短短三分鐘內就可能被入侵的七種物聯網設備
譯文【51CTO.com快譯】不安全的物聯網
ForeScout公司近日發布了物聯網企業風險報告,這份報告概述了常見設備如何給企業帶來固有風險的嚴峻現狀。
該公司研究了七種常見的企業物聯網設備,結果表明,它們的核心技術、基本的開發方法和快速生產使得在軟件、固件和硬件里面實施適當的安全機制成了一項“經常被忽視的任務”。
ForeScout科技公司的總裁兼首席執行官邁克爾·德薩塞爾(Michael DeCesare)在報告中說:“物聯網已得到公眾的接受,但是這種設備在企業界的普及帶來了大得多的攻擊面――這為黑客提供了易于訪問的入口點。”ForeScout的報告出得很及時:上周五的大規模分布式拒絕服務攻擊阻止人們訪問許多流行網站,包括推特和網飛(Netflix),據認為使用了不安全的物聯網設備。
為了解決這些風險,解決方案提供商需要與企業合作,一旦設備連接到企業網絡,就要提供“全面可見性”,并控制這些設備。
據ForeScout聲稱,下面是七種短短三分鐘內就可以被入侵的物聯網設備。
IP聯網安全系統
ForeScout將IP聯網安全系統列為一種可能“災難性”的安全風險,這意味著它可能導致不可挽回的破壞、侵犯用戶隱私,或者讓黑客能夠訪問私秘的公司信息。
據ForeScout聲稱,許多聯網安全系統使用缺乏驗證和加密技術的專有射頻技術來進行通信。大多數系統還使用易于檢測、并不采用跳頻技術的無線電信號,因而很容易受到干擾和欺騙,從而讓犯罪分子能夠關閉運動傳感器或遠程開鎖。據ForeScout聲稱,攻擊者還可以生成無線電信號,發送假觸發、訪問系統控制。
IP聯網基礎設施
據ForeScout聲稱,另一種一旦被黑客攻擊,可能導致災難的物聯網設備就是IP聯網基礎設施,包括氣候控制和水電表以及暖通空調(HVAC)系統。
ForeScout表示,暖通空調系統通常與內部系統連接到同一個網絡上。因此,黑客可以輕松訪問這種系統,從而攔截數據,并實施另外的攻擊。
比如說,如果暖通空調系統被攻擊,攻擊者可以迫使重要的房間(比如服務器機房)過熱,并造成物理損壞。智能水電表也可能讓攻擊者能夠改變報告上報的水電用量,這可能導致欺詐性結賬和計量。
智能視頻會議系統
據ForeScout的報告顯示,有些漏洞讓遠程攻擊者能夠控制系統上的任何應用程序,接管通信應用軟件,或者錄制音頻和視頻,智能視頻會議系統很容易受到這類漏洞的攻擊。
ForeScout將這些系統風險列為破壞性,這意味著如果受到攻擊,它們可能會擾亂公司和運營流程。許多系統使用常見的操作系統,它們存在嚴重的溢出漏洞,而通過IP連接到本地網絡的設備(比如智能電視)可能讓黑客得以全面訪問網絡。
聯網打印機
另一種面臨可能破壞性的安全風險的設備就是聯網打印機。大多數打印機通過IP聯網,因而讓網絡上的計算機易于訪問它們,但同時也構成了安全風險,讓黑客得以潛入到企業。
ForeScout表示,如果打印機連接在公共網絡上,或者攻擊者也在同一個無線網絡上,攻擊者就能發送精心設計的簡單網絡管理協議(SNMP)數據包,從而獲得企業的管理密碼,并完全控制打印機。
VoIP電話
ForeScout表示,VoIP電話是另一種對企業構成可能破壞性風險的聯網設備。比如說,許多VoIP電話使用復雜的路由,將電話暴露在遠程窺視者面前。黑客可以利用配置設置來逃避身份驗證,然后更新手機,讓他們能夠竊聽電話通話、撥打電話。據ForeScout聲稱,攻擊者只要知道手機的IP地址就可以訪問手機。
智能冰箱
ForeScout表示,很容易被攻擊的另一種聯網設備就是智能冰箱。現在冰箱配備液晶屏,并具有無線上網功能,這讓黑客能夠訪問廣泛使用的操作應用程序(比如調度應用程序或通知系統)以及存儲在里面的登錄信息。
由于“松懈的證書檢查機制”,ForeScout表示,與智能冰箱在同一個網絡上的黑客可以實施“中間人”攻擊,攔截客戶機和服務器之間的通信,并篡改數據流。
攻擊者可以通過注入欺騙的地址解析協議(ARP)請求或域名系統(DNS)響應來做到這點,這些請求或響應并不提供驗證或加密方法。
智能燈泡
據ForeScout聲稱,可以在無線和專有網狀網絡上使用的智能燈泡可能被攻擊者嗅探。通過嗅探網絡,攻擊者只要在智能燈泡的無線覆蓋范圍內就行,不需要原本可以訪問網絡。
隨后,黑客不用在網絡上,就可以獲取受密碼保護的無線登錄信息。據ForeScout聲稱,這讓他們能夠進而訪問企業的其他系統和設備,從筆記本電腦到智能手機,甚至與網絡連接的制造系統,不一而足。
原文標題:7 Internet Of Things Devices With Security Risks That Solution Providers Can't Ignore , 作者:Lindsey O'Donnell
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
