无所不在的物联网设备 你我都需要正视所带来的安全问题

简介:

 在2017年信息安全大会中,Hitcon Girls共同创办人赖婕芳与沈祈恩认为,目前物联网设备的应用会越来越普遍,但与其有关的安全事件频传,因此无论是制作的厂商,还是企业乃至于个人,都应该提高警觉,重视这些设备的安全性。

Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年安全大会的议程中疾呼,物联网(IoT)设备所衍生的安全问题必须受到正视,因为比起计算机,这些设备可能会接触到更多个人隐私,或是影响人身安全与国家安全,一旦遭受黑客攻击,后果便不堪设想。物联网设备的安全与我们息息相关,无论是制造者还是用户,你我都必须暸解如何降低其安全风险。

物联网设备带来不少便利性与创新应用,因此受到人们的欢迎。物联网这个名词,最早出现于1999年,但直到2013年之后,成为开始热门讨论的话题,然而,根据2015年AT&T所做的调查报告中指出,在受访的5,000家企业中,有高达85%想要发展物联网应用,却只有10%的企业有信心能够应付黑客的攻击,显示物联网的安全问题,连企业普遍都没有把握。

另一个面向,则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等安全大厂2017年的预测报告中,可看出端倪。这些报告不约而同指出,物联网设备会带来严重的安全风险与网络攻击。赖婕芳以2016年10月时,DNS供货商Dyn遭受大规模DDoS攻击的事件为例,其中一部分是由Mirai控制的物联网设备僵尸网络所发动。这个事件造成采用的Dyn服务的知名网站,包含BBC与GitHub等受到波及。然而,黑客取得这些物联网设备控制权的方法,仅仅只是透过了测试60组常见的预设帐号与密码就得手。

应用层面广泛,无论是小朋友的玩具,还是学校的路灯,全都是物联网设备

其实物联网涉及的领域相当广泛,无论是金融、公共服务、制造业、零售业,乃至于与人身安全有关的医疗、国家安全有关的能源设施,都有相关的应用。还有,近年来常见的智能家庭,也使用了大量的物联网设备。

无所不在的物联网设备,你我都需要正视所带来的安全问题

赖婕芳举出许多案例,像是交互式芭比娃娃,透过了像是Siri的机制,就能和小朋友对话,然而却被发现,其网络通讯可能会被有心人士拦截,让芭比说出指定的内容,如果这个黑客是个恋童癖,很可能会让小孩与家长饱受惊吓。

无所不在的物联网设备,你我都需要正视所带来的安全问题

此外,美国有间大学受到DDoS攻击,经调查却来是自校内的路灯、贩卖机等物联网设备,但学校并未想到这些校内设施,都是属于这类设备的一部分。

物联网设备甚至会造成人身威胁,例如黑客可控制汽车的自动驾驶系统,透过枪枝的管控系统,黑客可执行射击。

无所不在的物联网设备,你我都需要正视所带来的安全问题

物联网安全是一整个生态圈的事情

基本上,许多人想到物联网的安全问题,可能会以为主要是对于设备加密,消除漏洞等防护措施。但事实上,我们手上的物联网设备,只是传感器(Sensors),背后拥有一个生态圈,还包含网络与应用程序等。但从黑客攻击的面向来看,则略有不同:大致上可分成硬设备、连接性(Connectivity),以及应用程序3块。

 

硬件指的不只是物联网设备本身,还包含整个生态圈设施,像是网关设备,或是执行应用程序的手机等,黑客可透过这些设备发动攻击。

连接性指的是任何连接的阶段、过程,包含网络流量、生态圈通讯,以及设备之间的连接,或是应用程序之间的API等。

应用程序则包含物联网设备本身的软件、云端网页接口或管理者接口等。

在物联网硬件出现的问题中,赖婕芳举了RFID卡Mifare Classic为例,这种卡片遭到逆向工程解析后,被发现密钥只有48 bits,极容易破解,她说,以现在的角度来看,只要在淘宝花5美元,就能取得相关的修改工具。

