物聯(lián)網(wǎng)幾個基本安全問題
1. 設(shè)計缺陷
隨著物聯(lián)網(wǎng)的出現(xiàn)和越來越多的網(wǎng)絡(luò)流量,越來越多的公司將計算機和傳感器嵌入到產(chǎn)品中,并將產(chǎn)品連入互聯(lián)網(wǎng)。如今,計算機和傳感器正被植人各種消費設(shè)備,甚至包括茶壺和衣服。
在對各種商業(yè)機會做出市場反應(yīng)的過程中,一些制造商在產(chǎn)品上留下了許多安全漏洞。如今,物聯(lián)網(wǎng)引入了新的可開發(fā)的攻擊途徑,這些攻擊點在Web之外擴展到云、不同的OSes、不同的協(xié)議以及更多物聯(lián)網(wǎng)相關(guān)配套設(shè)施上。于是,我們經(jīng)常會聽到有關(guān)新設(shè)備由于安全漏洞而受到黑客的攻擊的消息。
物聯(lián)網(wǎng)設(shè)備或網(wǎng)絡(luò)上的數(shù)據(jù)泄露事件正在變得司空見慣,這很大程度上歸因于這樣一個事實:許多供應(yīng)商并沒有把安全作為他們的首要任務(wù)。當(dāng)他們的產(chǎn)品出現(xiàn)安全問題時,他們只是認(rèn)為這是事后需要面對的問題,沒有嚴(yán)重?fù)p失的情況下,他們并不會主動解決這些問題。
為了研究物聯(lián)網(wǎng)設(shè)備的安全性,賽門鐵克(Symantes)研究小組研究了50個常用的智能家居設(shè)備。該團(tuán)隊發(fā)現(xiàn):沒有一個測試設(shè)備允許使用高強度密碼,也沒有使用相互認(rèn)證。此外,在這些設(shè)備上的用戶賬號沒有受到暴力攻擊的保護(hù)。他們還發(fā)現(xiàn),在控制這些設(shè)備的移動應(yīng)用程序中,大約10個程序沒有使用安全套接層(SSL)來加密設(shè)備和云之間的信息交換。這些安全隱患都是因為設(shè)備的設(shè)計缺陷造成的。
2. 開放式調(diào)試接口
通過產(chǎn)品設(shè)計保障安全性的重要方法之一是確保攻擊面盡可能地最小。但是在生產(chǎn)過程中,物聯(lián)網(wǎng)網(wǎng)關(guān)的制造商僅需要實現(xiàn)必要的接口和協(xié)議,從而使物聯(lián)網(wǎng)設(shè)備能夠執(zhí)行其預(yù)期的功能,并沒有對安全問題做過多考慮。制造商應(yīng)該對設(shè)備上所有接口的服務(wù)進(jìn)行限制,因為在大多數(shù)情況下,用戶并不需要這些開放的調(diào)試接口,甚至沒有意識到有這些接口,但是這些開放的調(diào)試接口卻為惡意實體提供了攻擊設(shè)備或獲取重要信息的機會。惡意攻擊者可以遠(yuǎn)程運行一些有害代碼(病毒和間諜軟件)在設(shè)備上非法獲取信息。
為了在物聯(lián)網(wǎng)中實現(xiàn)設(shè)備的安全可靠,設(shè)計的安全概念應(yīng)該優(yōu)先考慮,避免不必要的安全缺陷。例如,對制造商來說,在產(chǎn)品設(shè)計中包含一些阻止非法用戶運行惡意代碼的機制非常重要。
3. 不適當(dāng)?shù)木W(wǎng)絡(luò)配置和使用用戶默認(rèn)密碼
隨著物聯(lián)網(wǎng)設(shè)備的不斷增加,越來越多的智能產(chǎn)品進(jìn)入市場。 TRUST進(jìn)行的一項調(diào)查顯示,35%的美國和41%的英國國內(nèi)在線消費者除了手機之外,至少還擁有一件智能硬件設(shè)備。這項調(diào)査進(jìn)一步揭示了最受歡迎的智能設(shè)備,包括智能電視(20%)、車載導(dǎo)航系統(tǒng)(12%)、智能手表(5%)和家庭報警系統(tǒng)(49%)。
