是什么讓物聯網IOT不安全?
五年前,我在紐約市第一次參加物聯網(IoT)會議,當時“數字轉型”(digital transformation)一詞剛剛開始成為一個熱門詞匯,物聯網設備正隨處可見。就在那時,我意識到所有這些相互關聯的“東西”對網絡安全的影響。
如果沒有物聯網,設備僅僅是一件設備。他們運行代碼,并被用來達到某一個特定的目的。它可以是你的恒溫器,車庫開門器,或心電圖機的程序。現在,在物聯網的世界所有這些設備都是相互連接的。可以很方便的讓你的恒溫器變暖。我們所有的設備都可以方便地連接在一起,并且可以通過中央控制系統或某些消費設備(如手機或平板電腦)相互通信。今天天氣太熱了? 讓你的恒溫器關閉你的百葉窗。或者,對著你的手機說話,讓你的前門打開。如果你的洗衣機需要檢查, 它可以通過API調用自己請求服務。
現代消費者便利性
當然,我們稱之為現代消費者便利性,但它也非常方便攻擊者。隨著越來越多的設備連接在一起,攻擊面會無限增加,因此,脆弱性潛力也會增加。
一些消費者可能并不擔心這一點。“到底什么是攻擊?”他們可能會問。制造商可能更關心把產品推出市場,而不是考慮他們產品的潛在漏洞。為什么有人會想要弄亂你的恒溫器,你的窗簾,或閱讀你的心電圖? 當我們開始聽到有人侵入我們的設備意味著什么時——也許是你的嬰兒監護儀用奇怪的噪音和威脅恐嚇你的家人,或者是有人侵入并關閉了你的起搏器——我們就會意識到它的危險性。
為什么保護物聯網設備如此不同?
那么,保護這些設備與保護其他設備(如桌面、服務器和手機)有什么不同呢?攻擊者攻擊帶有易受攻擊代碼的設備并不新鮮。那么,物聯網有什么不同之處?為什么很難保護這些設備?
這里有很多因素在起作用,讓我們看看其中的一些:
1. 沒有完全理解風險
制造商總是希望率先上市,推出最新的設備,但不了解這些設備可能存在的真正安全風險。這意味著在功能競爭中,可能會忽略一些安全缺陷。消費者往往不了解這些設備的安全風險,因此不認為制造商應對這些風險負責。我曾聽一個個人心電圖設備制造商說過“我認為沒有人會愿意破解我們的設備”,而一些潛在的消費者也同樣支持他們。
當“事物”受到攻擊時,很難檢測到攻擊,并最終將責任推給制造商。畢竟,如果Windows系統崩潰,導致一天的工作損失,人們很容易將其歸咎于微軟。然而,如果攻擊者正在使用Wi-Fi路由器來挖掘比特幣,那么它可能需要更多的電力,但消費者可能不會察覺。
2. 易于設置和身份驗證
物聯網設備的部署也繼承了安全缺陷。通常,通過設置安全密碼或安裝通信安全密鑰來鎖定設備需要使用者方面的一些工作。然而,這些設備被設計為盡可能容易地安裝,幾乎沒有配置。不幸的是,這意味著默認密碼被硬編碼到設備中,使用不安全的通信協議,并且選擇最寬松的權限。
3. 缺少補丁管理
最后,當在服務器、桌面或手機中發現漏洞時,它們會被修補。補丁被分發并安裝在受影響的系統上。然而,補丁管理在嵌入式設備中變得更加困難。在這里,補丁機制要么不存在,要么實現得很糟糕。有時修補甚至是不可能的。雖然您可以在重新啟動時用一些停機時間來更新Windows機器,但是重新啟動起搏器可能不是用戶最感興趣的。
4. 致力于更安全的物聯網設備
這些原因是物聯網世界中最緊迫的問題,對攻擊者來說是有利可圖的,對安全從業者來說是困難的。然而,這并不意味著我們應該放棄。有很多方法可以讓物聯網設備既方便消費者,又不受攻擊。這只是需要一點努力和嚴謹。