而对于连接性的问题,像低功耗蓝牙通讯(BLE)来说,在需要沟通的两个设备之间,由于像手环一类的设备没有屏幕,只能使用配对机制中的Just Work验证方法(无密钥),在这种情况下就很容易遭受中间人攻击。

但其实另外一层隐忧,则是更多设备的BLE通讯过程完全没有加密,以赖婕芳他们测试过的小米手环与体重计来说,他们发现只是对手机程序进行配对,没有对数据做保护,因此可将手环或是体重计的通讯内容,传送到非绑定的行动设备。换言之,有心人士可将小米体重计得到某个人的重量信息,同时传送到多台设备中呈现。

相较于上述两者,应用程序是黑客最常使用的攻击标的,像Hitcon在2015年举办的大会中,就展示骇入Gogoro App并取得凭证,然后将电动机车成功发动。然而这是应用程序在设计上的问题,将凭证存放在手机不够安全的区域导致。

无所不在的物联网设备,你我都需要正视所带来的安全问题

  迎向2017年,物联网安全是全民都要面对的问题

面临物联网设备层出不穷的安全事件,我们必须有所体认。针对不同的角色,赖婕芳提出以下建议措施:

制造商:开始设计必须将安全纳入考虑,并且开发者需要有安全开发经验、训练,最好产品在上市前渗透测试。

企业用户:需将物联网设备盘点并列管,若是无法修补的设备,应考虑隔绝于主要网络之外。此外,防护措施需将整个网络架构纳入安全考虑。并在采购时,要求厂商确保设备安全性。

终端使用者:了解使用设备的风险,如果不确定设备的功能,最好就不要使用。使用时,要将默认密码更换成高度复杂的密码。



   


 


  

本文转自d1net(转载)

