技術(shù)
導(dǎo)讀:隨著物聯(lián)網(wǎng)的出現(xiàn)和越來越多的網(wǎng)絡(luò)流量,越來越多的公司將計(jì)算機(jī)和傳感器嵌入到產(chǎn)品中,并將產(chǎn)品連入互聯(lián)網(wǎng)。如今,計(jì)算機(jī)和傳感器正被植人各種消費(fèi)設(shè)備,甚至包括茶壺和衣服。
1. 設(shè)計(jì)缺陷
隨著物聯(lián)網(wǎng)的出現(xiàn)和越來越多的網(wǎng)絡(luò)流量,越來越多的公司將計(jì)算機(jī)和傳感器嵌入到產(chǎn)品中,并將產(chǎn)品連入互聯(lián)網(wǎng)。如今,計(jì)算機(jī)和傳感器正被植人各種消費(fèi)設(shè)備,甚至包括茶壺和衣服。
在對(duì)各種商業(yè)機(jī)會(huì)做出市場(chǎng)反應(yīng)的過程中,一些制造商在產(chǎn)品上留下了許多安全漏洞。如今,物聯(lián)網(wǎng)引入了新的可開發(fā)的攻擊途徑,這些攻擊點(diǎn)在Web之外擴(kuò)展到云、不同的OSes、不同的協(xié)議以及更多物聯(lián)網(wǎng)相關(guān)配套設(shè)施上。于是,我們經(jīng)常會(huì)聽到有關(guān)新設(shè)備由于安全漏洞而受到黑客的攻擊的消息。
物聯(lián)網(wǎng)設(shè)備或網(wǎng)絡(luò)上的數(shù)據(jù)泄露事件正在變得司空見慣,這很大程度上歸因于這樣一個(gè)事實(shí):許多供應(yīng)商并沒有把安全作為他們的首要任務(wù)。當(dāng)他們的產(chǎn)品出現(xiàn)安全問題時(shí),他們只是認(rèn)為這是事后需要面對(duì)的問題,沒有嚴(yán)重?fù)p失的情況下,他們并不會(huì)主動(dòng)解決這些問題。
為了研究物聯(lián)網(wǎng)設(shè)備的安全性,賽門鐵克(Symantes)研究小組研究了50個(gè)常用的智能家居設(shè)備。該團(tuán)隊(duì)發(fā)現(xiàn):沒有一個(gè)測(cè)試設(shè)備允許使用高強(qiáng)度密碼,也沒有使用相互認(rèn)證。此外,在這些設(shè)備上的用戶賬號(hào)沒有受到暴力攻擊的保護(hù)。他們還發(fā)現(xiàn),在控制這些設(shè)備的移動(dòng)應(yīng)用程序中,大約10個(gè)程序沒有使用安全套接層(SSL)來加密設(shè)備和云之間的信息交換。這些安全隱患都是因?yàn)樵O(shè)備的設(shè)計(jì)缺陷造成的。
2. 開放式調(diào)試接口
通過產(chǎn)品設(shè)計(jì)保障安全性的重要方法之一是確保攻擊面盡可能地最小。但是在生產(chǎn)過程中,物聯(lián)網(wǎng)網(wǎng)關(guān)的制造商僅需要實(shí)現(xiàn)必要的接口和協(xié)議,從而使物聯(lián)網(wǎng)設(shè)備能夠執(zhí)行其預(yù)期的功能,并沒有對(duì)安全問題做過多考慮。制造商應(yīng)該對(duì)設(shè)備上所有接口的服務(wù)進(jìn)行限制,因?yàn)樵诖蠖鄶?shù)情況下,用戶并不需要這些開放的調(diào)試接口,甚至沒有意識(shí)到有這些接口,但是這些開放的調(diào)試接口卻為惡意實(shí)體提供了攻擊設(shè)備或獲取重要信息的機(jī)會(huì)。惡意攻擊者可以遠(yuǎn)程運(yùn)行一些有害代碼(病毒和間諜軟件)在設(shè)備上非法獲取信息。
為了在物聯(lián)網(wǎng)中實(shí)現(xiàn)設(shè)備的安全可靠,設(shè)計(jì)的安全概念應(yīng)該優(yōu)先考慮,避免不必要的安全缺陷。例如,對(duì)制造商來說,在產(chǎn)品設(shè)計(jì)中包含一些阻止非法用戶運(yùn)行惡意代碼的機(jī)制非常重要。
3. 不適當(dāng)?shù)木W(wǎng)絡(luò)配置和使用用戶默認(rèn)密碼
