针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
物联网时代早已到来。安全性问题已经研究了10多年。怎么保证其安全性:
需要有国际法保护的 *** 作系统。至少有国家保护的 *** 作系统。因为, *** 作系统是物联网的精髓。
人人懂得保护隐私的重要性。保护隐私应该立法。因为,物联网的开放性,就好比人人可以进入“超市”购物、砍价、付款、闲聊,谁要赤身裸背在超市闲逛,那谁也没办法。即安全性需要人人重视。即便你无所谓,对计算机不做严格管理,也可被别有用心的黑客当炮灰或堡垒。
国家必须对物联网立法,用法管网,才能建立正常的安全秩序,有法可依,违法必究。
上网者的后台必须是实名制。一旦有问题,依法上后台查阅,谁也跑不了。就像现在正在实行的“电话实名制”。最好是线路也实名制,终端IP也实名制,利于快速破案。
商家必须实名制登记,其商铺、网店可以虚拟,但店铺必须国家工商注册,并有注册号可以查询真伪。提供查询的机关必须是国家管理部门,而不是一般的没有资质的社会团体。这样,人们进入商铺或网店就踏实多了。
挑战一:低功耗是重中之重
物联网从一个利基市场(小众市场)不断发展成为一个几乎将我们生活各个方面都连接在一起的庞大网络,面对如此广泛的应用,功耗是至关重要的。在物联网领域中,许多联网器件都是配备有采集数据节点的微控制器(MCU)、传感器、无线设备和制动器。在通常情况下,这些节点将由电池供电运行,或者根本就没有电池,而是通过能量采集来获得电能。特别是在工业装置中,这些节点往往被放置在很难接近或者无法接近的区域。这意味着它们必须在单个纽扣电池供电的情况下实现长达数年的运作和数据传输。
“电池的安装、养护和维修不仅难度很高,同时也会带来高昂的开销。而在某些车间或厂房内,这些 *** 作甚至非常危险。”关注无线和低功耗充电领域的Harsha表示,“我们的目标就是让用户在器件的使用寿命内无需更换电池。”基于此,Harsha和他的团队正在研究尽可能延长微型电池供电时间的方法。例如,借助太阳能来供电,无论是室内或是户外光源,即使是只从光源中采集很少的能量,其影响也是巨大的。同时,通过工厂中某一物件的内外环境温差,也能够实现能量的采集,例如温度高于外部空气的高温液体管道。此外,在工业装置中,车间内机器所产生的振动也能被用于能量采集。通过住所内来自WiFi的无线电波,也可以为支持物联网节点的电池生成一个小电荷。
以上种种方法的目标是将电池的使用寿命延长10%或20%。虽然消费类电子元器件更新换代的速度越来越快,但是工业应用中的物联网技术可以持续很长的时间。通过使用能量采集来延长电池的使用寿命,一块电池可以持续供电20年到30年,直到所有的节点需要更换。在某些情况下,由于能量采集的使用,这些节点甚至可以实现无电池运行。
挑战二:感测必不可少
如果没有感测,那么物联网也将不复存在。传感器、微型器件和节点是构成整个物联网系统的基石,它们能够测量、生成数据并将数据发送给其他节点或云端设备。无论是感测住宅的房门是否关闭,还是汽车的机油是否需要更换,抑或是生产线上的某个设备会不会出现故障,传感器采集到的数据都是关键信息。
“感测在需要作出决策的时候便会发挥作用,这一过程不一定需要人工干预。”专注电流感测领域的Jason表示,“如果传送带正在传输某个物体,传感器能够帮助确定这个物体是什么、重量为多少以及传送带是否过热等。例如,分析电机内的电流能够让人们了解电机的健康状况、是不是出现了故障。这些都是在进行工厂控制时需要了解的内容,而传感器使这一切变为可能。当提供实时数据时,这些重要数据的结合将影响到方方面面。”
因为传感器采集了海量的数据,特别是在工业物联网(IIoT)中更是如此,所以传感器软件的创新与传感器硬件的创新同样重要。当获得了海量的信息时,如何确定信息是不是过多?如何判定所掌握的数据是不是有用?其中极为重要的一环就是算法。一旦有了合适的算法并且得以充分利用,它们将改变制造业。工厂会变得越来越小,效率却越来越高。
挑战三:连通性选择由繁化简至关重要
一旦传感器数据被低功耗节点采集,这些数据必须被传送到某个地方。在大多数情况下,它会被传送至一个网关,这是物联网系统中互联网与云或其他节点之间的中间点。目前,根据独特的使用情况和不同的需求,我们可以选择多种有线或无线的方式来连接设备。各项不同连通性标准和技术都有其特殊的价值与用途,不过将WiFi、Bluetooth、Sub-1 GHz和以太网中的所有这些标准都整合起来却是一项巨大的工程。鉴于产品的多样性以及需要将连通性添加到很多标准与技术并不相同且大多数此前并不具备互联网连通性的产品中,这就需要采用复杂的技术,并使其变得更加简单。
挑战四:管理云端连通性是关键
一旦数据通过一个网关,它在大多数情况下会直接进入云端。在这里,数据被分析、检查,然后付诸实施。物联网的价值源自云端服务上运行的数据。正如连通性一样,云端服务的选择也有很多,这也是物联网发展中另一个复杂点。
“目前,云端供应商的种类繁多,数量也不尽相同,并且没有针对云端设备连接和管理方式的标准。”专注物联网市场发展领域的Gil表示。为了满足那些使用多个云端服务的用户的需求,必须开发物联网云端生态系统,提供集成的TI技术解决方案。可喜的是,由于云端技术已经实现了良好的成本效益,物联网目前正以极快的步伐飞速发展。不过,为了实现物联网的进一步增长,在复杂度简化方面还有很多工作要做。
挑战五:安全性是广泛采用的关键
整个系统的安全性是制约物联网被广泛采用的最大障碍之一。随着越来越多的设备变得“智能化”,越来越多的潜在安全性漏洞将出现。这需要业界研究构建先进的硬件安全机制,同时将安全机制成本和功耗保持在较低的水平上。这需要相关厂商在集成安全协议和安全性软件方面投入大量的人力物力,努力减少把高级安全性功能添加到物联网产品中所遇到的障碍,以确保在保障安全性方面降低门槛。
挑战六:为经验不足的开发人员提供简易物联网解决方案
虽然物联网技术曾经主要由技术公司使用,但是从目前来看甚至在未来一段时间里,物联网技术将在有着一定技术背景限制的行业中被广泛应用。以一个生产龙头公司为例。直到目前,由于没有任何需求,电气工程师也许从未在龙头制造公司工作过。但是如果这家公司打算生产接入互联网的花洒,那么其在人力和时间方面的投入将是巨大的。因此,物联网技术必须能够轻松地添加到其现有和未来的产品中,而无须网络和安全工程师参与其中。这些公司不需要像一家互联网技术公司那样,在技术学习方面投入,他们现在可以从相关企业获得现成可用的技术。对于相关技术公司来说,如何为这些经验不足的开发人员提供简易且立即见效的物联网解决方案,既是挑战更是机遇。
由于我们生活中越来越多的事物正在与网络建立互联,并且随着物联网应用的不断普及与拓展,还有大量的工作需要去完成。以物联网为代表的信息化应用是对我们未来方方面面高品质生活的巨大展望,包括我们的住所、汽车和高效工厂内的用户便利性与生活方式等,而这一切将最终使我们的世界变得更加美好。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)