移動互聯時代,物聯網(internet of things,iot)裝置越來越多,并呈現出迅猛增長态勢,然而人們并未關注這些物聯網裝置存在的諸多漏洞。對此,物聯網爆發安全更新。
可連網絡裝置數量更新
目前越來越多的攻擊活動正由物聯網裝置來實作,例如網絡攝像頭、可聯網燈泡、恒溫器等等。過去,這些裝置往往被視為攻擊目标,允許攻擊者通過對其進行批量開啟或關閉來影響客戶。
然而如今,越來越多的裝置卻開始成為攻擊平台而不再是攻擊目标。其中,最具代表性的便是mirai開源蠕蟲已然在數千萬台iot裝置間大肆傳播,以供攻擊者利用這些系統建立起幾乎任何企業都無法應對的超大規模ddos(分布式拒絕服務)攻擊。而除了ddos攻擊之外,物聯網裝置還能夠用于掩護其對資訊與密碼的竊取行為,成為網絡攻擊者的幫兇。
針對汽車傳感器的攻擊(噪音攻擊)
多裝置接入引發攻擊更新
伴随此類産品大量湧入市場,讓針對物聯網的攻擊手段不斷更新,美國的密歇根大學在兩個月前釋出了一個報告,黑客隻需一個5美元的喇叭,就能靠聲波入侵5家制造商的20款加速度計晶片,因為今天的智能手機都有音頻傳感器,而利用聲波對音頻傳感器攻擊可影響到相關元件的正常工作。
利用喇叭播放特殊聲波攻擊加速計晶片
目前大部分的物聯網裝置實際上并不具備應有的隐私與安全保障能力。一般來講,這一問題需要從根源層面加以解決,即在設計流程的起始階段即将網絡安全與隐私保障措施納入iot産品的開發與創新構想之中。
可是,大多數iot裝置制造商、供應商包括使用者,對此并不關注。這就促使基于iot裝置出現大量諸如單一的預設使用者名和密碼,以及編碼錯誤、後門和其他垃圾代碼(通常用于啟用物聯網連接配接和通信)引起的缺陷。
對于此類持續且不斷變化的威脅因素,物聯網裝置使用者應當確定對産品中的預設密碼進行及時修改。同時,應該禁用掉telnet(即遠端登入),因為現在很多iot裝置都預設通過telnet來實作管理,是以應将其關閉并選擇使用secure shell(ssh)或者關閉http并轉而使用https。
此外,在企業環境當中,滲透測試應當将物聯網裝置與網絡涵蓋于其中。因為即使其中相當一些問題實際上看似微不足道,例如明文協定以及基礎性跨站點腳本漏洞等等,但實際上對于企業網絡安全的危害卻很大。是以,可以預測瞄準物聯網裝置的攻擊将變得更複雜,更多經過設計的可利用物聯網通信和資料收集鍊中的漏洞将湧現出來。
必要機構監管更新
現在物聯網安全已經成為一類新的獨立問題,因為相關制造商釋出了大量在本質上并不安全的裝置,且不存在有效的修複途徑。同時此類物聯網惡意軟體對于裝置本身幾乎沒有影響,但受感染裝置會被用于攻擊第三方——這意味着物聯網使用者及裝置制造商本身缺少采取應對行動的動機。
随着物聯網裝置的安全問題不斷暴露,包括安全專家以及崇尚網絡自由的人士都開始認為目前這些iot裝置的“風險水準太高,利害關系重大”,已經不能繼續對其坐視不理了。
然而目前市場本身并不會解決這個問題,因為買方與賣方對此并不關注。如果技術行業不采取行動,又沒有政府的幹預,那麼市場将坐視這一安全問題的持續膨脹。是以,政府層面有必要出面牽頭,建立新的監管機構,通過幹預以應對未來可能出現的僵屍網絡等威脅性活動。
現在針對iot裝置的此類負面可能性聽起來也許太過極端,可是從去年開始,美國爆發的大規模斷網事件為人們敲響了警鐘,包括分布在世界各地的物聯網裝置——從汽車到工業控制系統——顯然都有可能被惡意人士用于攻擊并造成生命财産損失。這時來自政府層面的監管政策與專項機構的設立就顯得刻不容緩了。
本文轉自d1net(轉載)