物联网设备正面临黑客威胁,我们该怎么办?

标签: 物联网 设备 黑客 | 发表时间:2018-01-11 20:09 | 作者:
出处:http://main_test.geekpark.net/rss.rss

现在,物联网设备正变得越来越多,物联网已经逐渐渗透到我们生活的各个角落。据 Gartner 发布的报告显示,2017 年全球物联网设备数量约达到 84 亿,而全球目前有 75 亿人口,也就是说,物联网设备的数量已经超过了全球人口数。Gartner 还预测,到 2020 年,物联网设备数量将达到 204 亿,消费者和企业在物联网硬件方面的支出总和将达到约人民币 20.7 万亿元。这将是一个巨大的市场。

随着物联网的发展,安全问题也随之而来,人们都认为,应该重视物联网安全。360 企业安全研究院邀请 50 名国内专家预测今年的安全趋势,他们发布了《2018 中国网络安全十大趋势预测》报告,报告显示,物联网安全是其中的一大问题,随着 IPv6、5G 等新技术助推物联网的发展,物联网安全威胁日趋严重,这个威胁或将对用户的隐私、资金财产乃至人身安全造成巨大损失。思科系统公司战略创新副总裁 Pramod Chandrayan 在预测 2018 年物联网发展的五大趋势时也谈及,物联网安全将成为企业关注的重点,随着更多系统和物联网相连,和物联网安全相关的网络攻击一定会进一步增加。

物联网安全不被重视

然而,尽管大家意识到了物联网存在安全问题,但仍然对此不够重视,甚至连苹果也犯过这样的错误。据美国科技新闻网站 Engadget 去年年末的报道,一位安全研究人员 Khaos Tian 爆料指出,他发现了苹果 HomeKit 平台的一个严重的安全漏洞,黑客可以利用这个漏洞轻松控制用户的家居设备,比如灯具、智能门锁等等。安全人员把这个漏洞上报给了「苹果产品安全部门」,但这个漏洞并没有被苹果解决,直到他把这个问题上报给了科技媒体 9to5mac,后者联系了苹果的公关部门,漏洞最终才得以修复。此时,距离这个漏洞被安全人员发现已经过去了六个星期之久。

据媒体报道,亚马逊的 2015 和 2016 版智能音箱在设计上存在缺陷,一个研究小组先拿掉了亚马逊 Echo 底部的橡胶底座,然后通过外部 sd 卡入侵了设备并安装了恶意软件,整个过程没有留下外观上的痕迹。操作完成后,他们可以远程访问音箱,利用麦克风窃听用户的隐私。这个漏洞属于设计缺陷,无法通过软件更新来解决。虽然必须接触到音箱才能利用这个漏洞,影响范围有限,但它提醒我们:制造商如果不在设备的设计和开发阶段降低安全风险,就给了黑客更多利用相应漏洞的机会,造成很大的危害。

物联网漏洞不是在这一两年来才出现的新鲜事。早在 2014 年,便有研究人员发现,国内某知名厂商所生产的录像机(DVR)由于弱密码感染了病毒,被黑客用来挖矿和发动网络攻击。梆梆安全发布的《物联网智能终端信息安全白皮书》对物联网智能终端的安全现状进行了分析,梆梆安全认为,物联网智能终端存在各种漏洞和后门是目前的现状之一。据《连线》杂志报道,黑客入侵了存在安全漏洞的 Sonos 和 Bose 智能音箱,并遥控音箱发出各种声音,这让一个用户受到了很大的惊吓。据 Sonos 发言人表示,这是因为智能音箱使用了错误的网络配置,使得用户的设备可能暴露在公共网络中。

但这仅仅是冰山一角,在网络中,还有很多种办法能入侵物联网设备,甚至窥探你的隐私。有一个名为「Shodan」的搜索引擎,它和百度不同,搜出来的不是页面,而是网络中的设备,如摄像头、智能家居设备、工控设备等。

​图 / Shodan 搜索引擎

其中,很多设备直接连接到了互联网上,而且连用户名和密码都没有修改。

图 /  Shodan 搜索引擎中一个设备的介绍

据网友亲测,使用默认的用户名和密码,很容易便登录了一台路由器。笔者要这样做也能很容易实现,但出于对法律法规的尊重,并没有这样做。如果黑客登录这台路由器并加入了恶意代码,后果不堪设想。

物联网智能终端设备一旦被黑客利用,后果不堪设想。如果摄像头被黑客控制,那么,你很有可能「被直播」;如果你的智能音箱被控制,你很有可能被监听;如果你的智能锁被黑客控制,黑客通过 IP 精准定位服务就能判断你家的大致范围,这个后果不用说大家也知道了。

这还仅仅是单个设备被黑客控制造成的后果,黑客还能利用被控制的物联网设备组成僵尸网络。2015 年 12 月,IT 安全公司 SEC Consult 公司发布报告指出,上百万台物联网设备可能因使用相同的密钥而被黑客攻击,也就是说,黑客只要能远程登录一台设备,就能用相同或相似的方法登录数百万台来自不同厂商的不同设备(摄像头)。