隨著物聯(lián)網(wǎng)設(shè)備的不斷增加,越來越多的智能產(chǎn)品進(jìn)入市場(chǎng)。 TRUST進(jìn)行的一項(xiàng)調(diào)查顯示,35%的美國和41%的英國國內(nèi)在線消費(fèi)者除了手機(jī)之外,至少還擁有一件智能硬件設(shè)備。這項(xiàng)調(diào)査進(jìn)一步揭示了最受歡迎的智能設(shè)備,包括智能電視(20%)、車載導(dǎo)航系統(tǒng)(12%)、智能手表(5%)和家庭報(bào)警系統(tǒng)(49%)。
不幸的是,許多消費(fèi)者似乎沒有意識(shí)到物聯(lián)網(wǎng)的安全性。從一些消費(fèi)者安裝、配置和使用智能設(shè)備的方式來看,這一點(diǎn)表現(xiàn)得很明顯。例如,些消費(fèi)者在智能設(shè)備上使用默認(rèn)的密碼和設(shè)置,這種不小心、不嚴(yán)謹(jǐn)會(huì)使他們的網(wǎng)絡(luò)路由器和智能設(shè)備開放給黑客訪問。這也是許多智能家庭內(nèi)部網(wǎng)絡(luò)配置不良的原因之一。
另一個(gè)問題是使用弱密碼。在大多數(shù)情況下,當(dāng)用戶更改默認(rèn)密碼時(shí)他們會(huì)使用簡(jiǎn)單的密碼來進(jìn)行設(shè)置。一般來說,只有對(duì)安全性有明確意識(shí)的用戶才可能使用一個(gè)長而復(fù)雜的密碼。此外,許多設(shè)備沒有鍵盤,而且由于所有配置都必須遠(yuǎn)程完成,因此,一些用戶不愿意使用安全設(shè)置。
攻擊者通常會(huì)尋找配置不佳的網(wǎng)絡(luò)和設(shè)備來進(jìn)行攻擊。定期更換密碼和適當(dāng)?shù)木W(wǎng)絡(luò)配置非常有必要。
4. 信息儲(chǔ)存前未進(jìn)行加密
眾所周知,許多物聯(lián)網(wǎng)設(shè)備,無論使用者是否同意,都確實(shí)收集了些個(gè)人信息。這些信息可能包括姓名、出生日期、地址、郵編、電子郵件地址、健康信息、社會(huì)保險(xiǎn)賬號(hào),有時(shí)甚至是信用卡號(hào)碼。
數(shù)據(jù)隱私管理公司( TRUST)在美國對(duì)2000名年齡在18~75歲的互聯(lián)網(wǎng)用戶進(jìn)行了一項(xiàng)在線調(diào)査,發(fā)現(xiàn)5%的用戶意識(shí)到智能硬件可以捕捉到他們個(gè)人活動(dòng)的敏感信息。22%的人認(rèn)為,物聯(lián)網(wǎng)創(chuàng)新帶來的好處和便利值得犧牲他們的隱私信息。令人驚訝的是,14%的人對(duì)這些公司收集個(gè)人信息感到滿意?,F(xiàn)在的問題是,這些設(shè)備真的需要收集這些個(gè)人信息オ能正常工作嗎?大多數(shù)公司為獲取個(gè)人用戶數(shù)據(jù)而給出的一個(gè)顯而易見的理由是,他們需要這樣的數(shù)據(jù)來改善他們的產(chǎn)品。另一個(gè)理由可能是,了解有價(jià)值的客戶的習(xí)慣,這樣能更好地為客戶服務(wù),創(chuàng)造出滿足個(gè)人需求的新服務(wù)。
不管設(shè)備收集數(shù)據(jù)的目的如何,最重要的是確保這些收集到的數(shù)據(jù)得到很好地保護(hù),無論是存儲(chǔ)在設(shè)備內(nèi)部存儲(chǔ)器上還是在傳輸中。到目前為止,加密是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問的最佳方法。
雖然加密是保護(hù)數(shù)據(jù)的最佳方法,但在許多物聯(lián)網(wǎng)設(shè)備上實(shí)現(xiàn)加密對(duì)安全專家來說是一項(xiàng)挑戰(zhàn)。例如,在一些物聯(lián)網(wǎng)設(shè)備中使用SSL協(xié)議保護(hù)通信不是一種好的選擇,因?yàn)樗枰嗟奶幚砟芰蛢?nèi)存,這是在物聯(lián)網(wǎng)硬件這種資源受限設(shè)備上非常稀缺的資源。另一個(gè)選擇是考慮使用虛擬專用網(wǎng)(VPN)隧道,但這需要一個(gè)功能齊全的開放移動(dòng)操作系統(tǒng)(OSes)。