• 关于我们 联系我们
当前位置:物联网市场动态 → 正文

无所不在的物联网设备 你我都需要正视所带来的安全问题

责任编辑:editor005 |来源:企业网D1Net  2017-03-20 13:59:44 本文摘自:物联之家网

 在2017年信息安全大会中,Hitcon Girls共同创办人赖婕芳与沈祈恩认为,目前物联网设备的应用会越来越普遍,但与其有关的安全事件频传,因此无论是制作的厂商,还是企业乃至于个人,都应该提高警觉,重视这些设备的安全性。

Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年安全大会的议程中疾呼,物联网(IoT)设备所衍生的安全问题必须受到正视,因为比起计算机,这些设备可能会接触到更多个人隐私,或是影响人身安全与国家安全,一旦遭受黑客攻击,后果便不堪设想。物联网设备的安全与我们息息相关,无论是制造者还是用户,你我都必须暸解如何降低其安全风险。

物联网设备带来不少便利性与创新应用,因此受到人们的欢迎。物联网这个名词,最早出现于1999年,但直到2013年之后,成为开始热门讨论的话题,然而,根据2015年AT&T所做的调查报告中指出,在受访的5,000家企业中,有高达85%想要发展物联网应用,却只有10%的企业有信心能够应付黑客的攻击,显示物联网的安全问题,连企业普遍都没有把握。

另一个面向,则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等安全大厂2017年的预测报告中,可看出端倪。这些报告不约而同指出,物联网设备会带来严重的安全风险与网络攻击。赖婕芳以2016年10月时,DNS供货商Dyn遭受大规模DDoS攻击的事件为例,其中一部分是由Mirai控制的物联网设备僵尸网络所发动。这个事件造成采用的Dyn服务的知名网站,包含BBC与GitHub等受到波及。然而,黑客取得这些物联网设备控制权的方法,仅仅只是透过了测试60组常见的预设帐号与密码就得手。

应用层面广泛,无论是小朋友的玩具,还是学校的路灯,全都是物联网设备

其实物联网涉及的领域相当广泛,无论是金融、公共服务、制造业、零售业,乃至于与人身安全有关的医疗、国家安全有关的能源设施,都有相关的应用。还有,近年来常见的智能家庭,也使用了大量的物联网设备。

无所不在的物联网设备,你我都需要正视所带来的安全问题

赖婕芳举出许多案例,像是交互式芭比娃娃,透过了像是Siri的机制,就能和小朋友对话,然而却被发现,其网络通讯可能会被有心人士拦截,让芭比说出指定的内容,如果这个黑客是个恋童癖,很可能会让小孩与家长饱受惊吓。

无所不在的物联网设备,你我都需要正视所带来的安全问题

此外,美国有间大学受到DDoS攻击,经调查却来是自校内的路灯、贩卖机等物联网设备,但学校并未想到这些校内设施,都是属于这类设备的一部分。

物联网设备甚至会造成人身威胁,例如黑客可控制汽车的自动驾驶系统,透过枪枝的管控系统,黑客可执行射击。

无所不在的物联网设备,你我都需要正视所带来的安全问题

物联网安全是一整个生态圈的事情

基本上,许多人想到物联网的安全问题,可能会以为主要是对于设备加密,消除漏洞等防护措施。但事实上,我们手上的物联网设备,只是传感器(Sensors),背后拥有一个生态圈,还包含网络与应用程序等。但从黑客攻击的面向来看,则略有不同:大致上可分成硬设备、连接性(Connectivity),以及应用程序3块。

 

硬件指的不只是物联网设备本身,还包含整个生态圈设施,像是网关设备,或是执行应用程序的手机等,黑客可透过这些设备发动攻击。

连接性指的是任何连接的阶段、过程,包含网络流量、生态圈通讯,以及设备之间的连接,或是应用程序之间的API等。

应用程序则包含物联网设备本身的软件、云端网页接口或管理者接口等。

在物联网硬件出现的问题中,赖婕芳举了RFID卡Mifare Classic为例,这种卡片遭到逆向工程解析后,被发现密钥只有48 bits,极容易破解,她说,以现在的角度来看,只要在淘宝花5美元,就能取得相关的修改工具。

