物联网真的安全吗?这3个点或许能攻击物联网!
扫描二维码
随时随地手机看文章
物联网对大家而言,已经不再是一个陌生的词汇了。可以说,物联网已经进入了我们的生活。为增进大家对物联网的认识,本文将对物联网以及攻击物联网的手段予以介绍。如果你对物联网具有兴趣,不妨和小编一起继续往下阅读哦。
一、物联网
最简洁明了的定义:物联网(Internet of Things,IoT)是一个基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化3个重要特征。
其它的定义:物联网指的是将无处不在(Ubiquitous)的末端设备(Devices)和设施(Facilities),包括具备“内在智能”的传感器、移动终端、工业系统、楼控系统、家庭智能设施、视频监控系统等、和“外在使能”(Enabled)的,如贴上RFID的各种资产(Assets)、携带无线终端的个人与车辆等等“智能化物件或动物”或“智能尘埃”(Mote),通过各种无线和/或有线的长距离和/或短距离通讯网络连接物联网域名实现互联互通(M2M)、应用大集成(Grand Integration)、以及基于云计算的SaaS营运等模式,在内网(Intranet)、专网(Extranet)、和/或互联网(Internet)环境下,采用适当的信息安全保障机制,提供安全可控乃至个性化的实时在线监测、定位追溯、报警联动、调度指挥、预案管理、远程控制、安全防范、远程维保、在线升级、统计报表、决策支持、领导桌面(集中展示的Cockpit Dashboard)等管理和服务功能,实现对“万物”的“高效、节能、安全、环保”的“管、控、营”一体化。
二、物联网攻击点
攻击面一:硬件接口
物联网终端设备的存储介质、认证方式、加密手段、通讯方式、数据接口、外设接口、调试接口、人机交互接口都可以成为攻击面。很多厂商在物联网产品中保留了硬件调试接口。例如可以控制CPU的运行状态、读写内存内容、调试系统代码的 JTAG接口、可以查看系统信息与应用程序调试的串口。这两个接口访问设备一般都具有系统较高权限,造成重大安全隐患。除此之外还有I2C、SPI、USB、传感器、HMI等等。还有涉及硬件设备使用的各种内部、外部、持久性和易失性存储,如SD卡、USB载体、EPROM、EEPROM、FLASH、SRAM、DRAM、MCU内存等等都可能成为硬件攻击面。
应对措施:物联网设备在设计之初就需要考虑安全,保证攻击者无法获取以及篡改相关资源,目前Arm公司借鉴在移动终端的可信执行环境TEE成功做法,将TrustZone技术移植到Cortex-M系列芯片平台中,这是从芯片层面考虑的安全从源头保证设备安全。
攻击面二:暴力破解
目前大部分物联网终端都是单CPU+传感器架构+通讯模块,软件设计大多只强调满足级别功能即可。但我们说启动安全和根密钥安全是一切设备安全的基础,一切业务逻辑、设备行为都是基于这两个安全功能,黑客极有可能对设备进行暴力破解,获取设备信息、通讯数据,甚至对远程对设备镜像进行替换,伪装成合格终端。
应对措施:安全启动和根密钥的安全,可以通过使用安全芯片SE来进行保证。这也是技术层面解决物联网安全、形成安全合规的物联网终端的最有效方式。
攻击面三:软件缺陷
软件缺陷主要表现在软件bug、系统漏洞、弱口令、信息泄露等等。
比如,目前物联网设备大多使用的是嵌入式linux系统,攻击者可以通过各种未修复漏洞进行系统漏洞利用,获取系统相关服务的认证口令。
比如,弱口令的出现一般是由厂商内置或者用户口令设置不良的习惯两方面造成的。这个在移动互联网时代是一样的道理。
比如,多数物联网设备厂商不重视信息安全,导致泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
比如,开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。
应对措施:软件缺陷,一方面需要加强产品开发过程中的安全开发流程,一方面是安全管理流程。产品开发过程中需要遵循安全编码规范,减少漏洞产生,降低潜在风险,物联网设备需要以全局唯一的身份接入到物联网中,设备之间的连接需要可信认证,在物联网设备中确保没有后门指令或者后门代码。针对用户认证,需要设计成在第一次配置和使用设备时由用户进行自行设置并需要设置强口令策略。在发行版本中去除调试版本代码,去除JTAG接口和COM口,同时关闭例如SSH,telnet等不安全的服务。
以上便是此次小编带来的物联网相关内容,通过本文,希望大家对物联网已经具备一定的了解。如果你喜欢本文,不妨持续关注我们网站哦,小编将于后期带来更多精彩内容。最后,十分感谢大家的阅读,have a nice day!
下载文档
