廉价物联网设备缺失安全保护
智慧生活越便利,物联网设备的漏洞就越大。以无人售货机为例,其工作原理是通过物联网技术将用户与商品之间建立联系,用户只需通过移动支付即可完成购买流程,但这种在现代生活中看似十分平常的便捷操作背后,却潜藏极大的安全风险。
2017年7月,美国自动售货机供应商Avanti Markets遭遇黑客入侵内网,攻击者在终端支付设备中植入恶意软件,并窃取了用户信用卡账户以及生物特征识别数据等个人信息。
对于物联网设备的安全漏洞,各界并非毫无察觉。美国弗雷斯特研究公司在其2018年物联网预测中就指出,安全漏洞是部署物联网解决方案的公司深为担忧的一大问题,而这也是在考虑部署物联网解决方案的企业最关注的问题。然而,大多数公司并没有始终如一地应对物联网安全威胁,业务压力压倒了技术安全问题。
这一判断一语道破了物联网设备安全漏洞看似难以解决背后的真相。
物联网设备为何频频成为被黑客攻击和利用的对象?互联网资讯平台极客公园总结认为,首先是出于成本考虑。部分物联网设备生产商为了节省成本,使用通用、开源的操作系统,或未经安全检测的第三方组件,这很可能会引入漏洞。同样是基于成本考虑,大多数物联网设备不会保护调试接口,这给了攻击者乘虚而入的机会。
“在大量价格低廉的物联网设备上,几乎不可能使用复杂又耗电的现有安全系统。”一位互联网安全专家无奈地说。
很多厂商缺乏安全意识和安全能力。在开发物联网智能设备时,没有做好安全考虑,导致出现软硬件安全漏洞。而且,很多设备也缺乏软件安全更新机制或机制不安全,导致漏洞无法被修复,带来恶劣的后果。
而且,身份认证和授权机制薄弱。物联网智能终端设备规模很大,相互协同工作的设备可能属于不同供应商,这导致终端之间的身份认证很难实现。大量的设备还在使用弱密码,这让黑客可以很容易地控制设备。
邬贺铨也认为,目前物联网的加密往往比较简单,而要实现相对安全的加密,投入精力就会比较大。以工业物联网为例,其设备花样繁多,传感器、接口标准,通信协议都相当复杂,实现安全并不容易。同时,个人电脑和手机也可能被木马控制,它们并非长期处于工作状态,而物联网节点是永远在线的。尽管不都与外网相连,但即便物理隔离后也可能因管理疏漏而感染外网病毒。
路由器高危漏洞致德国百万用户断网、黑客入侵15万台打印机、智能泰迪熊玩具泄露200多万条亲子聊天记录……与物联网设备漏洞相关的黑客攻击一再发生,使得国外对物联网设备的安全风险有所警觉。美国联邦调查局曾警告家长,互联网玩具有泄露隐私的风险,黑客可以通过攻击互联网玩具来获得孩子的姓名、地点等个人信息。
针对物联网设备攻击的危害远不止于数据失窃那么简单。安全研究人员演示了如何将勒索软件安装到家庭的智能恒温器上。他们甚至可以将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。他们还能对联网的车库门、车辆甚至家电发动类似的攻击。随着无人驾驶日益普及,黑客可以控制车辆,换广播电台、开启雨刷器、逼停车辆乃至引发交通事故。更令人担心的是,黑客有可能攻击植入人体且具有无线功能的医疗器械,借以危害人体健康。
国际权威咨询公司高德纳预测,2020年全球物联网设备数量将高达260亿件,解决物联网设备的安全防护问题已是刻不容缓。
提升物联网设备防护能力迫在眉睫
“当今社会越来越需要‘大安全’。”360集团董事长兼CEO周鸿祎在第二届世界智能大会上指出,万物互联时代,网络攻击已经开始威胁智能经济的健康发展。
他为此提出了“安全大脑”的概念,希望建立超大的分布式智能安全系统,综合利用人工智能、大数据、云计算、区块链等新技术,保护基础设施、社会、城市及个人等网络安全,其智能安全防护的能力进一步延伸到工业互联网、车联网、物联网、城市安防等领域。
对于我国而言,解决物联网设备的安全问题同样紧迫。近期,我国密集出台了推进IPv6、5G、工业互联网等发展的政策,力争今年开展商用试点,这在助推物联网更快普及和物联网设备数量快速增长的同时,由于设备制造商安全能力不足和行业监管未完善,物联网设备的安全威胁将加剧。届时,政府机关、工商企业乃至个人家庭,都将有较大概率暴露在黑客的视野之下。
专家认为,当务之急,具有公共属性的政府机关及企事业单位,应尽快强化对内部物联网设备的安全排查及日常监控。在排查中可重点关注是否存在漏洞、过往被攻击情况、被攻击IP地址来源等。同时,关闭不必要的远程服务端口,修复弱口令,定期开展网络安全风险评估以提高防护水平。
同时,国内物联网设备生产商提升安全等级不可或缺。“物联网设备常见的脆弱点有硬件接口暴露、未授权访问等,这些安全问题技术水平并不高,完全可以防患于未然。”绿盟科技首席架构师杨传安建议,生产商应做好设备全生命周期的安全保障工作,具备完善的网络安全应急处置预案,包括设备出厂时做好设备安全风险评估,并不使用统一的默认密码等。
此外,还要警惕传统互联网攻击手段在物联网“战场”变种。在物联网的“战场”上,很多传统的攻击手段找到了新的发挥空间。例如网络嗅探、远程代码执行、云端服务器攻陷而导致被控设备失陷等,都是传统攻击手段在物联网技术中新的应用场景。这些传统攻击手段也不应被各个环节轻易忽视。
最后,相关部门在智能联网设备采购时也要有所警觉,防范其成为“后门”。一旦发现故意留“后门”,应依据法律法规,果断采取严厉惩戒措施,以儆效尤。
-
物联网
+关注
关注
2909文章
44595浏览量
372993 -
工业互联网
+关注
关注
28文章
4320浏览量
94103
原文标题:视点|物联网设备恐成网络安全重灾区
文章出处:【微信号:ofweekgongkong,微信公众号:OFweek工控】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论