該換密鑰了 數百萬物聯(lián)網設備或受攻擊

責任編輯:jackye

作者:鄭偉

2015-12-03 09:03:45

摘自:中關村在線

設備接入到互聯(lián)網上。在這4000個固件中發(fā)現大約有580個特別的私鑰,而在580個密鑰中有一組密鑰是廣泛地被重復使用的,其中有230個密鑰是被經常重復使用的。

隨著萬物互聯(lián)時代的來臨,越來越多的物聯(lián)網(Internet of Things,IoT)設備接入到互聯(lián)網上。據研究機構Gartner預測,2016年全球使用中的連網設備數量將達到64億件,較2015年增加30%,到2020年更將達到208億件。其中,以消費性用途的連網設備數量最大。那么如何強化這些連網設備,尤其是提升物聯(lián)網設備的連網安全就顯得尤為重要了。

該換密鑰了 數百萬物聯(lián)網設備或受攻擊

  今天物聯(lián)網設備的數量日益激增

近年來,諸如網絡攝影機、無線路由器、智能汽車與智能冰箱等連網設備頻頻被黑客攻擊、控制的事情已屢見不鮮,造成個人信息與重要機密的外泄,損害不容小覷。而面對日益普及的物聯(lián)網設備,研究人員分析了來自70多家廠商的超過4000個固件的嵌入式設備,其中包括互聯(lián)網網關、路由器、調制解調器、IP攝像頭、VoIP電話等產品。

通過分析這些設備的固件映像中有特點的加密密鑰(公鑰、私鑰、證書)后,研究人員發(fā)現最常見的密鑰是操控SSH服務器所必需的一種SSH主機密鑰。這些密鑰通常用來通過SSH和HTTPS訪問物聯(lián)網設備。

同時,在這4000個固件中發(fā)現大約有580個特別的私鑰,而在580個密鑰中有一組密鑰是廣泛地被重復使用的,其中有230個密鑰是被經常重復使用的。

該換密鑰了 數百萬物聯(lián)網設備或受攻擊

  設備廠商應該確保物聯(lián)網設備固件密鑰使用的安全性

物聯(lián)網設備上運行的固件的嵌入式密鑰主要用于HTTPS和SSH連接,這種做法很有風險,會將最終的用戶暴露在攻擊者面前。攻擊者可以很容易地找到密鑰,從而進入數量驚人的共享物聯(lián)網設備中。研究人員還發(fā)現了另外一個現象,許多連網設備在互聯(lián)網上都可以通過不安全的配置直接訪問。

實際上,對于終端用戶來說,可以通過改變自己的物聯(lián)網設備的SSH主機密鑰和X.509證書來加強安全防護性,但是有些產品是不提供此種更改權限的,并且在多數情況下,用戶也缺乏更改設置的技術知識。

因此,為了避免此種情況再次發(fā)生,設備廠商就十分有必要更換下重復使用加密密鑰了,而且最好是確保每一個物聯(lián)網設備都有自己獨特的加密密鑰。而對于互聯(lián)網服務供應商來說,如果他們需要遠程訪問進行技術支持,那么他們就應該成立一個專門的具有嚴格的訪問控制列表的VLAN管理。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號