1. 設(shè)計(jì)缺陷
隨著物聯(lián)網(wǎng)的出現(xiàn)和越來(lái)越多的網(wǎng)絡(luò)流量���,越來(lái)越多的公司將計(jì)算機(jī)和傳感器嵌入到產(chǎn)品中���,并將產(chǎn)品連入互聯(lián)網(wǎng)。如今�����,計(jì)算機(jī)和傳感器正被植人各種消費(fèi)設(shè)備�,甚至包括茶壺和衣服。
在對(duì)各種商業(yè)機(jī)會(huì)做出市場(chǎng)反應(yīng)的過(guò)程中�,一些制造商在產(chǎn)品上留下了許多安全漏洞。如今���,物聯(lián)網(wǎng)引入了新的可開(kāi)發(fā)的攻擊途徑���,這些攻擊點(diǎn)在Web之外擴(kuò)展到云���、不同的OSes、不同的協(xié)議以及更多物聯(lián)網(wǎng)相關(guān)配套設(shè)施上�。于是,我們經(jīng)常會(huì)聽(tīng)到有關(guān)新設(shè)備由于安全漏洞而受到黑客的攻擊的消息�����。
物聯(lián)網(wǎng)設(shè)備或網(wǎng)絡(luò)上的數(shù)據(jù)泄露事件正在變得司空見(jiàn)慣�����,這很大程度上歸因于這樣一個(gè)事實(shí):許多供應(yīng)商并沒(méi)有把安全作為他們的首要任務(wù)�����。當(dāng)他們的產(chǎn)品出現(xiàn)安全問(wèn)題時(shí)��,他們只是認(rèn)為這是事后需要面對(duì)的問(wèn)題��,沒(méi)有嚴(yán)重?fù)p失的情況下�,他們并不會(huì)主動(dòng)解決這些問(wèn)題。
為了研究物聯(lián)網(wǎng)設(shè)備的安全性�,賽門(mén)鐵克(Symantes)研究小組研究了50個(gè)常用的智能家居設(shè)備。該團(tuán)隊(duì)發(fā)現(xiàn):沒(méi)有一個(gè)測(cè)試設(shè)備允許使用高強(qiáng)度密碼���,也沒(méi)有使用相互認(rèn)證��。此外�����,在這些設(shè)備上的用戶賬號(hào)沒(méi)有受到暴力攻擊的保護(hù)�。他們還發(fā)現(xiàn)��,在控制這些設(shè)備的移動(dòng)應(yīng)用程序中����,大約10個(gè)程序沒(méi)有使用安全套接層(SSL)來(lái)加密設(shè)備和云之間的信息交換。這些安全隱患都是因?yàn)樵O(shè)備的設(shè)計(jì)缺陷造成的��。
2. 開(kāi)放式調(diào)試接口
通過(guò)產(chǎn)品設(shè)計(jì)保障安全性的重要方法之一是確保攻擊面盡可能地最小��。但是在生產(chǎn)過(guò)程中��,物聯(lián)網(wǎng)網(wǎng)關(guān)的制造商僅需要實(shí)現(xiàn)必要的接口和協(xié)議,從而使物聯(lián)網(wǎng)設(shè)備能夠執(zhí)行其預(yù)期的功能��,并沒(méi)有對(duì)安全問(wèn)題做過(guò)多考慮����。制造商應(yīng)該對(duì)設(shè)備上所有接口的服務(wù)進(jìn)行限制,因?yàn)樵诖蠖鄶?shù)情況下��,用戶并不需要這些開(kāi)放的調(diào)試接口����,甚至沒(méi)有意識(shí)到有這些接口,但是這些開(kāi)放的調(diào)試接口卻為惡意實(shí)體提供了攻擊設(shè)備或獲取重要信息的機(jī)會(huì)�。惡意攻擊者可以遠(yuǎn)程運(yùn)行一些有害代碼(病毒和間諜軟件)在設(shè)備上非法獲取信息。
為了在物聯(lián)網(wǎng)中實(shí)現(xiàn)設(shè)備的安全可靠��,設(shè)計(jì)的安全概念應(yīng)該優(yōu)先考慮���,避免不必要的安全缺陷�����。例如����,對(duì)制造商來(lái)說(shuō)���,在產(chǎn)品設(shè)計(jì)中包含一些阻止非法用戶運(yùn)行惡意代碼的機(jī)制非常重要�。
3. 不適當(dāng)?shù)木W(wǎng)絡(luò)配置和使用用戶默認(rèn)密碼
隨著物聯(lián)網(wǎng)設(shè)備的不斷增加����,越來(lái)越多的智能產(chǎn)品進(jìn)入市場(chǎng)。 TRUST進(jìn)行的一項(xiàng)調(diào)查顯示�,35%的美國(guó)和41%的英國(guó)國(guó)內(nèi)在線消費(fèi)者除了手機(jī)之外,至少還擁有一件智能硬件設(shè)備���。這項(xiàng)調(diào)査進(jìn)一步揭示了最受歡迎的智能設(shè)備����,包括智能電視(20%)��、車(chē)載導(dǎo)航系統(tǒng)(12%)����、智能手表(5%)和家庭報(bào)警系統(tǒng)(49%)。
