自2016年年底起,僵尸網(wǎng)絡(luò)和物聯(lián)網(wǎng)設(shè)備安全開始“壟斷”新聞頭條。物聯(lián)網(wǎng)設(shè)備儼然已經(jīng)成為黑客眼中唾手可得的獵物。眾所周知的Mirai物聯(lián)網(wǎng)僵尸事件,“海量”設(shè)備被用作僵尸網(wǎng)絡(luò),針對選定的目標發(fā)起DDoS攻擊。
近期又有外媒報道,密歇根大學研究人員僅使用 5 美元的揚聲器即可成功入侵智能手機、汽車、醫(yī)療設(shè)備和物聯(lián)設(shè)備的傳感器,獲取系統(tǒng)的更多訪問權(quán)限。研究人員利用微型機械裝置在運動時產(chǎn)生電容的變化,檢測設(shè)備運動形態(tài)。通過構(gòu)造不同頻率的音頻信號,給系統(tǒng)傳遞一個虛假的運動模式,讓系統(tǒng)探測到不存在的運動從而做出攻擊者期望的判斷。 這一攻擊方式應(yīng)用在汽車上,能夠使控制系統(tǒng)接收到一個不存在的位移,自動校正機制在針對這個虛假動作進行應(yīng)對時可能會造成一系列事故。
如今,隨著智能手機、智能穿戴設(shè)備、智能汽車、智能家居等智能設(shè)備的迅速發(fā)展和普及利用,針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊事件比例激增。物聯(lián)網(wǎng)在方便人們生活的同時,設(shè)備存在漏洞也可能導(dǎo)致個人或企業(yè)面臨安全威脅,受到的惡意攻擊、信息泄露等大規(guī)模網(wǎng)絡(luò)攻擊不斷發(fā)生。
企業(yè):
解決方案的選擇:一個企業(yè)級的物聯(lián)網(wǎng)解決方案通常使用不同供應(yīng)商的技術(shù)。部署這樣一個復(fù)雜的解決方案要求技術(shù)上的復(fù)雜性,確保這種多家供應(yīng)商的安全性更是重中之重。
用戶數(shù)據(jù)的保護:面對設(shè)備收集的眾多用戶信息數(shù)據(jù),不論是從商業(yè)角度,還是從管控角度,數(shù)據(jù)傳輸、存儲和處理都應(yīng)該在安全情況下進行。
擴大化的攻擊:物聯(lián)網(wǎng)時代海量設(shè)備相互連接,龐大的設(shè)備基數(shù),攻擊者可以輕易發(fā)現(xiàn)存在漏洞的設(shè)備。與用戶的終端不同,很多物聯(lián)網(wǎng)設(shè)備需要永久在線和實時連接,這一特征使得它們更容易成為攻擊的目標。
僵尸網(wǎng)絡(luò)攻擊:未得到有效保護的物聯(lián)網(wǎng)設(shè)備可能會招致僵尸網(wǎng)絡(luò)攻擊,大大降低企業(yè)的工作效率,此類攻擊極易導(dǎo)致企業(yè)聲譽受到影響。
設(shè)備廠商:
設(shè)置較強的默認密碼:用戶從來不會修改由生產(chǎn)商提供的默認用戶名密碼,很容易被破解。僵尸網(wǎng)絡(luò)操作者正是利用這些默認密碼信息掃描IoT設(shè)備,進行攻擊感染。
使用技術(shù)較新或主流的操作系統(tǒng):許多IoT設(shè)備內(nèi)置使用了一些老版本的Linux系統(tǒng),造成更新不及時,帶來嚴重安全隱患。
固件更新:老舊固件可能會存在較多漏洞,應(yīng)定期升級沒有簽名檢查、版本降級限制、內(nèi)容未加密等。
個人:個人信息泄露
對于大眾而言,基本的個人信息保護是最為重要的。當今的智能設(shè)備會記錄大量用戶的日常使用習慣及情況,其相應(yīng)的APP和網(wǎng)站便會積累大量的個人數(shù)據(jù)信息。企業(yè)將通過分析收集來的信息,“命令”聯(lián)網(wǎng)設(shè)備為用戶提供“個性化”的專享服務(wù);
但設(shè)備薄弱的安全防護,可能存在信息被竊取的重大隱患。如果這些數(shù)據(jù)被黑客盜用,或者進行出售,“我們”的信息安全將面臨威脅。雖然PC和手機端的殺毒軟件可在一定程度上守護我們的安全,但對于物聯(lián)網(wǎng)設(shè)備安全的軟件,目前還是剛剛起步。