物联网每天都在连接越来越多的设备
我们生活在一个互联的世界,几乎所有的设备都在连接。在物联网(IOT)是即将在一个大的方式,并以惊人的机会-但它也带来了严重的安全威胁。物联网连接物理设备,因此物联网设备的黑客攻击可能会损害人的生命。现在是衡量和规划物联网漏洞及其预防的时候了。以下是一些最重要的物联网安全问题。
不安全的网络
实际上,这指的是网络系统中可能存在的漏洞,从而允许黑客再次访问。这是一个主要问题,因为入侵者可以通过网络访问连接的设备。进一步的影响可能是访问未经授权和潜在机密的数据,然后可用于其他犯罪。
可能导致网络不安全的某些问题是开放端口(如通用即插即用(UPnP)),可利用的用户数据报协议(UDP)服务,缓冲区溢出,拒绝服务(DoS),网络设备模糊测试等但是,这些问题还有对策,包括:
只提供必要的端口
保护服务免受缓冲区溢出和模糊攻击
保护服务免受本地或其他网络中设备的DoS攻击
不要让网络端口对UPnP开放
物理篡改
不开放的开放端,如开放端口,USB连接器,移动充电点等,也负责将恶意软件注入物联网设备。对设备的物理篡改允许攻击者拆卸设备并访问存储介质和该介质上存在的数据。此外,如果将这种设备用于某些控制系统的维护或配置,则在错误的手中进行操作会造成严重破坏。
但是,采用某些措施可以帮助预防物理篡改。例如,数据存储应该被加密并且进一步难以移除。另一种选择是确保只允许产品功能所需的必要外部端口访问。对设备管理能力的限制也可以抵消物理篡改。此外,将设备保持在允许仅授权人员访问的安全位置可以降低风险。
弱Web界面
Web界面用于与IoT设备交互。虽然这需要用户交互的简单性,但如果它不安全,则存在被黑客入侵的所有可能性。某些可能导致攻击者未经授权访问设备的问题包括弱默认凭据,网络流量中的凭据暴露,会话管理,跨站点脚本(XSS),SQL注入等。
可以通过几种方式解决这些问题。必须在初始设置期间强制更改默认用户名和密码。用于密码恢复的方法必须足够健壮,以免信息泄露。密码还必须具有允许设置强密码的策略。此外,它们不得暴露在网络流量中。接口的开发必须以不易受XSS和SQL注入的方式进行。此外,可以使用指定数量的失败尝试的帐户锁定。
过时的协议和系统更新
某些智能设备可能使用过时的协议,可能没有定期更新。这是一个弱点,设备可以轻松入侵。开发人员更新背后的想法是随着时间的推移修复系统中的错误和漏洞。但是,使用未更新的软件很大程度上违背了目的。事实上,许多用于控制电子产品(如冰箱,空调等)的智能系统很容易成为缺乏软件更新的牺牲品。因此,确保修补系统漏洞的唯一方法是通过定期更新。
此外,使用过时的协议会增加风险并且是严重关注的问题。这种协议的一个例子是会话发起协议(SIP)。
数据和设备加密
有时智能物联网设备未正确加密。这在很大程度上在本地网络和互联网上普遍存在。没有加密的传输数据基本上存在于流量中以便于解释。通常,由于SSL / TLS的实施不当,数据仍然未加密或易受攻击。这些数据在错误的手中会导致数据泄露,篡改和修改。因此,防止这种情况的方法是使用SSL / TLS并进行适当的实现。使用行业标准加密过程还可以在存储或传输期间帮助提高数据安全性。
自治系统
已知享有完全自治权的系统通常是黑客的一个容易攻击的目标。由于这些系统在操作中很少需要人为干预,因此难以跟踪并且还存在巨大风险。例如,想一下可以被黑客攻击以忽略速度限制的自动驾驶汽车。结果显然可能是灾难性的。至少有十种已知的方法来攻击神经网络,这恰好是自治系统工作的基础。一个这样的例子是黑盒攻击,其中输入可以被发送到未知系统并且从收集输出得到信息。
超越此类攻击的唯一方法是开发更多分层和复杂的系统,以便更难以解释和破解。此外,人工干预不时有助于修补漏洞并防止此类攻击。
隐私违规
设备和黑客的可疑制造商通常可以通过您使用智能设备来偷偷跟踪您。由于可以使用自动化工具收集个人数据,因此提出了这些问题。然后,这些工具可以识别代表敏感数据的特定模式。
为了解决这个问题,使用来自知名公司的设备可能是这种问题的解决方案。确保安全性的另一种方法是查看仅访问设备运行所需的数据,或者可以设置可以收集数据的程度的限制。数据加密也是一种保护措施,可以安全地保存收集的数据并防止误用。
物联网将继续存在,并将在未来几年变得更大。因此,尽管物联网系统和设备存在漏洞,但唯一的想法是谨慎控制,以便妥善解决安全问题。