物联网设备恐成网络安全重灾区吗?

物联网设备恐成网络安全重灾区吗?,第1张

随着人工智能一路高歌猛进,万物互联的智慧生活新时代渐行渐近。当前,物联网设备市场呈指数级增长态势,传统设备接入互联网成为技术发展和产业应用大势所趋。

人们在享受万物互联带来的便利同时,物联网终端的安全问题却逐渐暴露出来,甚至成为最薄弱环节。联网的打印机、路由器,都可能成为被黑客利用的“后门”,借以窃取国家机密、商业机密、个人隐私。

业内透露,物联网设备成为黑客攻击的捷径并非危言耸听。2014年1月发生的针对物联网设备的一起攻击行为,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。来源:央广

针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。

硬件接口

通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。

弱口令

目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。

信息泄漏

多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。

未授权访问

攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:

厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。

远程代码执行

开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。

中间人攻击

中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>

云(端)攻击

近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。

物联网用途广泛,遍及智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、工业监测、环境监测、路灯照明管控、景观照明管控、楼宇照明管控、广场照明管控、老人护理、个人健康、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。
国际电信联盟于2005年的报告曾描绘“物联网”时代的图景:当司机出现 *** 作失误时汽车会自动报警;公文包会提醒主人忘带了什么东西;衣服会“告诉”洗衣机对颜色和水温的要求等等。物联网在物流领域内的应用则比如:一家物流公司应用了物联网系统的货车,当装载超重时,汽车会自动告诉你超载了,并且超载多少,但空间还有剩余,告诉你轻重货怎样搭配;当搬运人员卸货时,一只货物包装可能会大叫“你扔疼我了”,或者说“亲爱的,请你不要太野蛮,可以吗?”;当司机在和别人扯闲话,货车会装作老板的声音怒吼“笨蛋,该发车了!”
物联网把新一代IT技术充分运用在各行各业之中,具体地说,就是把感应器嵌入和装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将“物联网”与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,存在能力超级强大的中心计算机群,能够对整合网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以以更加精细和动态的方式管理生产和生活,达到“智慧”状态,提高资源利用率和生产力水平,改善人与自然间的关系。
应用案例
物联网传感器产品已率先在上海浦东国际机场防入侵系统中得到应用。
系统铺设了3万多个传感节点,覆盖了地面、栅栏和低空探测,可以防止人员的翻越、偷渡、恐怖袭击等攻击性入侵。上海世博会也与中科院无锡高新微纳传感网工程技术研发中心签下订单,购买防入侵微纳传感网1500万元产品。
ZigBee路灯控制系统点亮济南园博园。ZigBee无线路灯照明节能环保技术的应用是此次园博园中的一大亮点。园区所有的功能性照明都采用了ZigBee无线技术达成的无线路灯控制。
首家手机物联网落户广州
将移动终端与电子商务相结合的模式,让消费者可以与商家进行便捷的互动交流,随时随地体验品牌品质,传播分享信息,实现互联网向物联网的从容过度,缔造出一种全新的零接触、高透明、无风险的市场模式。手机物联网购物其实就是闪购。广州闪购通过手机扫描条形码、二维码等方式,可以进行购物、比价、鉴别产品等功能。
这种智能手机和电子商务的结合,是“手机物联网”的其中一项重要功能。预计2013年手机物联网占物联网的比例将过半,至2015年手机物联网市场规模达6847亿元,手机物联网应用正伴随着电子商务大规模兴起。
与门禁系统的结合
一个完整的门禁系统由读卡器、控制器、电锁、出门开关、门磁、电源、处理中心这八个模块组成,无线物联网门禁将门点的设备简化到了极致:一把电池供电的锁具。除了门上面要开孔装锁外,门的四周不需要设备任何辅佐设备。整个系统简洁明了,大幅缩短施工工期,也能降低后期维护的本钱。无线物联网门禁系统的安全与可靠首要体现在以下两个方面:无线数据通讯的安全性包管和传输数据的安稳性。
与云计算的结合
物联网的智能处理依靠先进的信息处理技术,如云计算、模式识别等技术,云计算可以从两个方面促进物联网和智慧地球的实现:首先,云计算是实现物联网的核心。 其次,云计算促进物联网和互联网的智能融合。
与TD结合
物联网发展是确保TD成功的重大契机。TD-SCDMA是我国拥有自主知识产权的第三代移动通信系统,是宽带无线通信网络,TD的发展需要数据业务的拉动,物联网应用是需求最迫切的增强型数据业务,具有广阔的应用前景,能够充分发挥TD网络优势,有助于促进TD产业链的成熟。
完善现有网络,发挥TD优势,积极推动无线传感器网络与TD网络融合,构建适于物联网应用的GPRS/TD/WSN(无线传感器网络)融合网络,大力发展适于TD网络承载的物联网业务,提升TD的核心竞争力,给物联网的发展以强有力的支撑,是中国移动的发展思路。
与移动互联结合
物联网的应用在与移动互联相结合后,发挥了巨大的作用。
智能家居使得物联网的应用更加生活化,中凌e家智能家居控制系统 具有网络远程控制、摇控器控制、触摸开关控制、自动报警和自动定时等功能,普通电工即可安装,变更扩展和维护非常容易,开关面板颜色多样,图案个性,给每一个家庭带来不一样的生活体验。
与指挥中心的结合
物联网在指挥中心已得到很好的应用,网连网智能控制系统可以指挥中心的大屏幕、窗帘、灯光、摄像头、DVD、电视机、电视机顶盒、电视电话会议;也可以调度马路上的摄像头图像到指挥中心,同时也可以控制摄像头的转动。网连网智能控制系统还可以通过3G网络进行控制,可以多个指挥中心分级控制,也可以连网控制。还可以显示机房温度湿度,可以远程控制需要控制的各种设备开关电源。
物联网助力食品溯源,肉类源头追溯系统
从2003年开始,中国已开始将先进的RFID射频识别技术运用于现代化的动物养殖加工企业,开发出了RFID实时生产监控管理系统。该系统能 够实时监控生产的全过程,自动、实时、准确的采集主要生产工序与卫生检验、检疫等关键环节的有关数据,较好的满足质量监管要求,对于过去市场上常出现的肉 质问题得到了妥善的解决。此外,政府监管部门可以通过该系统有效的监控产品质量安全,及时追踪、追溯问题产品的源头及流向,规范肉食品企业的生产 *** 作过 程,从而有效的提高肉食品的质量安全。
希望能帮到您,望采纳


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/dianzi/13206889.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-06-20
下一篇 2023-06-20

发表评论

登录后才能评论

评论列表(0条)

保存