不幸的是,許多消費者似乎沒有意識到物聯(lián)網(wǎng)的安全性。從一些消費者安裝、配置和使用智能設(shè)備的方式來看,這一點表現(xiàn)得很明顯。例如,些消費者在智能設(shè)備上使用默認(rèn)的密碼和設(shè)置,這種不小心、不嚴(yán)謹(jǐn)會使他們的網(wǎng)絡(luò)路由器和智能設(shè)備開放給黑客訪問。這也是許多智能家庭內(nèi)部網(wǎng)絡(luò)配置不良的原因之一。
另一個問題是使用弱密碼。在大多數(shù)情況下,當(dāng)用戶更改默認(rèn)密碼時他們會使用簡單的密碼來進(jìn)行設(shè)置。一般來說,只有對安全性有明確意識的用戶才可能使用一個長而復(fù)雜的密碼。此外,許多設(shè)備沒有鍵盤,而且由于所有配置都必須遠(yuǎn)程完成,因此,一些用戶不愿意使用安全設(shè)置。
攻擊者通常會尋找配置不佳的網(wǎng)絡(luò)和設(shè)備來進(jìn)行攻擊。定期更換密碼和適當(dāng)?shù)木W(wǎng)絡(luò)配置非常有必要。
4. 信息儲存前未進(jìn)行加密
眾所周知,許多物聯(lián)網(wǎng)設(shè)備,無論使用者是否同意,都確實收集了些個人信息。這些信息可能包括姓名、出生日期、地址、郵編、電子郵件地址、健康信息、社會保險賬號,有時甚至是信用卡號碼。
數(shù)據(jù)隱私管理公司( TRUST)在美國對2000名年齡在18~75歲的互聯(lián)網(wǎng)用戶進(jìn)行了一項在線調(diào)査,發(fā)現(xiàn)5%的用戶意識到智能硬件可以捕捉到他們個人活動的敏感信息。22%的人認(rèn)為,物聯(lián)網(wǎng)創(chuàng)新帶來的好處和便利值得犧牲他們的隱私信息。令人驚訝的是,14%的人對這些公司收集個人信息感到滿意。現(xiàn)在的問題是,這些設(shè)備真的需要收集這些個人信息オ能正常工作嗎?大多數(shù)公司為獲取個人用戶數(shù)據(jù)而給出的一個顯而易見的理由是,他們需要這樣的數(shù)據(jù)來改善他們的產(chǎn)品。另一個理由可能是,了解有價值的客戶的習(xí)慣,這樣能更好地為客戶服務(wù),創(chuàng)造出滿足個人需求的新服務(wù)。
不管設(shè)備收集數(shù)據(jù)的目的如何,最重要的是確保這些收集到的數(shù)據(jù)得到很好地保護(hù),無論是存儲在設(shè)備內(nèi)部存儲器上還是在傳輸中。到目前為止,加密是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問的最佳方法。
雖然加密是保護(hù)數(shù)據(jù)的最佳方法,但在許多物聯(lián)網(wǎng)設(shè)備上實現(xiàn)加密對安全專家來說是一項挑戰(zhàn)。例如,在一些物聯(lián)網(wǎng)設(shè)備中使用SSL協(xié)議保護(hù)通信不是一種好的選擇,因為它需要更多的處理能力和內(nèi)存,這是在物聯(lián)網(wǎng)硬件這種資源受限設(shè)備上非常稀缺的資源。另一個選擇是考慮使用虛擬專用網(wǎng)(VPN)隧道,但這需要一個功能齊全的開放移動操作系統(tǒng)(OSes)。
