<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 物聯(lián)網(wǎng)與傳感器 > 業(yè)界動態(tài) > 別讓物聯(lián)網(wǎng)裝置成為安全信息的漏洞

          別讓物聯(lián)網(wǎng)裝置成為安全信息的漏洞

          作者: 時間:2014-09-10 來源:慧聰電子網(wǎng) 收藏

            安全性在傳統(tǒng)企業(yè)網(wǎng)路上就已經(jīng)很難管理,現(xiàn)在又加上了各種大大(例如汽車)小小(例如、嬰兒監(jiān)視器)的(IoT)裝置,而且打造這些裝置的廠商幾乎沒有網(wǎng)路安全意識。

          本文引用地址:http://www.ex-cimer.com/article/262742.htm

            連網(wǎng)裝置應用領(lǐng)域從中央監(jiān)控系統(tǒng)(SCADAsystems)到消費性電子產(chǎn)品,隨著研究人員陸續(xù)公開重大缺陷,這些裝置的安全漏洞也在過去一年成為聚光燈焦點。有些受影響的產(chǎn)業(yè)第一次是透過所謂的“白帽”駭客,發(fā)現(xiàn)在汽車、心律調(diào)整器、道路交通系統(tǒng)、家庭自動化系統(tǒng)以及飛機等產(chǎn)品的弱點;而一個重大的轉(zhuǎn)變是,現(xiàn)在公共安全有一部分等同于上述那些產(chǎn)品。

            有一些因為特殊用途所配備的功能實際上成為安全漏洞,例如有目的的后門(intentionalbackdoors)、硬式編碼憑證(hardcodedcredentials)、未加密的資料流量,以及與非關(guān)鍵系統(tǒng)位在同一個網(wǎng)路的關(guān)鍵系統(tǒng)。盡管在不久前于美國舉行的BlackHatUSA以及DEFCON大會上,專家們已經(jīng)大力宣傳這些弱點,很多安全漏洞都還未被修正且仍然脆弱。

            為何不修補或是更新那些物連網(wǎng)裝置,或是把它們打造得更安全?要保護那些消費性電子產(chǎn)品以及其他嵌入式系統(tǒng),還需要克服以下幾個大挑戰(zhàn):

            1.通常沒有一致性或官方的軟體更新程序/機制

            在Windows平臺裝置上的惡意軟體最后都會被發(fā)現(xiàn),但BeyondTrust技術(shù)長MarcMaiffret表示,裝置內(nèi)部的“能見度”很低甚至是零:“誰都看不見那些裝置內(nèi)有什么,如果有更新、也看不見其韌體的可信賴度。”

            因為那些裝置很多是采用Linux架構(gòu)平臺,Maiffret建議其軟體應該要由一個開放性社群來管理,以處理漏洞或是安全性更新;舉例來說,IP攝影機或是SAN儲存系統(tǒng)應該要具備定期的Linux更新機制:“它們應該要是開放性的,如此才能真正被視為Linux作業(yè)系統(tǒng)裝置,讓我們能建立安全機制并像其他Linux裝置一樣來管理。”

            SolarWinds產(chǎn)品管理副總裁ChrisLaPoint表示,他自己擁有3支家用IP攝影機,都不是執(zhí)行最新的韌體,也不清楚它們是否有漏洞:“甚至是大多數(shù)這類裝置的設定指令集、圍繞它們的安全控制配置以及修補程式…它們該如何被管理?”

            2.很多消費性產(chǎn)品以及其他非傳統(tǒng)性IT供應商,對嵌入他們系統(tǒng)中的網(wǎng)路威脅了解很少或根本不了解

            多數(shù)嵌入式裝置制造商與安全性技術(shù)社群之間的隔閡甚深,衛(wèi)星終端供應商就是一個例子;IOActive首席安全顧問RubenSantamarta就發(fā)現(xiàn),那些裝置內(nèi)的硬式編碼密碼、后門以及不安全的通訊協(xié)議,可能會讓攻擊者入侵并中斷船舶、飛機與軍事設施的通訊連結(jié)。

            Santamarta還發(fā)現(xiàn),那些受影響的設備供應商根本沒有計畫來修補那些缺陷;有部分供應商還堅稱那些問題不是漏洞,只是他們的產(chǎn)品中非必要的功能。IOActive技術(shù)長CesarCerrudo也有類似的經(jīng)驗,他所研究的智慧感測器制造商因為客戶要求而移除了裝置中的加密;因為少了加密機制,裝置韌體能被偽造、也能被植入惡意軟體。

            安全產(chǎn)業(yè)發(fā)起了IAmtheCavalry、BuildItSecure.ly等計畫,期望能拉近與嵌入式裝置制造商之間的距離,那些“白帽駭客”們也能協(xié)助并研究如何更妥善的保障產(chǎn)品安全。

            3.裝置的安全性通常缺乏可負責者

            SolarWinds的LaPoint表示,大多數(shù)消費性裝置的安全性該由誰來負責,往往沒有清楚的權(quán)限劃分:“你問裝置制造商,他們也會說不知道;他們幾乎不會想到這個問題。”

            有些廠商只是透過官方網(wǎng)站發(fā)布韌體更新,而且端看消費者或使用者自己要不要下載安裝更新:“有的安裝更新只有簡單說明,例如只告訴你要用USB纜線連結(jié);我不認為裝置制造商認為他們應該要負責維護裝置的安全性。”

            4.許多裝置所配置或因特殊用途而建立的功能實際等同于安全漏洞

            許多物連網(wǎng)裝置與IT系統(tǒng)是在同一個網(wǎng)路上;“這些裝置是不是總有一天會成為把其他東西送進我的網(wǎng)路的橋梁?”LaPoint表示:“如果有人透過我的看見我在家里穿著內(nèi)褲跑來跑去,這很不妙;而如果他們收集我的個資或其他在相同網(wǎng)路上的設備資訊,那又該怎么辦?”他說,關(guān)鍵在于將這些消費性連網(wǎng)裝置與同一網(wǎng)路上擁有敏感資料的系統(tǒng)分開。

            對企業(yè)來說是一個新挑戰(zhàn),至少有許多方法能在那些裝置一旦被定義時,為其添加安全措施;安全專家指出,物聯(lián)網(wǎng)裝置的數(shù)量將會是我們前所未見,評估并具備了解網(wǎng)路所傳遞的流量來自何處的能力,以及能追蹤它們并關(guān)閉的能力,是企業(yè)關(guān)鍵必備的。

          物聯(lián)網(wǎng)相關(guān)文章:物聯(lián)網(wǎng)是什么




          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();