息安全北京市重点实验室 yanzhaoteng@iie.ac.cn Part. 01 引言 2016年9月2日星期五2时21分16 秒 1 物联网时代的到来 电力/工业 轨道交通 Emerging Technologies of 2015 IoT 物理空间 物联网终端  2013年，物联网处于上升期 2014年，物联网取代大数据登上了成熟度曲线的最高点 2015年，物联网仍位于顶点  联网设备数：2015年49亿，2020年260亿(Gartner)   家居生活 保密场所 物联网时代的到来 智能家居 可穿戴计算 城市供水和燃气 泛 在 的 设 备 互 联 智能楼宇 智能电网 城市视频监控 物联网带来变革     改变了生活方式的改变，更加便利和智能（智能家居、智能医疗） 改变了生产方式、提高生产力（工业互联网、农业互联网） 改变了管理模式（智慧社区、智能城市） 推进了社会的发展历程 万物互联到物联网搜索 网 络 空 间 搜索空间的拓展 物 理 空 间 从人类世界到物理世界 互联网体系 物联网体系 从文档网页到实体设备 搜索引擎将庞大、复杂的互联网资 物联网搜索使搜索对象从文档网页扩 源从地址索引映射为内容索引 展到异构实体设备和动态数据流     成为信息与知识发现的入口 提升了用户访问接口的语义层次 降低了用户使用网络资源的门槛 是互联网高速发展的核心催化剂     搜索对象规模与复杂性膨胀 资源容量和复杂程度显著提升 实体资源与服务对应多样化 是物联网潜在的“杀手”级应用 互联网搜索   改变了人们获取信息的获取方式  会议文献、期刊论文  电影、歌曲、歌星、影星等娱乐信息  旅游景点  地图 Google   Google Hacking 百度  百度一下，你就知道 人肉搜索！ 物联网搜索    发现设备找到服务  旅游信息-摄像头在线  天气信息 企业产品的分布  多少产品在线，分布等  连接在互联网上的品牌排名 安全事件分析和防护  心脏出血漏洞的态势感知  重大安全事件的全球影响分布 物联网搜索引擎  Shodan --“黑暗谷歌”  John Matherly于2009年发布  第一个物联网设备搜索引擎  采用基于端口和协议标语抓取的方式，利用端 口扫描工具在全球IP地址中进行查询，并对返 回标语信息进行存储和整理，进而提供索引服 务  在全球至少8个地点部署搜索服务器：美国东西 海岸、中国、冰岛、法国、台湾、越南、罗马 尼亚、捷克等  搜索端口达200多个，24h×7不间断扫描，从 2009年维护至今。  最全面、最强大的搜索引擎 物联网搜索引擎  发现思科设备    “cisco-ios” “last-modified” 14,000+设备使用HTTP服务却未进行认 证设置 没有安全设置的网络摄像头、打印机  “camera” “printer” “default password” “password:123456”等关键字 物联网搜索引擎  Censys – Internet-wide search engine  密西根大学开发的搜索引擎  2015年ACM CCS安全会议上发布  更加偏重于学术研究（网络安全协议，TLS，SSL等）  数据更新快(每天更新实时更新)  开放源码 – https://github.com/zmap/zgrab – https://github.com/zmap/ztag  提供原数据下载（https://scans.io/）  应用  可以搜索到互联网上多少设备使用了SSLv3安全协议， 以及多少设备存在着“心血”漏洞 Durumeric Z, Adrian D, Mirian A, et al. A search engine backed by Internet-wide scanning[C]//Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security(CCS). ACM, 2015: 542-553. Part. 02 物联网搜索技术 2016年9月2日星期五2时21分18 秒 11 网络空间搜索的挑战 工 控 设 备  目标    发现网络上的服务和设备 搜索速度快 搜索内容全  设备发现的难点（挑战）      40亿IP的网络空间 多端口、网络黑洞 NAT、Firewall等内网空间探测 设备发现的礼貌性 设备发现的隐蔽性 监 控 设 备 办 公 设 备 智 能 设 备 物联网搜索 1 Came—来到你身边 2 Saw—看看你是谁 3 Conquered—快到碗里来 物联网搜索技术  Came—来到你身边  快速发现技术  Saw—看看你是谁   指纹识别技术 位置定位技术  Conquer—快到碗里来   摄像头、路由器 漏洞利用技术 获取信息或控制权 服务器、打印机 工控设备 物联网搜索技术      设备 设备特征：设备异构多样，存在大量不透明的专用协议 搜索空间：设备搜索的网络地址空间大，还存在有黑洞 设备发现：复杂异构网络条件，快发现设备 设备识别：不同厂家类设备，同厂家不同型号不同版本 设备定位：全球设备的精确定位 特征提取 搜索发现 设备定位 实体设备异构互联 高效设备识别发现 设备防护 Part. 03 Came—来到你的身边 2016年9月2日星期五2时21分18 秒 16 设备发现工具-Nmap  Nmap – Network Mapper       网络设备识别和安全审计工具 Fyodor在1997发布第一版本 开源一直维护至今，最新版本 Nmap 7.12 http://nmap.org/ 能够识别出2600多种操作系统与设 备类型 最为流行的安全必备工具之一 主机发现 Cyber Space 端口扫描 Firewall/ID S evasion 版本侦测 OS探测 NSE 脚本 引擎 设备发现工具-Zmap  ZMap – Internet Wide Scanner       密歇根大学团队在2013年开发完成 发布于22届USENIX会议上 千兆以太网条件下，45分钟完成全网 存活探测，是Nmap的1300倍 C语言开发，开源网络扫描工具，密 西根大学的多个博士生一直维护 https://github.com/zmap/zmap 设备发现技术领域里程碑式的工具 Zmap架构 Durumeric, Z., Wustrow, E., & Halderman, J. A. (2013, August). ZMap: Fast Internet-wide Scanning and Its Security Applications. In Usenix Security(Vol. 2013). 快速扫描技术  设备扫描     主机存活 – 做主机存活扫描， 得到设备候选集 收集应用层数据 – 对设备进行协议 探测，抓取标语 信息 标识 – 对设备进行标识 数据整合存储 – 整合数据存储数 据到数据库 存活的 主机IP 地址 应用层 协议标 语信息 基于协 议特征 的标识 数据整 合