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
目录
相关文章
|
6天前
|
分布式计算 DataWorks 大数据
MaxCompute产品使用合集之如何实现嵌入式设备到物联网平台再到PAI DSW的云边结合
MaxCompute作为一款全面的大数据处理平台,广泛应用于各类大数据分析、数据挖掘、BI及机器学习场景。掌握其核心功能、熟练操作流程、遵循最佳实践,可以帮助用户高效、安全地管理和利用海量数据。以下是一个关于MaxCompute产品使用的合集,涵盖了其核心功能、应用场景、操作流程以及最佳实践等内容。
|
6天前
|
安全 物联网 物联网安全
物联网安全风险分析
### 物联网安全概览 #### 背景 物联网设备因其默认安全设置薄弱,成为黑客攻击目标。随着OT网络中物联网角色增多,这些设备临近关键系统,攻击者利用其发起攻击。 #### 物联网定义 物联网(IoT)是通过信息传感设备连接物品与互联网,实现智能化识别、定位、跟踪的网络。涵盖智能家居、可穿戴设备到复杂工业系统。 #### 攻击者偏好 物联网设备易受攻击,2022年针对物联网的网络攻击大幅增长,如DDoS攻击和恶意软件事件。物联网端点的安全疏忽使其成为恶意软件传播途径。 #### 制造业面临风险 制造业因物联网设备被攻击,导致勒索软件攻击增加,因生产中断造成的损失更大。
物联网安全风险分析
|
16天前
|
存储 数据采集 边缘计算
物联网设备的边缘计算与数据处理:技术革新与应用展望
【7月更文挑战第8天】物联网设备的边缘计算与数据处理技术是推动物联网技术发展的重要力量。通过将数据处理和决策推向设备边缘,边缘计算实现了低延迟、数据隐私和安全、带宽优化以及可靠性等优势,为物联网应用的实时性、智能化和高效性提供了有力保障。未来,随着技术的不断进步和创新,边缘计算将在物联网领域发挥更加重要的作用,推动物联网技术的进一步发展。
|
17天前
|
安全 物联网 物联网安全
物联网设备的安全性评估与测试:技术深度解析
【7月更文挑战第7天】物联网设备的安全性评估与测试是保障物联网系统安全运行的重要环节。通过实施全面的安全性评估与测试,可以发现并修复设备中存在的安全漏洞和风险,提高整体安全防护能力。然而,由于物联网设备的多样性和复杂性以及安全标准与监管的缺失等挑战,测试工作需要不断创新和优化。未来,随着技术的不断进步和实践的深入,物联网设备的安全性评估与测试将更加完善和高效。
|
17天前
|
传感器 存储 算法
物联网设备的低功耗设计与优化技术
【7月更文挑战第7天】低功耗设计与优化技术是物联网设备广泛应用的关键。通过选择合适的处理器和微控制器、低功耗通信协议、睡眠与唤醒机制以及数据压缩与传输优化策略,可以显著降低物联网设备的功耗,延长其电池寿命,提高系统的可靠性和性能。未来,随着物联网技术的不断发展,低功耗设计与优化技术将持续演进,并在更多领域发挥重要作用。
|
18天前
|
机器学习/深度学习 数据可视化 物联网
物联网设备的数据可视化与分析:解锁未来智能世界的钥匙
【7月更文挑战第6天】物联网设备的数据可视化与分析是解锁未来智能世界的关键。通过不断探索和实践,我们可以更好地利用物联网数据,推动技术创新,提升社会运行效率,为人们的生活带来更多便利和惊喜。面对技术挑战,我们应保持开放心态,积极学习新技术、新方法,不断优化数据可视化与分析的流程和效果,为物联网的繁荣发展贡献力量。
|
19天前
|
存储 传感器 监控
物联网设备的远程监控与管理:技术与实践
【7月更文挑战第5天】物联网设备的远程监控与管理技术正逐步成熟,为企业和个人带来了前所未有的便利性和洞察力。通过实现设备的实时监控、远程操作、数据分析等功能,可以显著提高设备的运行效率和安全性。然而,面对系统集成、隐私安全、用户体验等挑战,我们仍需不断探索和创新,以推动物联网技术的持续发展和应用。
|
20天前
|
运维 安全 物联网
物联网设备的安全固件更新机制:保障设备安全的基石
【7月更文挑战第4天】物联网设备的安全固件更新机制是保障设备安全、稳定运行的重要基石。通过建立完善的更新管理制度、定期检查和更新计划、安全验证和兼容性测试、自动化分发和安装、详细的更新记录、数字签名技术、分阶段或分批更新策略、紧急响应计划及加密通信协议等措施,可以显著提高物联网设备固件更新的安全性和可靠性。未来,随着技术的不断进步和应用场景的拓展,物联网设备的安全固件更新机制将不断完善和发展,为物联网系统的稳定运行和数据安全提供更加坚实的保障。
|
7小时前
|
供应链 安全 物联网
未来技术的浪潮之巅:区块链、物联网与虚拟现实的交汇
【7月更文挑战第24天】随着科技的迅猛发展,新兴技术正逐步渗透进我们的生活与工作之中。本文旨在探究区块链技术、物联网以及虚拟现实等尖端技术的发展现状与未来趋势,分析它们在各自领域内的潜在应用场景,并讨论这些技术如何相互融合以推动社会进步和产业革新。文章将提供对这些技术深层次理解的同时,预测其在未来可能带来的变革。
|
1天前
|
安全 物联网 数据处理
探索未来:区块链技术在物联网中的应用与挑战
随着技术的不断演进,区块链和物联网的结合已成为推动数字化转型的前沿力量。本文深入探讨了区块链技术在物联网领域的应用前景、面临的安全与隐私挑战以及潜在的解决方案,旨在为读者提供一个关于这一跨学科技术融合的全面视角。通过分析具体案例和最新研究数据,文章揭示了区块链技术如何增强物联网设备的安全性、提高数据处理效率,并促进去中心化应用的发展。同时,也指出了当前实施中的主要障碍和未来发展的可能方向。

相关产品

  • 物联网平台