2、物联网设备节点数量太多,应用种类多,导致物联网平台对设备的安全感知、检测、防御更加复杂;
3、目前物联网设备处在初级和野蛮生长阶段,很多厂家不重视安全,导致物联网系统漏洞百出,有的可能甚至成为攻破物联网系统的突破口;
先写这么多吧。物联网安全的基础:
1、是各种感知技术的广泛应用。
2、是一种建立在互联网上的泛在网络。
物联网不仅仅提供了传感器的连接,其本身也具有智能处理的能力,能够对物体实施智能控制。物联网是新一代信息技术的重要组成部分,也是“信息化”时代的重要发展阶段。
物联网就是物物相连的互联网。这有两层意思:
其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络。
其二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信,也就是物物相息。
物联网通过智能感知、识别技术与普适计算等通信感知技术,广泛应用于网络的融合中,也因此被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。
物联网用途广泛,遍及智能交通、环境保护、政府工作、公共安全、平安家居、智能消防等多个领域。
物联网时代早已到来。安全性问题已经研究了10多年。怎么保证其安全性:
需要有国际法保护的 *** 作系统。至少有国家保护的 *** 作系统。因为, *** 作系统是物联网的精髓。
人人懂得保护隐私的重要性。保护隐私应该立法。因为,物联网的开放性,就好比人人可以进入“超市”购物、砍价、付款、闲聊,谁要赤身裸背在超市闲逛,那谁也没办法。即安全性需要人人重视。即便你无所谓,对计算机不做严格管理,也可被别有用心的黑客当炮灰或堡垒。
国家必须对物联网立法,用法管网,才能建立正常的安全秩序,有法可依,违法必究。
上网者的后台必须是实名制。一旦有问题,依法上后台查阅,谁也跑不了。就像现在正在实行的“电话实名制”。最好是线路也实名制,终端IP也实名制,利于快速破案。
商家必须实名制登记,其商铺、网店可以虚拟,但店铺必须国家工商注册,并有注册号可以查询真伪。提供查询的机关必须是国家管理部门,而不是一般的没有资质的社会团体。这样,人们进入商铺或网店就踏实多了。
随着人工智能一路高歌猛进,万物互联的智慧生活新时代渐行渐近。当前,物联网设备市场呈指数级增长态势,传统设备接入互联网成为技术发展和产业应用大势所趋。
人们在享受万物互联带来的便利同时,物联网终端的安全问题却逐渐暴露出来,甚至成为最薄弱环节。联网的打印机、路由器,都可能成为被黑客利用的“后门”,借以窃取国家机密、商业机密、个人隐私。
业内透露,物联网设备成为黑客攻击的捷径并非危言耸听。2014年1月发生的针对物联网设备的一起攻击行为,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。来源:央广
针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
最大限度的保证物联网的安全,做好以下三点:第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G
Data)安全软件公司安全顾问Eddy
Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)