標籤:

IoT安全的一些思考:安全、隱私、防護

Internet of Things (IoT)的發展目標是Internet for ALL THE THINGS,制熱、製冷系統都會接入網路,而且會有更加智能的AI項目參與進來。這些IoT設備可以將信息通過網路傳遞到世界上的任何地方,比如伺服器、公司資料庫、和自己的手機。

不幸的是,隨著更多的設備連接到Internet,會引入更多潛在的網路犯罪風險。Gartner預測,到2020年,會有超過260億聯網的設備,而這還不包括PC,筆記本和智能手機。這麼多的聯網設備,就像一個定時炸彈,會爆發全球大災難……下面我們討論一下IoT的潛在風險。

IoT網路犯罪

使用IoT的個人和公司都很容易被黑,但是有多容易呢?網路犯罪分子能黑進拷麵包機,然後獲取整個網路的訪問權嗎?能滲透近虛擬會議,竊取公司的機密數據嗎?能監聽你的孩子,控制你的汽車,破壞你的重要醫療設備嗎?

然而,現實與那些誇張地宣傳相差並不遠。2年前,黑客黑掉一個智能冰箱,讓冰箱在做ice cube時發送色情垃圾郵件。嬰兒監護器也被用於竊聽甚至向睡著的嬰兒說話。2016年10月,上千個安全攝像頭被黑,黑客利用這些攝像頭對Dyn發起史上最大規模的DDOS攻擊。Dyn是美國的一家DNS服務提供商,主要服務對象為Twitter, Netflix, CNN這樣的公司。2017年3月,維基解密公布了CIA用戶攻擊IoT設備的工具,可以遠程記錄賓館和會議室的會話,比如攻擊三星智能電視。多久以後,這些設備會被用於惡意用途呢?

隱私是IoT設備考慮的另一個因素。你想讓你的KitchenAid知道你的購物習慣嗎?如果KitchenAid的合作商向你精準投放廣告,你怎麼看?如果替你自動下單呢?

目前,IoT攻擊的頻率還很低,可能的原因是對這樣IoT設備的市場滲透還不夠。如果每個家庭都有Cortanas,可能會有更多的動作。隨著IoT設備的普及,犯罪分子利用IoT設備的安全和隱私只是一個時間問題。

安全和隱私問題

根據Forrester的2018年安全威脅預測,IoT的安全差距會越來越大。研究人員相信,IoT會與公有雲結合,通過對個人和網路數據的訪問、處理、竊取和泄露,引入更多的安全威脅。而且,有更多的為了經濟利益的IoT攻擊,比如加密貨幣挖礦和對售貨機、醫療設備、車輛的勒索攻擊。

隱私和數據共享會變得更難管理。比如,如果你是一個智能玩具的製造商,你要如何更好地管理和保護兒童的數據?關於隱私的考慮可能會擴大到保護如果保護國內外政府收集的情報中的個人數據。

IoT防護很弱,為什麼?

IoT技術被視為一列前行的列車,永遠不會回頭。所以搞清楚為什麼IoT設備會容易受攻擊非常重要。從技術上講:

1、設備本身並不集成安全機制。不像手機、筆記本、台式機,IoT的操作系統的防護基本沒有。為什麼呢?原因就是在設備集成安全機制的成本太高,還會減緩開發流程,有時候甚至會影響設備性能,如運行速度和容量。

2、設備直接暴露到網路,因為網路分割很弱。同時可以作為內網的一個中轉點,向網路犯罪分子開了後門。

3、設備中含有基於通用的、Linux驅動的硬體和軟體開發過程中留下的非必要的功能。注釋:開發者有時會在beta版不會刪除一些代碼或者特徵。

4、默認的身份信息是硬編碼的。這意味著插入設備就可以運行,而不會創建唯一的用戶名和密碼。我們可以猜一下黑客輸入「1-2-3-4-5「,然後密碼正確的概率,哈哈

從心理學的角度看,安全在設備開發過程中不是必要的。但是由於攻擊的出現,開發者需要在開發過程中應用安全特徵來應對即將來臨的這一大波攻擊。

解決方案

技術在革新,許多人都認為這是一個好事。但是沒有人清楚地知道或想要減緩或應用安全措施。下面是一些可以增強IoT安全的措施。

政府干預

為了讓開發者更加正式地對待安全,政府可能需要採取一些措施。政府可以:

1、與網路安全與情報機構協作來收集一系列協議,這些協議可以將IoT設備變得更加安全。

2、建立一個機構來檢查收集的情報,選擇和優化協議來進行監管。

3、立法。

開發者行為

開發者需要將安全集成到產品找那個,而不是事後再去考慮。開發者應該:

1、在商業版發布前,要有一個紅隊對設備進行審計。

2、在安裝時,強制修改默認證書。

3、如果用web訪問,使用HTTPS。

4、移除非必要的功能。

一個好消息是,相關利益方已經採取了一些措施。2017年8月,國會通過了 Internet of Things Cybersecurity Improvement Act法案,要求所以售向美國政府的設備必須要打補丁處理,沒有已知的安全漏洞,要允許用戶改變他們的默認密碼。或許是對社會和傳統媒體的暴懟的回應,Amazon正在考慮一項IoT安全服務。

Verizon, DigiCert, Karamba Security這樣的供應商也開始設計內置IoT設備和網路的解決方案。但在統一的標準建立起來,還有很長的路要走。但是,一些有標誌性的泄露事件會帶來迅速的響應。

如何保護IoT設備

那對普通用戶和公司來說,如果來保護自己使用IoT設備的安全呢?

1、要評估自己接入網路的設備(devices you are bringing into your network)是否必須是智能設備。最好把IoT技術看作是惡意的,人不是選擇信任,比如允許聯網、存放個人信息。

2、對網路進行分割。如果想要IoT設備接入家庭和公司網路,那麼就要對含有敏感信息的網路進行分割。

3、改變默認的身份證書。

IoT設備運行在不同的平台上,不同的操作系統,不同的編程語言。所以開發一款針對所有IoT設備的惡意軟體攻擊是不現實的。如果公司想要讓IoT變成一個盈利的模型,安全就增加了這種必要性,而這只是個時間的問題……

本文翻譯自:blog.malwarebytes.com/1,如若轉載,請註明原文地址: 4hou.com/info/news/9316 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

利用SAP 0day,四分鐘內黑掉華爾街
ZoomEye 的網站指紋是什麼概念,如何應用?
商業銀行使用外資廠商生產的伺服器是否能危及到金融安全?
我在這種情況下怎麼樣才能不被查到隱私?
勒索軟體武器庫「再添新軍」,Windows Server Web伺服器安全成災

TAG:信息安全 |