无所不在的物联网设备你我都需要正视所带来的安全问题-低调大师

无所不在的物联网设备你我都需要正视所带来的安全问题

2017-07-24 357

在2017年信息安全大会中，Hitcon Girls共同创办人赖婕芳与沈祈恩认为，目前物联网设备的应用会越来越普遍，但与其有关的安全事件频传，因此无论是制作的厂商，还是企业乃至于个人，都应该提高警觉，重视这些设备的安全性。

Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年安全大会的议程中疾呼，物联网（IoT）设备所衍生的安全问题必须受到正视，因为比起计算机，这些设备可能会接触到更多个人隐私，或是影响人身安全与国家安全，一旦遭受黑客攻击，后果便不堪设想。物联网设备的安全与我们息息相关，无论是制造者还是用户，你我都必须暸解如何降低其安全风险。

物联网设备带来不少便利性与创新应用，因此受到人们的欢迎。物联网这个名词，最早出现于1999年，但直到2013年之后，成为开始热门讨论的话题，然而，根据2015年AT＆T所做的调查报告中指出，在受访的5，000家企业中，有高达85％想要发展物联网应用，却只有10％的企业有信心能够应付黑客的攻击，显示物联网的安全问题，连企业普遍都没有把握。

另一个面向，则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等安全大厂2017年的预测报告中，可看出端倪。这些报告不约而同指出，物联网设备会带来严重的安全风险与网络攻击。赖婕芳以2016年10月时，DNS供货商Dyn遭受大规模DDoS攻击的事件为例，其中一部分是由Mirai控制的物联网设备僵尸网络所发动。这个事件造成采用的Dyn服务的知名网站，包含BBC与GitHub等受到波及。然而，黑客取得这些物联网设备控制权的方法，仅仅只是透过了测试60组常见的预设帐号与密码就得手。

应用层面广泛，无论是小朋友的玩具，还是学校的路灯，全都是物联网设备

其实物联网涉及的领域相当广泛，无论是金融、公共服务、制造业、零售业，乃至于与人身安全有关的医疗、国家安全有关的能源设施，都有相关的应用。还有，近年来常见的智能家庭，也使用了大量的物联网设备。

赖婕芳举出许多案例，像是交互式芭比娃娃，透过了像是Siri的机制，就能和小朋友对话，然而却被发现，其网络通讯可能会被有心人士拦截，让芭比说出指定的内容，如果这个黑客是个恋童癖，很可能会让小孩与家长饱受惊吓。

此外，美国有间大学受到DDoS攻击，经调查却来是自校内的路灯、贩卖机等物联网设备，但学校并未想到这些校内设施，都是属于这类设备的一部分。

物联网设备甚至会造成人身威胁，例如黑客可控制汽车的自动驾驶系统，透过枪枝的管控系统，黑客可执行射击。

物联网安全是一整个生态圈的事情

基本上，许多人想到物联网的安全问题，可能会以为主要是对于设备加密，消除漏洞等防护措施。但事实上，我们手上的物联网设备，只是传感器（Sensors），背后拥有一个生态圈，还包含网络与应用程序等。但从黑客攻击的面向来看，则略有不同：大致上可分成硬设备、连接性（Connectivity），以及应用程序3块。

硬件指的不只是物联网设备本身，还包含整个生态圈设施，像是网关设备，或是执行应用程序的手机等，黑客可透过这些设备发动攻击。

连接性指的是任何连接的阶段、过程，包含网络流量、生态圈通讯，以及设备之间的连接，或是应用程序之间的API等。

应用程序则包含物联网设备本身的软件、云端网页接口或管理者接口等。

在物联网硬件出现的问题中，赖婕芳举了RFID卡Mifare Classic为例，这种卡片遭到逆向工程解析后，被发现密钥只有48 bits，极容易破解，她说，以现在的角度来看，只要在淘宝花5美元，就能取得相关的修改工具。

而对于连接性的问题，像低功耗蓝牙通讯（BLE）来说，在需要沟通的两个设备之间，由于像手环一类的设备没有屏幕，只能使用配对机制中的Just Work验证方法（无密钥），在这种情况下就很容易遭受中间人攻击。