而对于连接性的问题,像低功耗蓝牙通讯(BLE)来说,在需要沟通的两个设备之间,由于像手环一类的设备没有屏幕,只能使用配对机制中的Just Work验证方法(无密钥),在这种情况下就很容易遭受中间人攻击。

但其实另外一层隐忧,则是更多设备的BLE通讯过程完全没有加密,以赖婕芳他们测试过的小米手环与体重计来说,他们发现只是对手机程序进行配对,没有对数据做保护,因此可将手环或是体重计的通讯内容,传送到非绑定的行动设备。换言之,有心人士可将小米体重计得到某个人的重量信息,同时传送到多台设备中呈现。

相较于上述两者,应用程序是黑客最常使用的攻击标的,像Hitcon在2015年举办的大会中,就展示骇入Gogoro App并取得凭证,然后将电动机车成功发动。然而这是应用程序在设计上的问题,将凭证存放在手机不够安全的区域导致。

无所不在的物联网设备,你我都需要正视所带来的安全问题

  迎向2017年,物联网安全是全民都要面对的问题

面临物联网设备层出不穷的安全事件,我们必须有所体认。针对不同的角色,赖婕芳提出以下建议措施:

制造商:开始设计必须将安全纳入考虑,并且开发者需要有安全开发经验、训练,最好产品在上市前渗透测试。

企业用户:需将物联网设备盘点并列管,若是无法修补的设备,应考虑隔绝于主要网络之外。此外,防护措施需将整个网络架构纳入安全考虑。并在采购时,要求厂商确保设备安全性。

终端使用者:了解使用设备的风险,如果不确定设备的功能,最好就不要使用。使用时,要将默认密码更换成高度复杂的密码。

关键字:物联网MiraiGitHub

本文摘自:物联之家网

x 无所不在的物联网设备 你我都需要正视所带来的安全问题 扫一扫
分享本文到朋友圈
当前位置:物联网市场动态 → 正文

无所不在的物联网设备 你我都需要正视所带来的安全问题

责任编辑:editor005 |来源:企业网D1Net  2017-03-20 13:59:44 本文摘自:物联之家网

 在2017年信息安全大会中,Hitcon Girls共同创办人赖婕芳与沈祈恩认为,目前物联网设备的应用会越来越普遍,但与其有关的安全事件频传,因此无论是制作的厂商,还是企业乃至于个人,都应该提高警觉,重视这些设备的安全性。

Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年安全大会的议程中疾呼,物联网(IoT)设备所衍生的安全问题必须受到正视,因为比起计算机,这些设备可能会接触到更多个人隐私,或是影响人身安全与国家安全,一旦遭受黑客攻击,后果便不堪设想。物联网设备的安全与我们息息相关,无论是制造者还是用户,你我都必须暸解如何降低其安全风险。

物联网设备带来不少便利性与创新应用,因此受到人们的欢迎。物联网这个名词,最早出现于1999年,但直到2013年之后,成为开始热门讨论的话题,然而,根据2015年AT&T所做的调查报告中指出,在受访的5,000家企业中,有高达85%想要发展物联网应用,却只有10%的企业有信心能够应付黑客的攻击,显示物联网的安全问题,连企业普遍都没有把握。

另一个面向,则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等安全大厂2017年的预测报告中,可看出端倪。这些报告不约而同指出,物联网设备会带来严重的安全风险与网络攻击。赖婕芳以2016年10月时,DNS供货商Dyn遭受大规模DDoS攻击的事件为例,其中一部分是由Mirai控制的物联网设备僵尸网络所发动。这个事件造成采用的Dyn服务的知名网站,包含BBC与GitHub等受到波及。然而,黑客取得这些物联网设备控制权的方法,仅仅只是透过了测试60组常见的预设帐号与密码就得手。