这份报告的观点在一年后成为了现实,北京时间 2016 年 10 月 21 日 19:10 左右,美国域名解析服务商 Dyn Inc. 的服务器造到了大规模的拒绝服务攻击(DDoS),这是史上最严重的 DDOS 攻击,它导致 Twitter、亚马逊、Shopify、Airbnb、PayPal 等数百家知名网站无法访问。这次攻击的来源主要是物联网设备,这些设备存在弱口令漏洞,从而被攻击者利用插入恶意代码,进而引发了这场美国大断网。这个恶意程序名为「Mirai」,幕后的真凶只是三个年轻人,他们最初的目的是想要攻击「我的世界(Minecraft)」游戏的服务器,这能让他们在游戏中开外挂。

如今,「Mirai」的代码早已被作者共享到了网络,这导致了无数变种流行开来。Check Point 近期发现,「Mirai」的变种程序利用华为家庭路由器 HG532 中的一个 0day 漏洞(没有补丁的漏洞)进行传播。这个漏洞虽已被华为修复,但这个事件可以证明,「Mirai」仍未消亡,一旦像上个事件那样再度蔓延开来,后果必将让人难以承受。

为什么物联网智能终端设备有这么多的问题?极客公园根据梆梆安全发布的白皮书总结了几点原因:

一是成本问题,部分生产商为了节省成本,使用通用、开源的操作系统,或未经过安全检测的第三方组件,这很可能会引入漏洞;同样是基于成本考虑,大多数物联网设备不会保护调试接口,这给了攻击者趁虚而入的机会。

二是很多厂商缺乏安全意识和安全能力,在开发物联网智能设备时没有做好安全考虑,导致软硬件安全漏洞的产生。同时,很多设备也缺乏软件安全更新机制,或机制不安全,导致漏洞无法被修复,造成恶劣的后果。

三是身份认证和授权机制薄弱。物联网智能终端设备规模很大,相互协同工作的设备可能属于不同供应商,这导致终端之间的身份认证很难实现。此外,大量的设备还在使用弱密码,这让黑客可以很容易控制设备。

那么,我们应该怎么办?

作为用户,我们能做的其实不多。梆梆安全向用户提出了几点建议:一是要选择好的品牌,不要贪小失大;二是要第一时间拒绝默认密码,要第一时间修改;三是不要把设备暴露在公网上;四是能更新固件就更新,不要纠结;五是不使用设备时随手关闭电源;六是在使用设备时尽量保护自己的隐私。

保护物联网智能设备的安全不仅仅依靠个人的努力,更是企业的责任,很多企业在为之努力。去年 6 月,360 公司倡导建立「智能硬件产业安全联盟」,自发起时便吸引了十余家公司的加入,涵盖 OEM 厂商、芯片商、硬件方案商、硬件产品商等多个行业环节,帮助行业各环节提升产品安全能力。今年 1 月 8 日,梆梆安全也和北航达成战略合作,它们联合成立了移动及物联网安全联合实验室,目的是培养网络安全人才以及研究重大课题。

其实,企业在设计物联网智能设备时多考虑一下安全因素就会起到不错的效果。监控产品供应商和解决方案服务商大华通过一些列的安全策略保护了用户的安全,以上文中提到的弱密码为例,大华的设备在出厂状态下不存在任何保留账户,当用户第一次使用设备时,需要创建一个自己的账户,并添加高强度的密码,此外,大华的物联网设备还有密码防爆破等一系列的安全策略。

智能锁是对安全性要求比较高的一类产品,曾获得雷军顺为资本的投资云柚智能锁创始人吕坡向极客公园介绍了他们产品安全性上的亮点。如果有人进行了开锁,用户会收到提醒,世界上没有绝对的安全,哪怕这把锁因为各种因素情况被打开了,及时提醒是保护用户安全的最后一道防线。

再比如,对信息安全要求较为全面的智能家居、智能车载系统方面,人工智能公司蓦然认知也做了很多尝试。其负责人向极客公园介绍了在安全设计上的一个亮点。在智能家居方案中,支付行为是一个很敏感的行为,首先,他们会通过人工智能分析用户的行为是否异常,假如一个早睡早起的人凌晨三点买东西,明显是异常;其次,他们还会通过声纹识别、图像识别的方式进行共同配合,确认用户的身份,以降低风险。

随着物联网设备的不断增多,安全问题已经是一个不可忽视的问题。希望在未来,我们购买的设备,不会成为监视我们的工具,同时也希望,安全人员在和黑客斗争的过程中,最终会胜利。

头图来源:视觉中国

责任编辑:双筒猎枪

相关 [物联网 设备 黑客] 推荐:

物联网设备正面临黑客威胁,我们该怎么办?

- - 极客公园
现在,物联网设备正变得越来越多,物联网已经逐渐渗透到我们生活的各个角落. 据 Gartner 发布的报告显示,2017 年全球物联网设备数量约达到 84 亿,而全球目前有 75 亿人口,也就是说,物联网设备的数量已经超过了全球人口数. Gartner 还预测,到 2020 年,物联网设备数量将达到 204 亿,消费者和企业在物联网硬件方面的支出总和将达到约人民币 20.7 万亿元.