但其实另外一层隐忧，则是更多设备的BLE通讯过程完全没有加密，以赖婕芳他们测试过的小米手环与体重计来说，他们发现只是对手机程序进行配对，没有对数据做保护，因此可将手环或是体重计的通讯内容，传送到非绑定的行动设备。换言之，有心人士可将小米体重计得到某个人的重量信息，同时传送到多台设备中呈现。

相较于上述两者，应用程序是黑客最常使用的攻击标的，像Hitcon在2015年举办的大会中，就展示骇入Gogoro App并取得凭证，然后将电动机车成功发动。然而这是应用程序在设计上的问题，将凭证存放在手机不够安全的区域导致。

　　迎向2017年，物联网安全是全民都要面对的问题

面临物联网设备层出不穷的安全事件，我们必须有所体认。针对不同的角色，赖婕芳提出以下建议措施：

制造商：开始设计必须将安全纳入考虑，并且开发者需要有安全开发经验、训练，最好产品在上市前渗透测试。

企业用户：需将物联网设备盘点并列管，若是无法修补的设备，应考虑隔绝于主要网络之外。此外，防护措施需将整个网络架构纳入安全考虑。并在采购时，要求厂商确保设备安全性。

终端使用者：了解使用设备的风险，如果不确定设备的功能，最好就不要使用。使用时，要将默认密码更换成高度复杂的密码。

本文转自d1net（转载）

微信关注我们

原文链接：https://yq.aliyun.com/articles/142892

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

物联网为电信业带来千亿级新市场

根据目前电信行业的发展和相关研究成果，我们可以将全球电信业的发展划分为三个阶段。即电话网阶段、互联网阶段和物联网阶段。目前正处在电话网衰落期、互联网成熟期和物联网起步期三期叠加发展阶段，预计2020年以后，物联网将逐步走向发展、成熟阶段，成为支撑行业发展的关键力量。咨询公司Gartner的研究报告指出，面对巨大的市场空间，全球TOP100电信运营商中已有60%计划进军智慧家庭市场。智慧家居作为物联网的重要组成部分，运营商已经大举进入。物联网为电信业带来千亿级新市场在人人通信市场饱和，传统电信业遭遇发展天花板的困境下，电信运营商继续寻找新的收入增长点。万物互联的出现使得电信运营商柳暗花明：未来物联网设备层、连接层、平台层和应用层的价值占比分别为21：10：34：35(麦肯锡数据)。2020年我国物联网市场规模约为1.5万亿(中国信息通信研究院数据)。据此，我们可以得出，2020年我国物联网产业设备层规模达3450亿元，连接层规模达1500亿元，平台层规模达4950亿元，应用层规模达5250亿元。可见，不考虑价值链的纵向延伸，电信运营商仅在连接层将迎来千亿级的发展机遇。国际运营商围...

2017-07-25

498

《2016物联网安全白皮书》指出，物联网是互联网的延伸，因此物联网的安全也是互联网安全的延伸。物联网的安全既构建在互联网的安全上，也有因为其业务环境而具有自身的特点。总的来说，物联网安全和互联网安全的关系体现在：物联网安全不是全新的概念，物联网安全比互联网安全多了感知层，传统互联网的安全机制可以应用到物联网，但是物联网安全比互联网安全更复杂。从互联网刚刚普及到现在，人们经历了一次又一次的安全冲击。从2000年的CIH病毒到2015年的熊猫烧香病毒，我们一直处于病毒大规模爆发时期，而现在加密威胁软件和破坏性攻击已经成为威胁主流。时至今日，有关机构发现平均每天有超过50万个新型威胁，在2016年勒索软件威胁增长幅度已经突破了752%，呈7.5倍的速度增长。那么物联网安全到底来源于哪些方面的威胁呢?第一是来自于漏洞，也就是说大量的物联网设备因为使用系统、应用有可能存在相关的漏洞，包括不安全的设计以及不安全的编码、第三方的插件漏洞等都有可能导致物联网设备被攻击、利用。第二开放了不该开放的网络端口，因为任何物联网设备，它需要有网络连接，那么在网络连接过程当中，如果开启了不该有的网络接口或者端...

2017-07-25

439

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。