【51CTO.com快译】物联网就像一把双刃剑,它既能够给我们带来拥有智能锁的智能家居、以及可自动煮早茶的Wi-Fi水壶,又在价格上不菲的同时,给我们的各种实用场景带来潜在的安全隐患。
黑客们可以通过物联网所连接的设备轻松地进入您的网络。据说,在北美一家赌场里,攻击者就曾通过一个用于监控鱼缸温度的智能温度计上的低风险漏洞,攻破了其所在的物联网,并访问到了赌场客户的高端数据库。
如果您觉得上述案例只是个别现象的话,那么下面发生在大公司物联网产品上的安全事件,就代表着一定的普遍性:
- Amazon的Alexa和Google的Home智能助手都曾存在着安全性漏洞,某些网络钓鱼程序可以轻松地窃听用户的信息(请参见:https://www.washingtonpost.com/technology/2019/05/06/alexa-has-been-eavesdropping-you-this-whole-time/)。
- Samsung智能冰箱上的显示屏被设计为与用户的Gmail日历相集成,但是由于无法验证SSL/TLS证书,因此黑客可以潜入同一网段,并窃取登录凭据。
- 2019年2月,Apple在其FaceTime应用中发现了一个严重漏洞,攻击者可以在接受或拒绝来电之前,访问目标用户的iPhone摄像头和麦克风(请参见:https://www.macworld.co.uk/news/iphone/facetime-bug-hack-3691275/)。
- 在2018年的黑帽子大会上,两位安全研究人员演示了如何远程控制植入到人体内的微型医疗器械,来禁用胰岛素泵,并控制起搏器的设备系统。
此外,Mirai也是一种以物联网为中心的恶意软件,它以较弱的凭据去感染目标设备,然后将其转变为能够实施远程控制的僵尸网络(zombies或bots)。尽管Mirai的原始创建者已被发现,其源代码也被公布,但是它已经具有了多个变种。它们会专门发起各种DDoS攻击,其中包括:Rutgers University攻击,以及针对Dyn(针对Netflix和Twitter等提供域名服务的公司)的攻击。
最大的物联网安全风险是什么?
可见,我们需要通过安全措施来保护物联网设备,限制其对我们生活的窥探。由开放Web应用安全项目(Open Web Application Security Project,OWASP)基金会创建的针对Web应用安全、以及移动安全等方面的风险意识表,就值得各类组织与个人予以借鉴和采用。下表列出了2014和2018年OWASP在智能设备中发现的十大物联网漏洞:
(请参见:https://owasp.org/www-project-internet-of-things/)
从上述OWASP 2018版的十大物联网漏洞列表中,我们可以看出:不安全的生态系统(包括Web接口、云接口等),数据安全性,以及物理安全性等问题,都是早在2014年以前就已经上榜,而且一直保持在该列表之中的。这些有助于我们对物联网设备的安全性发展方向和速度,有一个清晰的认识。与此同时,这些也提出了有关物联网安全解决方案的效力和采用率等相关问题。
安全加固物联网设备的十条“军规”
由于物联网已成为了我们日常生活中不可或缺的一部分,因此我们必须合理地加固各种连接设备、数据和网络。在此,我们将和您讨论十种常规且能够尽快“落地”的十种方法。
1. 了解您的网络及其所连接的设备
首先,您必须明白,一旦您的设备连接到了互联网上,那么整个网络就被暴露到了各种潜在的攻击面前。因此如果设备本身的安全性不足,那么攻击者就很容易得逞。随着越来越多的设备都配备了可访问的Web界面,我们很容易及时地发现在网络中,有哪些相邻的设备“掉线”了。为了保障安全,您需要通过分析,顺藤摸瓜地了解自己的物联网络、网络上的设备、以及它们容易泄露的信息类型。而且特别值得注意的是设备上的应用程序是否具有社交共享等属性。网络攻击性会使用诸如位置信息、用户个人详细信息等元素,来跟踪甚至窃取他们感兴趣的其他内容,进而造成安全攻击事故。
2. 评估在线的物联网设备
我们需要持续对连接在自己物联网中的设备进行态势评估,及时从制造厂商的网站上安装与设备相对应的安全补丁与更新,检索具有更强安全功能的新型号设备予以更换。当然,在采购和添置之前,您应当尽量通过各种渠道,了解如下方面的信息:
- 其对应的产品是否能够及时披露或报告各种安全漏洞?
- 在向潜在客户推销其产品的同时,是否提及且满足网络安全的各项需求?
- 它是如何在自己的智能解决方案中实施安全控制的?