IoTSeeker:物联网设备默认密码扫描检测工具

- - FreeBuf.COM | 关注黑客与极客
IoTSeeker,Rapid7出品,是一款物联网默认密码凭据网络扫描工具,可以针对特定物联网设备进行扫描检测,发现IoT设备是否使用默认或出厂设置密码凭据. 前久美国大规模网络中断的原因,已被调查为恶意软件利用物联网设备(CCTV摄像机,DVR等)默认密码凭据,入侵感染,组建僵尸网络发起的DDoS攻击.

红外传感器让物联网设备更加智能

- - 玩意儿
红外传感器让物联网设备更加智能:. 据麦姆斯咨询报道,在过去的十年里,智能技术和物联网(IoT)经历了举世瞩目的进步,并对工业和人们的日常生活是非 长官了巨大影响,这很大程度上得益于越来越精密的传感器不断发展. 如今,电子传感器和探测器在汽车、制造设备、消费产品和家庭等领域实现了前所未有的自动化功能.

上亿物联网设备受 Name:Wreck 漏洞影响

- - 奇客Solidot–传递最新科技情报
安全公司 Forescout 和 JSOF 的研究人员在四个广泛使用的 TCP/IP 堆栈中发现了一组新漏洞,漏洞被统称为 Name:Wreck,与 DNS 的实现相关,既存在于 FreeBSD 操作系统中,也存在于西门子的工控系统 Nucleus NET 中. 攻击者可利用漏洞崩溃设备将其下线或者实现远程控制,受影响的物联网设备 多达上亿.

HomePwn:一款专用于物联网设备渗透测试的“瑞士军刀”

- - FreeBuf互联网安全新媒体平台
HomePwn是一款功能强大的物联网渗透测试框架,它可谓是该领域的一把“瑞士军刀”. HomePwn可以提供设备安全审计和渗透测试功能,企业员工可以使用HomePwn来测试同一工作环境中家庭或办公设备的安全性,并利用其中存在的安全漏洞来读取这些设备中的敏感信息,或向这些设备发送控制命令. 该工具集成了非常强大的模块库,研究人员可以使用这些模块库来加载更多新的功能,并在各种不同类型的设备中来使用它们.

ZigBee联盟统一物联网应用标准:ZigBee 3.0,为智能设备提供互操作性

- - 奇笛网
为消费、商业和工业应用领域创建开放式全球物联网标准的非营利性组织协会 ZigBee 联盟 (ZigBee Alliance) 于日前宣布,将其市场领先的无线标准统一成名为 ZigBee 3.0的单一标准. 该标准将为最广泛的智能设备提供互操作性,让消费者和企业能获得可无缝协作并为人们日常生活带来便利的创新产品与服务.

可远程开走通用汽车的黑客设备OwnStar

- - FreeBuf.COM | 关注黑客与极客
汽车安全愈发严峻,黑客与极客们不断的开发新技能、新设备以攻破汽车. 从去年极棒现场破解特斯拉,到今年的 宝马汽车漏洞,都在暗示着汽车行业安全需严肃以待. 有安全研究人员开发了一个名为OwnStar的小设备,它可以劫持移动APPOnStar RemoteLink(OnStar公司出品的汽车辅助手机应用)的流量,对通用汽车进行远程定位、解锁和启动.

你相信吗?几乎所有医疗设备都可被黑客入侵

- - 博客园_新闻
美国知名科技媒体《连线》长期撰稿人吉姆-曾特(Kim Zetter)日前对现代医院医疗设备领域所面临的风险展开了一次详尽的调查. 在调查中,曾特发现目前医院所使用的大多数医疗设备都存在着被黑客入侵的风险,而这一风险甚至可能会造成致命的后果. 然而,许多医疗机构还是出于这样或那样的原因没有对此给予足够的重视.

物联网是什么?

- lzhi - Lzhi's Views
似乎人人都在讨论物联网,那么物联网到底是什么. 物联网就是把传感器装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道以及家用电器等各种真实物体上,通过互联网联接起来,进而运行特定的程序,达到远程控制或者实现物与物的直接通信. 物联网,即通过装置在各类物体上的射频识别(RFID)、传感器、二维码等,经过接口与无线网络相连,从而给物体赋予“智能”,实现人与物体的沟通和对话,也可以实现物体与物体互相间的沟通和对话,这种将物体联接起来的网络被称为“物联网”.

谈物联网网关(11.8)

- - 人月神话的BLOG
在我博客上经常会谈到API网关,也曾经谈过智慧家庭里面的网关设备,但是没有专门谈过物联网网关,实际上对于智慧家庭网关本身也是属于物联网网关的范畴. 对于物联网网关,首先还是参考下百度百科给出的一个基础定义,具体如下:. 物联网网关,作为一个新的名词,在未来的物联网时代将会扮演非常重要的角色,它将成为连接感知网络与传统通信网络的纽带.