由蜜罐引发的物联网安全小谈

简介:

最近几年,“物联网”正以迅雷不及掩耳之势四处圈地,“凡联网之物都能被黑”的恶名也如影随形。仅2015年,安全研究人员就发现了婴儿监控器、滑板、来复枪和吉普车等物联网设备中的漏洞,一名研究者甚至在一架飞机的飞行过程中对其进行了短暂地控制。

由蜜罐引发的物联网安全小谈

《纽约时报》曾发表评论文:

“依靠便捷和更加安全的卖点,物联网产品广受热捧。而现实却相反,这是一辆在隐私及安全的轨道上频繁失事的高速列车。”

对于物联网设备的担忧其实并非刚刚开始,安全研究人员一直在警告数百万的物联网设备存在安全隐患、易受到攻击。而根据美国国土安全部网络攻击防御分支统计结果显示,去年被报道的安全事故近245件。

那些设备究竟是如何被黑的呢?

为了深入研究,研究者建立了“物联网蜜罐”——用于寻找针对联网加油站和医疗设备发动攻击的黑客,并研究他们的攻击行为。

TrendMicro公司6个月内在7个国家建立了一批防护措施“不佳”的联网加油站,看看会发生什么情况?今年早些时候,研究者HD Moore透露,超过5000个连接到网络上的加油站没有密码设置,这就意味着攻击者可以直接访问它们并进行破坏,通过变更设置来让原本满满的泵显示为空的,而最终导致溢出。

该项目最终一共发现20起攻击:

由蜜罐引发的物联网安全小谈

趋势科技:一些攻击只是简单探测加油站的位置。而美国加油站是最“受欢迎”的目标。

其中,有两个针对美国加油站的拒绝服务攻击被认为与叙利亚电子军队有关,这是一个亲叙利亚的黑客组织,尽管研究者尚不能肯定地说攻击绝对就是他们干的。

约旦的雪佛龙和英国石油公司加油站似乎被一个与“伊朗黑客组织”有关的黑客访问过,而他们只是把泵的名称从“无铅”和“柴油”变更成了“IDC组织到此一游”和“Ahaad在这里”这样而已。当然,这也是一种攻击类型,但是大多没什么实际攻击性。

由蜜罐引发的物联网安全小谈

尽管研究者不能确定,但是目前还未有攻击者尝试变更能源水平设置,而这样的行为会造成非常严重的损害。

“不久之后,会有更为严重的攻击出现”

Kyle Wilhoit在2015BlackHat黑帽大会如是说道。

无独有偶,在另一个黑客大会Defcon上,研究者说他们已经研究了包括胰岛素泵、起搏器、MRI机器和其他医疗控制设备系统的物联网。在蜜罐测试中,仅通过来自制造商网站的通用用户名和密码便能获得这些设备的控制权。当然,也有一些厂商天真地把密码和用户名放进一个Pastebin文件中,实质上就是说“这里有一些医疗设备的用户名和密码,如果有人想攻击他们,快看这里”。

这些作为“蜜罐”的医疗设备被登录超过55000次,被装恶意软件超过300次,里面有24个指令以及8个使用特殊凭证的登录凭记——也就是说,有人打开Pastebin文件就可以滥用里面的信息了。

攻击者进入医疗设备的蜜罐

由蜜罐引发的物联网安全小谈

上面数据显示,大部分的攻击源于荷兰、中国和韩国

Protibiti首席研究院Scott Erven说:“这些基本都是些小打小闹,而非针对性攻击。”

大多数攻击者只是在做简单的“探究”,测绘物联网的版图。然而Erven说如此轻松便可以进入医院的药物设备,攻击者还能获得这些设备中的信息;只要你进入了一个心电图机,理论上你就能得到使用这台设备的病人的信息,例如他们的姓名、社保号码和出生日期。

在现实生活中,恶意软件同样也可以干扰医疗设备的运行。 “如果大规模的攻击造成了设备故障,我们是没有办法立刻知道这一点。”

但是通过这些“蜜罐”,医疗设备安全研究者并没有发现任何明显的恶意攻击,比如让起搏器不正常工作或者给病人注射过量胰岛素等等。

“他们(黑客)有系统管理权限,但是他们并不发送指令,可能他们没有意识到自己已经获得了一台MRI机器的root权限。”

因此,我们是否应该重视这样的情况呢?攻击者能够进入这些系统,但是可能只是一次,他们似乎对攻击这些设备或者加害于人没什么兴趣。

物联网安全:一颗定时炸弹?

来自IBM的Andy Thurai表示,科技的发展远远超出了企业自身安全维护能力的提升,物联网则汇集了网络中各种各样的传感器和部件。公司却没有为安全业务支付适合的费用,尽管已经开始所有增长,但还远远不够,而物联网则把一切弄得更糟了。所以说,物联网是一个定时炸弹。

据OF物联网报道,作为连接上述设备所广泛使用的重要无线互联标准之一,ZigBee技术也于近期召开的2015黑帽大会上被曝出存在严重的安全漏洞,引发了业内的广泛关注。

FreeBuf之前也有文章讨论过物联网安全蓝海战略。ZigBee是一种低成本、低功耗、近距离的无线组网通讯技术,目前已广泛存在于诸如智能灯泡、智能门锁、运动传感器、温度传感器等大量新兴的物联网设备中。然而,研究人员却发现在ZigBee技术的实施方法中存在一个严重缺陷,涉及到多种类型的设备中,黑客有可能以此危害ZigBee网络,并“接管该网络内所有互联设备的控制权”。由此,可能带来大量物联网产品安全的安全风险。

近日一份研究报告显示,针对物联网安全的小型技术解决方案和服务市场将会出现井喷,物联网安全市场将在2020年的时候增长至289亿美元。

当然针对层出不穷的物联网安全事故,也不是人人都愁眉以对的。

安全研究者Dan Tentler认为,

“研究物联网设备漏洞是很困难的。为了攻击吉普车,研究者不得不买一辆,然后花一年时间研究代码。当攻击者进入这些‘蜜罐’时候,他们可能仍不知道可以做些什么坏事。”


作者:明明知道


来源:51CTO


相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
88 12
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
95 7
|
28天前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
1月前
|
监控 安全 物联网安全
物联网安全与隐私保护技术
物联网安全与隐私保护技术
72 0
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
68 0
|
2月前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
74 5
|
3月前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
3月前
|
存储 安全 物联网
探索未来网络:物联网安全的挑战与对策
本文深入探讨了物联网(IoT)技术的基本概念、发展现状以及面临的主要安全挑战,并提出了相应的解决策略。通过对当前物联网设备的安全漏洞和攻击手段的分析,文章强调了加强设备认证、数据加密和隐私保护等措施的重要性。同时,呼吁业界共同努力,制定统一的安全标准和规范,以促进物联网技术的健康发展。
|
2月前
|
存储 安全 物联网
|
3月前
|
存储 安全 物联网
智能家居安全:物联网设备的风险与防护
在智能家居的浪潮中,物联网技术让生活更加便捷。然而,随之而来的安全问题也不容忽视。本文将揭示智能家居设备可能面临的安全风险,并提供实用的防护措施,帮助用户构建一个更安全的智能生活环境。

热门文章

最新文章

相关产品

  • 物联网平台