盤點 | 物聯網安全的七個薄弱點,便利與危險并存
前言
諸如智能家居等形式的物聯網設備正在深入人們的生活,在企業環境中物聯網設備早已無處不在。因此物聯網安全的重要性也越來越高,本文羅列了7個物聯網應用的薄弱點供大家參考。
1. 千奇百怪的網頁用戶界面
用戶都喜歡一個好看、好用的網絡交互界面。在物聯網應用領域,網絡用戶界面可用于實現設備的控制、設置和集成功能,如使用多個智能LED燈泡構建Mesh網絡等。功能很多,隨之而來的問題也不少。
物聯網設備的用戶界面和企業網絡安全領域的痛點類似,雖然不會被SQL注入這種問題困擾,但命令注入、跨站點腳本和請求偽造等手段仍可為犯罪分子大開方便之門,黑客可獲取完整的系統權限并隨時訪問設備,監控甚至干擾用戶的生活。
好在大多數物聯網設備的網頁界面安全問題可以部署常規解決方案,比如驗證輸入、強密碼、不公開憑據、限制密碼重試次數以及可靠的密碼和用戶名恢復流程等。
2. 被忽視的身份驗證步驟
人們在選購物聯網設備時,注意力往往會放在功能是否豐富這一點上,如控制家居產品、居住環境(如空調或者燈光氛圍)、通過音視頻對區域進行監控等功能,在幫助用戶監控區域安全的時候,很少有廠商將設備的安全性當成賣點來吸引用戶。這也從側面反應出廠商和用戶多少對設備本身的安全性重視得不夠。很多物聯網應用都缺乏對于身份的基本驗證步驟,而有認證步驟的其實做得還不夠。
對于物聯網應用而言,需要兩種類型的身份驗證:
- 用戶身份驗證。鑒于物聯網環境的復雜性,是否要求特定區域中的每個物聯網設備進行安全認證,還是一次認證即可通行整個生態系統,這是在產品設計時廠商們常常面臨的問題。大多數系統設計人員因為便利性而選擇后者,這樣一來,對于處在該物聯網系統中心的設備或各設備共用的統一入口而言,可靠的身份認證步驟絕對不能少。
- 設備身份驗證。由于用戶不會在每個設備上進行身份驗證,因此物聯網中的設備應進行互相的身份驗證,防止黑客將一些不受信任的設備,如被黑的路由器等,接入該網絡。
解決上述風險的思路和第一條一樣,就是要重視物聯網應用的開發,不要光賣硬件,將配套的固件/軟件當作賣點來開發。沒有用戶界面,設備間只是各種API接口的調用,因此無需設備的身份驗證這種理由可以束之高閣了。
3. 千篇一律的默認值
用戶名是“Admin”,密碼也是“Admin”,這種情況在一些普通的路由器上很常見。用戶用起來方便,不過“別人”用起來也方便。現在這個問題跑到了物聯網設備身上。
默認的用戶憑證信息會為物聯網設備的安全帶來巨大的風險。如果網絡被黑客入侵,通過簡單的猜解即可進入設備后臺,獲取端口信息、為每個用戶設置管理員權限、設置網絡參數等,這些都是和網絡安全息息相關的設置。不僅是入口設備,整個系統中的設備都有可能被黑客全面接管。
除了完善入口網絡或者基礎設備的安全性之外,為每臺產品設置不同的默認值將會是一個簡單有效的方法。這一點主要還是廠商要付出努力,相比網頁用戶界面和身份驗證體系的開發而言,要解決這個問題相對來說比較簡單。
4. 不受重視的固件漏洞
物聯網設備的硬件和軟件兩個領域發展歷史不長,技術積淀也不夠厚重,所以漏洞也頻發。
開發人員也會經常積極推出漏洞補丁或者是功能性的更新。問題是它不像手機操作系統,對于用戶而言難以感知,有時候哪怕是知道有新的固件,也懶得去更新。還有一種情況是,沒有用戶界面的物聯網設備也是進行固件更新的一大障礙。
一般情況下,物聯網設備放在某個地方時候就不會怎么移動,這樣就給黑客提供了充裕的時間來實驗各種方法和手段。之前發生的巴西20多萬臺路由器被劫持用于挖礦就是一個典型的例子,廠商早在漏洞發現后的第一時間里發布了新版固件,但是數月后仍有很多用戶由于各種原因沒有部署該固件,從而導致海量路由器被大面積劫持。
因此,有新的就用新的,要是實在用不了,看到了相關問題也要留個心眼,通過其他方法,如增加/調整網絡防火墻、提升安全檢查的頻率來加固系統。
5. 人見人愛的云端
物聯網設備的蓬勃發展離不開國內外各大廠商對于云端系統的大量投入,現在沒有幾個消費電子領域和商業領域中的物聯網系統,能夠不依賴云端進行大量的任務處理和命令識別和運行等操作。如果要進行語音識別/交互時,這就更跑不開了,而設備與云端建立的鏈路可能成為一個薄弱點。
物聯網設備與云端通信所用的消息類型多種多樣,有簡單的數據包傳遞,也有會語音和視頻流的發送,處理任務列表、日歷事件,以及運行DevOps框架和工具指令等高級任務也是常見。這些敏感數據流是否通過加密隧道傳輸?你知道嗎?
這里的問題前面幾個一樣,主動權并不掌握在用戶手里。設備采用哪款物聯網芯片?接入哪個云平臺?使用的API接口是什么?接口支持的加密協議有哪些、啟用了哪個?如果身邊有物聯網設備的朋友可以自己問問自己清楚這些問題的答案否。
用戶側目前能做的只有加固防火墻、部署入侵防御系統(IPS)設備或是其他安全工具來做些彌補。
6. 難以防御的內部根源
寫得不好的物聯網應用程序對于網絡防火墻來說也是個大麻煩,惡意代碼/信息可以搭乘獲得防火墻信任的物聯網設備數據流自由進出,好比是在防火墻上挖來了一個洞。
物聯網設備通過網絡內部調用其控制服務器,然后通過心跳信號來維護鏈路。建立連接后,攻擊者可以利用未加密和未經身份驗證的流量漏洞,在開放鏈路發送/傳輸惡意流量。這樣的話黑客就可以從外部進入用戶的系統并利用物聯網設備的漏洞進行惡意活動。
有些人可能會說黑客要預先知道設備的連接類型才能利用漏洞,他們可能沒有聽說過Shodan。通過簡單的Shodan搜索,可以在不花費太多精力或時間的情況下找到各種設備、通信方式和開放端口。定位到設備之后就可以使用簡單的腳本實現自動化攻擊。
7. 一半是天使,一半是惡魔的通信協議
工業控制領域的通信協議,如MQTT的應用面非常廣泛,通信協議本身并沒有什么問題,而是實現它們的方式導致海量的系統遭受安全風險。
以前,工業控制安全的模式很簡單:
- 首先,系統要盡可能少地連接到任何廣域網絡;
- 接下來,就看誰想要攻擊工業控制系統了。
現在越來越多的工業控制系統依托于互聯網,這就變成了各路黑客的香餑餑和練手的對象,都希望能夠通過各種協議訪問或控制物聯網設備,獲取能夠賣掉的數據或是搞點破壞。
總結
保護物聯網部署的關鍵是知識:了解物聯網中實際部署的內容、這些設備在網絡上的作用以及本地設備與其依賴的云系統之間的數據流。