不幸的是����,許多消費(fèi)者似乎沒(méi)有意識(shí)到物聯(lián)網(wǎng)的安全性。從一些消費(fèi)者安裝、配置和使用智能設(shè)備的方式來(lái)看�,這一點(diǎn)表現(xiàn)得很明顯。例如���,些消費(fèi)者在智能設(shè)備上使用默認(rèn)的密碼和設(shè)置���,這種不小心、不嚴(yán)謹(jǐn)會(huì)使他們的網(wǎng)絡(luò)路由器和智能設(shè)備開(kāi)放給黑客訪問(wèn)����。這也是許多智能家庭內(nèi)部網(wǎng)絡(luò)配置不良的原因之一。
另一個(gè)問(wèn)題是使用弱密碼�����。在大多數(shù)情況下��,當(dāng)用戶更改默認(rèn)密碼時(shí)他們會(huì)使用簡(jiǎn)單的密碼來(lái)進(jìn)行設(shè)置����。一般來(lái)說(shuō),只有對(duì)安全性有明確意識(shí)的用戶才可能使用一個(gè)長(zhǎng)而復(fù)雜的密碼��。此外��,許多設(shè)備沒(méi)有鍵盤(pán),而且由于所有配置都必須遠(yuǎn)程完成���,因此�,一些用戶不愿意使用安全設(shè)置����。
攻擊者通常會(huì)尋找配置不佳的網(wǎng)絡(luò)和設(shè)備來(lái)進(jìn)行攻擊��。定期更換密碼和適當(dāng)?shù)木W(wǎng)絡(luò)配置非常有必要�。
4. 信息儲(chǔ)存前未進(jìn)行加密
眾所周知,許多物聯(lián)網(wǎng)設(shè)備���,無(wú)論使用者是否同意����,都確實(shí)收集了些個(gè)人信息����。這些信息可能包括姓名、出生日期��、地址��、郵編、電子郵件地址�����、健康信息�、社會(huì)保險(xiǎn)賬號(hào),有時(shí)甚至是信用卡號(hào)碼�。
數(shù)據(jù)隱私管理公司( TRUST)在美國(guó)對(duì)2000名年齡在18~75歲的互聯(lián)網(wǎng)用戶進(jìn)行了一項(xiàng)在線調(diào)査,發(fā)現(xiàn)5%的用戶意識(shí)到智能硬件可以捕捉到他們個(gè)人活動(dòng)的敏感信息����。22%的人認(rèn)為,物聯(lián)網(wǎng)創(chuàng)新帶來(lái)的好處和便利值得犧牲他們的隱私信息��。令人驚訝的是����,14%的人對(duì)這些公司收集個(gè)人信息感到滿意。現(xiàn)在的問(wèn)題是��,這些設(shè)備真的需要收集這些個(gè)人信息オ能正常工作嗎?大多數(shù)公司為獲取個(gè)人用戶數(shù)據(jù)而給出的一個(gè)顯而易見(jiàn)的理由是����,他們需要這樣的數(shù)據(jù)來(lái)改善他們的產(chǎn)品。另一個(gè)理由可能是�,了解有價(jià)值的客戶的習(xí)慣����,這樣能更好地為客戶服務(wù)�����,創(chuàng)造出滿足個(gè)人需求的新服務(wù)���。
不管設(shè)備收集數(shù)據(jù)的目的如何,最重要的是確保這些收集到的數(shù)據(jù)得到很好地保護(hù)���,無(wú)論是存儲(chǔ)在設(shè)備內(nèi)部存儲(chǔ)器上還是在傳輸中��。到目前為止�����,加密是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)的最佳方法���。
雖然加密是保護(hù)數(shù)據(jù)的最佳方法,但在許多物聯(lián)網(wǎng)設(shè)備上實(shí)現(xiàn)加密對(duì)安全專(zhuān)家來(lái)說(shuō)是一項(xiàng)挑戰(zhàn)���。例如���,在一些物聯(lián)網(wǎng)設(shè)備中使用SSL協(xié)議保護(hù)通信不是一種好的選擇�,因?yàn)樗枰嗟奶幚砟芰蛢?nèi)存�,這是在物聯(lián)網(wǎng)硬件這種資源受限設(shè)備上非常稀缺的資源。另一個(gè)選擇是考慮使用虛擬專(zhuān)用網(wǎng)(VPN)隧道���,但這需要一個(gè)功能齊全的開(kāi)放移動(dòng)操作系統(tǒng)(OSes)���。