应用层面广泛,无论是小朋友的玩具,还是学校的路灯,全都是物联网设备

其实物联网涉及的领域相当广泛,无论是金融、公共服务、制造业、零售业,乃至于与人身安全有关的医疗、国家安全有关的能源设施,都有相关的应用。还有,近年来常见的智能家庭,也使用了大量的物联网设备。

无所不在的物联网设备,你我都需要正视所带来的安全问题

赖婕芳举出许多案例,像是交互式芭比娃娃,透过了像是Siri的机制,就能和小朋友对话,然而却被发现,其网络通讯可能会被有心人士拦截,让芭比说出指定的内容,如果这个黑客是个恋童癖,很可能会让小孩与家长饱受惊吓。

无所不在的物联网设备,你我都需要正视所带来的安全问题

此外,美国有间大学受到DDoS攻击,经调查却来是自校内的路灯、贩卖机等物联网设备,但学校并未想到这些校内设施,都是属于这类设备的一部分。

物联网设备甚至会造成人身威胁,例如黑客可控制汽车的自动驾驶系统,透过枪枝的管控系统,黑客可执行射击。

无所不在的物联网设备,你我都需要正视所带来的安全问题

物联网安全是一整个生态圈的事情

基本上,许多人想到物联网的安全问题,可能会以为主要是对于设备加密,消除漏洞等防护措施。但事实上,我们手上的物联网设备,只是传感器(Sensors),背后拥有一个生态圈,还包含网络与应用程序等。但从黑客攻击的面向来看,则略有不同:大致上可分成硬设备、连接性(Connectivity),以及应用程序3块。

 

硬件指的不只是物联网设备本身,还包含整个生态圈设施,像是网关设备,或是执行应用程序的手机等,黑客可透过这些设备发动攻击。

连接性指的是任何连接的阶段、过程,包含网络流量、生态圈通讯,以及设备之间的连接,或是应用程序之间的API等。

应用程序则包含物联网设备本身的软件、云端网页接口或管理者接口等。

在物联网硬件出现的问题中,赖婕芳举了RFID卡Mifare Classic为例,这种卡片遭到逆向工程解析后,被发现密钥只有48 bits,极容易破解,她说,以现在的角度来看,只要在淘宝花5美元,就能取得相关的修改工具。

而对于连接性的问题,像低功耗蓝牙通讯(BLE)来说,在需要沟通的两个设备之间,由于像手环一类的设备没有屏幕,只能使用配对机制中的Just Work验证方法(无密钥),在这种情况下就很容易遭受中间人攻击。

但其实另外一层隐忧,则是更多设备的BLE通讯过程完全没有加密,以赖婕芳他们测试过的小米手环与体重计来说,他们发现只是对手机程序进行配对,没有对数据做保护,因此可将手环或是体重计的通讯内容,传送到非绑定的行动设备。换言之,有心人士可将小米体重计得到某个人的重量信息,同时传送到多台设备中呈现。

相较于上述两者,应用程序是黑客最常使用的攻击标的,像Hitcon在2015年举办的大会中,就展示骇入Gogoro App并取得凭证,然后将电动机车成功发动。然而这是应用程序在设计上的问题,将凭证存放在手机不够安全的区域导致。

无所不在的物联网设备,你我都需要正视所带来的安全问题

  迎向2017年,物联网安全是全民都要面对的问题

面临物联网设备层出不穷的安全事件,我们必须有所体认。针对不同的角色,赖婕芳提出以下建议措施:

制造商:开始设计必须将安全纳入考虑,并且开发者需要有安全开发经验、训练,最好产品在上市前渗透测试。

企业用户:需将物联网设备盘点并列管,若是无法修补的设备,应考虑隔绝于主要网络之外。此外,防护措施需将整个网络架构纳入安全考虑。并在采购时,要求厂商确保设备安全性。

终端使用者:了解使用设备的风险,如果不确定设备的功能,最好就不要使用。使用时,要将默认密码更换成高度复杂的密码。

关键字:物联网MiraiGitHub

本文摘自:物联之家网

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^