導讀:隨著物聯(lián)網(wǎng)的出現(xiàn)和越來越多的網(wǎng)絡流量,越來越多的公司將計算機和傳感器嵌入到產(chǎn)品中,并將產(chǎn)品連入互聯(lián)網(wǎng)。如今,計算機和傳感器正被植人各種消費設備,甚至包括茶壺和衣服。
1. 設計缺陷
隨著物聯(lián)網(wǎng)的出現(xiàn)和越來越多的網(wǎng)絡流量,越來越多的公司將計算機和傳感器嵌入到產(chǎn)品中,并將產(chǎn)品連入互聯(lián)網(wǎng)。如今,計算機和傳感器正被植人各種消費設備,甚至包括茶壺和衣服。
在對各種商業(yè)機會做出市場反應的過程中,一些制造商在產(chǎn)品上留下了許多安全漏洞。如今,物聯(lián)網(wǎng)引入了新的可開發(fā)的攻擊途徑,這些攻擊點在Web之外擴展到云、不同的OSes、不同的協(xié)議以及更多物聯(lián)網(wǎng)相關配套設施上。于是,我們經(jīng)常會聽到有關新設備由于安全漏洞而受到黑客的攻擊的消息。
物聯(lián)網(wǎng)設備或網(wǎng)絡上的數(shù)據(jù)泄露事件正在變得司空見慣,這很大程度上歸因于這樣一個事實:許多供應商并沒有把安全作為他們的首要任務。當他們的產(chǎn)品出現(xiàn)安全問題時,他們只是認為這是事后需要面對的問題,沒有嚴重損失的情況下,他們并不會主動解決這些問題。
為了研究物聯(lián)網(wǎng)設備的安全性,賽門鐵克(Symantes)研究小組研究了50個常用的智能家居設備。該團隊發(fā)現(xiàn):沒有一個測試設備允許使用高強度密碼,也沒有使用相互認證。此外,在這些設備上的用戶賬號沒有受到暴力攻擊的保護。他們還發(fā)現(xiàn),在控制這些設備的移動應用程序中,大約10個程序沒有使用安全套接層(SSL)來加密設備和云之間的信息交換。這些安全隱患都是因為設備的設計缺陷造成的。
2. 開放式調(diào)試接口
通過產(chǎn)品設計保障安全性的重要方法之一是確保攻擊面盡可能地最小。但是在生產(chǎn)過程中,物聯(lián)網(wǎng)網(wǎng)關的制造商僅需要實現(xiàn)必要的接口和協(xié)議,從而使物聯(lián)網(wǎng)設備能夠執(zhí)行其預期的功能,并沒有對安全問題做過多考慮。制造商應該對設備上所有接口的服務進行限制,因為在大多數(shù)情況下,用戶并不需要這些開放的調(diào)試接口,甚至沒有意識到有這些接口,但是這些開放的調(diào)試接口卻為惡意實體提供了攻擊設備或獲取重要信息的機會。惡意攻擊者可以遠程運行一些有害代碼(病毒和間諜軟件)在設備上非法獲取信息。
為了在物聯(lián)網(wǎng)中實現(xiàn)設備的安全可靠,設計的安全概念應該優(yōu)先考慮,避免不必要的安全缺陷。例如,對制造商來說,在產(chǎn)品設計中包含一些阻止非法用戶運行惡意代碼的機制非常重要。
3. 不適當?shù)木W(wǎng)絡配置和使用用戶默認密碼
隨著物聯(lián)網(wǎng)設備的不斷增加,越來越多的智能產(chǎn)品進入市場。 TRUST進行的一項調(diào)查顯示,35%的美國和41%的英國國內(nèi)在線消費者除了手機之外,至少還擁有一件智能硬件設備。這項調(diào)査進一步揭示了最受歡迎的智能設備,包括智能電視(20%)、車載導航系統(tǒng)(12%)、智能手表(5%)和家庭報警系統(tǒng)(49%)。
不幸的是,許多消費者似乎沒有意識到物聯(lián)網(wǎng)的安全性。從一些消費者安裝、配置和使用智能設備的方式來看,這一點表現(xiàn)得很明顯。例如,些消費者在智能設備上使用默認的密碼和設置,這種不小心、不嚴謹會使他們的網(wǎng)絡路由器和智能設備開放給黑客訪問。這也是許多智能家庭內(nèi)部網(wǎng)絡配置不良的原因之一。
另一個問題是使用弱密碼。在大多數(shù)情況下,當用戶更改默認密碼時他們會使用簡單的密碼來進行設置。一般來說,只有對安全性有明確意識的用戶才可能使用一個長而復雜的密碼。此外,許多設備沒有鍵盤,而且由于所有配置都必須遠程完成,因此,一些用戶不愿意使用安全設置。
攻擊者通常會尋找配置不佳的網(wǎng)絡和設備來進行攻擊。定期更換密碼和適當?shù)木W(wǎng)絡配置非常有必要。
4. 信息儲存前未進行加密
眾所周知,許多物聯(lián)網(wǎng)設備,無論使用者是否同意,都確實收集了些個人信息。這些信息可能包括姓名、出生日期、地址、郵編、電子郵件地址、健康信息、社會保險賬號,有時甚至是信用卡號碼。
數(shù)據(jù)隱私管理公司( TRUST)在美國對2000名年齡在18~75歲的互聯(lián)網(wǎng)用戶進行了一項在線調(diào)査,發(fā)現(xiàn)5%的用戶意識到智能硬件可以捕捉到他們個人活動的敏感信息。22%的人認為,物聯(lián)網(wǎng)創(chuàng)新帶來的好處和便利值得犧牲他們的隱私信息。令人驚訝的是,14%的人對這些公司收集個人信息感到滿意。現(xiàn)在的問題是,這些設備真的需要收集這些個人信息オ能正常工作嗎?大多數(shù)公司為獲取個人用戶數(shù)據(jù)而給出的一個顯而易見的理由是,他們需要這樣的數(shù)據(jù)來改善他們的產(chǎn)品。另一個理由可能是,了解有價值的客戶的習慣,這樣能更好地為客戶服務,創(chuàng)造出滿足個人需求的新服務。
不管設備收集數(shù)據(jù)的目的如何,最重要的是確保這些收集到的數(shù)據(jù)得到很好地保護,無論是存儲在設備內(nèi)部存儲器上還是在傳輸中。到目前為止,加密是保護數(shù)據(jù)免受未經(jīng)授權的訪問的最佳方法。
雖然加密是保護數(shù)據(jù)的最佳方法,但在許多物聯(lián)網(wǎng)設備上實現(xiàn)加密對安全專家來說是一項挑戰(zhàn)。例如,在一些物聯(lián)網(wǎng)設備中使用SSL協(xié)議保護通信不是一種好的選擇,因為它需要更多的處理能力和內(nèi)存,這是在物聯(lián)網(wǎng)硬件這種資源受限設備上非常稀缺的資源。另一個選擇是考慮使用虛擬專用網(wǎng)(VPN)隧道,但這需要一個功能齊全的開放移動操作系統(tǒng)(OSes)。