海外 | 威脅物聯網的7大安全隱患

前言：

隨著越來越多的員工擁有各種各樣的家庭物聯網裝置，他們經常連線到企業網路來完成他們的工作。這意味著企業網路正在面臨巨大的威脅。

 

1.糟糕的使用者介面

每個人都喜歡友好的Web使用者介面。對於物聯網應用程式，它們可以實現控制功能、配置裝置並整合到應用系統中，比其他任何方式速度更快，更容易。然而這對於犯罪分子也同樣易用。

 

大多數情況下，物聯網Web介面的問題與Web應用程式的問題同樣困擾著企業。雖然SQL隱碼攻擊在物聯網應用程式中不是什麼大問題，但命令注入、跨站點指令碼編寫和跨站點請求偽造都是程式設計缺陷，它們可以讓犯罪分子隨時訪問裝置和整個系統，以控制、監視和訪問使用者的操作。

 

幸運的是，大多數Web 介面安全問題的補救措施與多年來向web安全開發人員提供的安全解決措施基本相同，包括：驗證輸入、需要強密碼，並且不允許使用預設密碼第一階段的初始設定、不公開憑據、限制密碼重試嘗試，並確保使用者名稱和密碼恢復程式的健壯性。

 

2.缺少身份驗證

為一個物聯網應用程式驗證使用者身份是件好事。當應用程式可以控制建築物的訪問和環境控制，或者提供對可能監視建築物使用者的音訊和視訊裝置的訪問時，身份驗證似乎是“必須的”，但在某些情況下，即使是最基本的身份驗證也在實施中被遺漏了。

 

對於物聯網應用程式來說，兩種身份驗證非常重要。首先是使用者身份驗證。考慮到許多物聯網環境的複雜性，問題是每個裝置是否需要身份驗證，或者單個系統身份驗證是否足以支援網路上的每個裝置。易用性的考慮使大多數系統設計人員選擇後者，所以對接入裝置或控制中心的強身份驗證顯得至關重要。

 

系統的單點登入也使得另一種型別的認證——裝置認證——更加重要。由於使用者沒有在每個裝置介面上進行身份驗證，物聯網網路中的裝置應該要求它們之間進行身份驗證，這樣攻擊者就不能使用隱含的信任作為進入系統的憑證。

 

與Web介面安全性一樣，關閉這個安全漏洞的前提是將物聯網視為一個“真正的”應用網路。由於許多裝置沒有本機使用者介面(這取決於瀏覽器UI或用於人機互動的應用程式)，因此會出現“如何實現”的特殊問題，但任何裝置缺乏身份驗證，使得物聯網周邊的安全性變得更加脆弱。

 

3.使用預設配置

你知道IoT裝置自帶的預設使用者名稱和密碼嗎?每個人都可以進行谷歌搜尋。對於那些不允許改變預設設定的裝置和系統來說，這是一個真正的問題。

 

預設使用者憑證(比如說常用的使用者名稱“admin”)是在物聯網安全設定上的一個警告，但這並不是唯一重要的設定。包括使用的埠、設定具有管理員許可權的使用者、是否記錄日誌和事件通知，這些網路引數都是應該關注的安全設定，應該通過這些安全設定來滿足部署需求。

 

除了允許將安全設定與環境現有的安全基礎設施更完全地結合起來之外，對預設設定的修改會減少IoT的攻擊面，增加了入侵者攻入系統的難度。但是，這和其他安全問題一樣，不是使用者能輕易改變的。另一種解決方案是，可以對物聯網上部署的安全基礎設施進行額外的審查。 

 

4.韌體更新問題

韌體就像細菌和豌豆一樣會不斷髮展。開發人員會注意到哪裡出了問題，哪裡有漏洞，以及怎樣才能做得更好，併發布比最初版本更好的新韌體。許多物聯網裝置的問題是無法升級韌體。這使得韌體成為一個嚴重的漏洞。

 

不斷更新韌體的優點之一是使系統成為移動的目標。當裝置上的韌體是固定的、不可移動的，攻擊者可以在空閒時間對其進行剖析，在他們自己的空閒時間開發漏洞，並對這些漏洞充滿信心地發起攻擊。今年5月爆發的VPNFilter攻擊就是這樣的一個例子，說明了當這些裝置的韌體無法進行更新時，可能會發生的攻擊，或者即使有更新的韌體，使用者也不願使用或根本無法更新。

