移动互联时代,物联网(Internet of Things,IoT)设备越来越多,并呈现出迅猛增长态势,然而人们并未关注这些物联网设备存在的诸多漏洞。对此,物联网爆发安全升级。
可连网络设备数量升级
当前越来越多的攻击活动正由物联网设备来实现,例如网络摄像头、可联网灯泡、恒温器等等。过去,这些设备往往被视为攻击目标,允许攻击者通过对其进行批量开启或关闭来影响客户。
然而如今,越来越多的设备却开始成为攻击平台而不再是攻击目标。其中,最具代表性的便是Mirai开源蠕虫已然在数千万台IoT设备间大肆传播,以供攻击者利用这些系统建立起几乎任何企业都无法应对的超大规模DDoS(分布式拒绝服务)攻击。而除了DDoS攻击之外,物联网设备还能够用于掩护其对信息与密码的窃取行为,成为网络攻击者的帮凶。
针对汽车传感器的攻击(噪音攻击)
多设备接入引发攻击升级
伴随此类产品大量涌入市场,让针对物联网的攻击手段不断升级,美国的密歇根大学在两个月前发布了一个报告,黑客只需一个5美元的喇叭,就能靠声波入侵5家制造商的20款加速度计芯片,因为今天的智能手机都有音频传感器,而利用声波对音频传感器攻击可影响到相关组件的正常工作。
利用喇叭播放特殊声波攻击加速计芯片
目前大部分的物联网设备实际上并不具备应有的隐私与安全保障能力。一般来讲,这一问题需要从根源层面加以解决,即在设计流程的起始阶段即将网络安全与隐私保障措施纳入IoT产品的开发与创新构想之中。
可是,大多数IoT设备制造商、供应商包括用户,对此并不关注。这就促使基于IoT设备出现大量诸如单一的默认用户名和密码,以及编码错误、后门和其他垃圾代码(通常用于启用物联网连接和通信)引起的缺陷。
对于此类持续且不断变化的威胁因素,物联网设备用户应当确保对产品中的默认密码进行及时修改。同时,应该禁用掉Telnet(即远程登录),因为现在很多IoT设备都默认通过Telnet来实现管理,所以应将其关闭并选择使用Secure Shell(SSH)或者关闭HTTP并转而使用HTTPS。
此外,在企业环境当中,渗透测试应当将物联网设备与网络涵盖于其中。因为即使其中相当一些问题实际上看似微不足道,例如明文协议以及基础性跨站点脚本漏洞等等,但实际上对于企业网络安全的危害却很大。因此,可以预测瞄准物联网设备的攻击将变得更复杂,更多经过设计的可利用物联网通信和数据收集链中的漏洞将涌现出来。
必要机构监管升级
现在物联网安全已经成为一类新的独立问题,因为相关制造商发布了大量在本质上并不安全的设备,且不存在有效的修复途径。同时此类物联网恶意软件对于设备本身几乎没有影响,但受感染设备会被用于攻击第三方——这意味着物联网用户及设备制造商本身缺少采取应对行动的动机。
随着物联网设备的安全问题不断暴露,包括安全专家以及崇尚网络自由的人士都开始认为当前这些IoT设备的“风险水平太高,利害关系重大”,已经不能继续对其坐视不理了。
然而目前市场本身并不会解决这个问题,因为买方与卖方对此并不关注。如果技术行业不采取行动,又没有政府的干预,那么市场将坐视这一安全问题的持续膨胀。因此,政府层面有必要出面牵头,建立新的监管机构,通过干预以应对未来可能出现的僵尸网络等威胁性活动。
现在针对IoT设备的此类负面可能性听起来也许太过极端,可是从去年开始,美国爆发的大规模断网事件为人们敲响了警钟,包括分布在世界各地的物联网设备——从汽车到工业控制系统——显然都有可能被恶意人士用于攻击并造成生命财产损失。这时来自政府层面的监管策略与专项机构的设立就显得刻不容缓了。
本文转自d1net(转载)