3. 用强密码来保护您的设备和帐户
请弃用默认密码或普通密码(例如“admin”或“password123”),改用不易被猜测且独特的强密码,来保护您的所有帐户和设备。当然,如果需要,您也可以使用密码管理器来跟踪并管理所有的密码。同时,我们还应确保自己、以及团队其他成员不在多个设备的帐户中使用相同的密码,并能够定期对它们进行变更。此外,除了密码的固定过期周期之外,也请您设置好错误密码尝试输入的次数限制,并实施适当的帐户锁定策略。
4. 为智能设备提供单独的网络
如有可能,请将您的智能设备与家庭或企业的现有网络分离开来,这也是物联网安全性最具战略意义的方法之一。有了这种网络分离的方式,即便攻击者找到了进入智能设备的途径,他们也无法访问到您的业务数据,或是嗅探到您通过个人电脑的银行转帐记录。
5. 重新配置设备上的默认设置
通常,各种智能设备在出厂时都会带有一些基本的,但并不安全的默认设置。更糟的是,有时您都无法修改设备上的这些设置。因此,您需要在设备选型和设备配置阶段,通过全面评估来重新配置默认的信任凭据,易受攻击的功能和账号权限,以及开放的端口等。
6. 启用防火墙和其他主流物联网安全解决方案以识别漏洞
您需要安装防火墙以阻止未经授权的网络流量,运行入侵检测系统和入侵防御系统(IDS/IPS)来监视和分析现有的网络流量。您还可以使用自动漏洞扫描程序,来发现网络基础架构中的安全漏洞;以及使用端口扫描程序,来识别已开启的端口,并检查正在运行的网络服务是否存在着已知漏洞。
7. 使用强加密来避免不安全的网络连接
如果您需要远程检查智能化设备,那么请切勿使用公共Wi-Fi网络、或未采用可靠加密协议的网络。不过,如果您必须使用公共Wi-Fi的话,请验证它是否启用了WPA2,而不是那些诸如WEP或WPA等过时的标准。显然,不安全的互联网连接会使您的数据和设备轻易地受到攻击。当然,如今业界已发现WPA2本身也可能受到key重装攻击(KRACK,请参见:https://www.blackhat.com/docs/eu-17/materials/eu-17-Vanhoef-Key-Reinstallation-Attacks-Breaking-The-WPA2-Protocol-wp.pdf),而就算是WPA3也容易受到Dragonblood的攻击。
8. 在不使用设备及其功能时应断开其连接
请检查物联网设备上应用程序的运行权限,并阅读它们的隐私权政策,以获悉它们将如何使用您提供共享的信息。如果并不需要,请禁用设备上的远程访问、或语音控制等功能,而且在此类设备的非使用的时段,将它们与连接的网络完全断开。
9. 关闭通用即插即用(Universal Plug and Play,UPnP)
通用即插即用的主要功能是:在无需配置的情况下,无缝地连接到网络设备上。不过,由于UPnP协议存在着漏洞,攻击者可以很容易地从外部渗透到您的网络中,并发现各种已连接的设备。由于UPnP在多台路由器上是默认开启的,因此除非您一定需要,否则请及时检查设置并禁用之。
10. 通过实施物理安全来保护设备
尽量不要丢失那些已经装有管控物联网设备应用的手机。除了在设备上实施PIN/密码/生物识别保护外,也请您安装具有远程擦除功能的手机APP。同时,请设置好自动或有选择性的备份策略,以转存任何重要的数据。
此外,您也应当限制智能设备的可访问性。例如,是否应该关闭冰箱的USB端口?限制某个端口允许并发访问的最大连数,以及在可行的情况下考虑禁用Web访问(即仅开放本地访问的方式)。
物联网安全分析工具
除了前面讨论的物联网安全加固方法之外,您还可以使用各种工具来更好地监视和控制物联网络。例如,Wireshark和tcpdump(命令行实用程序)是两个开源的工具,它们可用于监视与分析网络流量。其中,Wireshark带有GUI,除了具有各种排序和过滤的功能项,它还提供友好的用户界面。
此外,Shodan、Censys、Thingful和ZoomEye也都是可用于搜索和管理物联网设备的工具。其中,ZoomEye非常适合于新用户,他们通过单击过滤器,便可自动生成相应的搜索查询结果。
最后,值得一提的是ByteSweep。它是设备制造商提供的一种免费安全分析平台,可让测试人员在产品出厂之前,对目前设备的安全态势进行全面检查。
原文标题:10 IoT Security Tips You Can Use to Secure Your IoT Devices,作者:Lumena Mukherjee
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】