 

顯然，如果裝置可以更新，那麼根據最佳安全實踐，裝置應該保持最新的版本和補丁；如果裝置不能更新，那麼應該重點關注已知的漏洞，並採取其他安全措施確保這些漏洞在外圍的安全環境中被遮蔽。

 

5.雲平臺介面問題

很少有商業自動化系統能夠在不依賴於雲的情況下增強其處理能力和命令知識庫。尤其在使用語音處理和命令轉換的情況下，系統與雲的連線可能成為一個重大漏洞。

 

想想在一個物聯網例項和它所依賴的雲之間來回傳遞的訊息型別。當然是簡單的控制資料包，可能會被用來錄製語音和視訊，任務列表，日曆事件以及DevOps框架和工具的指令。你是否知道，這些敏感資料流有沒有通過加密的隧道傳輸？

 

與物聯網安全的許多其他方面一樣，真正的問題是，在大多數情況下，使用者對如何保護雲介面的安全沒有發言權。此外，大多數使用者都不知道雲端計算基礎設施所在的位置，而且可能存在安全責任劃分和監管歸屬的問題。所以你應該瞭解物聯網裝置的功能，他們傳送資料的位置，以及如何使用防火牆、入侵防禦系統(IPS)和其他安全工具來彌補雲介面的安全漏洞。

 

6.低階的網路安全設計

一個寫得很差的物聯網裝置應用程式可以從內到外暴露你的網路，攻擊者可以通過這些漏洞滲透到你的系統中，並對物聯網裝置和通用計算機發起攻擊。允許使用者在家庭網路安裝物聯網裝置，卻不更新防火牆的配置來增強防護，導致攻擊者利用防火牆的這一弱點。

 

在許多情況下，防火牆是應對外部攻擊的；也就是說，他們關注的是試圖進入網路的外部流量。物聯網裝置通過定期的心跳傳輸與內部控制伺服器保持連線，攻擊者可以利用未加密和未經身份驗證的通訊流中的漏洞，在開啟連線時將惡意通訊傳送回網路。

 

有些人可能會說攻擊者必須知道裝置的連線和型別才能利用漏洞，他們是對的，但這些人可能沒有聽說過Shodan。使用一個簡單的Shodan搜尋，就可以找到各種裝置、通訊和開放埠，而不需要花費太多的精力和時間。一旦找到，簡單的指令碼就會自動處理問題。攻擊者可以輕鬆的利用網際網路的搜尋功能找到物聯網系統的脆弱性。

 

7.MQTT通訊協議問題

最後，當系統設計人員或開發人員完全忘記安全性時，問題就會出現。對於來自工業控制領域的通訊協議MQTT，數以萬計的已部署系統甚至缺乏最基本的安全性。

 

多年來，工業控制安全模型過於簡單。首先，系統很少連線到任何更廣泛的區域網路；其次，誰會想要攻擊和控制那些網路？那裡沒有什麼值錢的東西!

 

當然，現在的系統依賴於網際網路，各種各樣的攻擊者都想獲得物聯網裝置的訪問權或控制權，因為他們可以生成資料並作為進入其他系統的跳板。需要注意的是，對於MQTT和其他協議，漏洞可能並不存在於協議本身，而是存在於這些協議的實現方式中。

 

確保物聯網安全的關鍵是：掌握部署在物聯網上裝置的作用，控制資料的流動，並通過雲平臺分析、監測、預警來保障物聯網的安全性。

 

原文連結：

https://www.darkreading.com/iot/7-serious-iot-vulnerabilities/d/d-id/1332616?image_number=0 

免責宣告：

本公眾號的海外版塊中所有文章及圖片出於傳遞更多資訊之目的，屬於非營利性的翻譯轉載。如無意中侵犯了某個媒體或個人的智慧財產權，請聯絡我們，我們將立即刪除。其他媒體、網路或個人從本網下載使用須自負版權等法律責任。

 

獲取更多網路安全行業資訊，請關注e安線上微信公眾號：