域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
Hack Demo 中對(duì)物聯(lián)網(wǎng)( IoT )設(shè)備的嘗試
互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)(FIT 2019)作為安全行業(yè)一年一度的盛會(huì),匯聚了全球的安全從業(yè)者、優(yōu)秀技術(shù)專家和白帽子,共同分享交流當(dāng)前最熱最尖端的技術(shù)。而每年最能吸引眼球的,還是「HACK DEMO」環(huán)節(jié),不僅能現(xiàn)場(chǎng)欣賞到只有電影中才會(huì)出現(xiàn)的情節(jié),還與我們的生活息息相關(guān)。
“Talk is cheap, Show me the code. ”這是程序員圈內(nèi)的名言,同樣也是黑客大佬們的行為準(zhǔn)則。記得FIT 2018中,極棒實(shí)驗(yàn)室(GeekPwn Lab)給我們帶來(lái)了”人臉識(shí)別門禁漏洞挖掘詳解”,現(xiàn)場(chǎng)演示了如何抓取門禁系統(tǒng)的正常管理通訊并進(jìn)行分析,修改人臉信息以達(dá)到刷開智能門禁的目的。
還有安恒海特實(shí)驗(yàn)室,通過(guò)OBD智能盒子遠(yuǎn)程控制汽車的各項(xiàng)功能,比如遠(yuǎn)程讓汽車熄火。
FIT 2019中的「HACK DEMO」環(huán)節(jié)同樣精彩,由360天馬安全團(tuán)隊(duì)帶來(lái)的場(chǎng)控音樂(lè)會(huì)熒光棒技驚全場(chǎng)。
還有智能電視、智能家居破解小劇場(chǎng),通過(guò)智能電視這種可遠(yuǎn)程控制的IoT設(shè)備作為跳板,入侵一些近場(chǎng)設(shè)備,如門鎖、攝像頭、臺(tái)燈、掃地機(jī)器人等等。
IoT設(shè)備越來(lái)越多地出現(xiàn)在我們身邊,給我們的生活帶來(lái)很多便利;而從「HACK DEMO」中對(duì)智能家居的嘗試來(lái)看,這些設(shè)備也潛在很多安全威脅。這些威脅不再是泄漏一些無(wú)關(guān)緊要的隱私,而是會(huì)對(duì)人身安全產(chǎn)生極大的威脅。
物聯(lián)網(wǎng)( IoT )設(shè)備有哪些分類
在未來(lái)萬(wàn)物互聯(lián)的時(shí)代,將會(huì)有層出不窮的IoT設(shè)備出現(xiàn),以實(shí)現(xiàn)機(jī)器、人、物的連接。這些新的連接形態(tài),將極大地改變網(wǎng)絡(luò)發(fā)展模式。
在互聯(lián)網(wǎng)時(shí)代,人們更多地在追求極致的速度。而在物聯(lián)網(wǎng)時(shí)代,更多地需要多樣的連接方式、更低的功耗、更強(qiáng)的穩(wěn)定性。按照使用的技術(shù),比較常見(jiàn)的有藍(lán)牙(Bluetooth)、NFC、Zigbee等,其中Zigbee功耗更低且組網(wǎng)簡(jiǎn)單,常在比較小型的IoT設(shè)備中出現(xiàn)。
在物聯(lián)網(wǎng)快速發(fā)展的過(guò)程中涌現(xiàn)了eMTC,SIGFIX,NB-IOT,LORA等更多專業(yè)物聯(lián)網(wǎng)協(xié)議,以更突出的性能和更低的功耗受到各大廠商重視。各種協(xié)議的基本信息如下圖。
圖:物聯(lián)網(wǎng)協(xié)議基本信息
按照使用場(chǎng)景來(lái)分,IoT設(shè)備有用于社會(huì)公共事業(yè)的,如智能電表、智能交通燈等;有用于智慧醫(yī)療的,如儀表、可穿戴設(shè)備、病人監(jiān)護(hù)等;還有用于智慧家庭的,如智能電視、智能臺(tái)燈、智能音箱、智能門禁等。
而根據(jù)物聯(lián)網(wǎng)設(shè)備的使用距離,還有一種更簡(jiǎn)單的分類方式。對(duì)于不連接互聯(lián)網(wǎng),只能在一定距離內(nèi)連接的,稱為近場(chǎng)設(shè)備。對(duì)于連接互聯(lián)網(wǎng)IoT設(shè)備稱為遠(yuǎn)程控制設(shè)備。
物聯(lián)網(wǎng)( IoT )設(shè)備 有哪些 威脅
在FIT 2019中,海康威視提到了物聯(lián)網(wǎng)威脅在To B和To C上的不同。
公眾可能更關(guān)注車輛被遠(yuǎn)控導(dǎo)致人身威脅,醫(yī)療器械帶來(lái)的人體攻擊,網(wǎng)絡(luò)攝像頭和可穿戴設(shè)備帶來(lái)的嚴(yán)重隱私泄漏等等。而研究人員和企業(yè),會(huì)更關(guān)注海量物聯(lián)網(wǎng)設(shè)備均存在弱口令和漏洞,一旦被控制發(fā)起DDoS攻擊,其流量會(huì)比現(xiàn)在常見(jiàn)的DDoS攻擊高出N個(gè)數(shù)量級(jí),帶來(lái)的危害不可估量。
因?yàn)槲锫?lián)網(wǎng)設(shè)備的硬件、軟件、通信協(xié)議都沒(méi)有形成標(biāo)準(zhǔn)化的平臺(tái),每個(gè)廠商有不同的方案,所以筆者認(rèn)為物聯(lián)網(wǎng)設(shè)備的安全威脅可以從以下三個(gè)方面來(lái)分析。
硬件方面,可能存在芯片漏洞、硬編碼泄密及修改修改、電路飛線等。大量設(shè)備會(huì)保留硬件調(diào)試接口,便于生產(chǎn)時(shí)程序的燒錄,以及售后的問(wèn)題診斷,這很容易被攻擊者惡意Fuzzing,尋找漏洞。
軟件方面,如系統(tǒng)固件中經(jīng)常會(huì)保留調(diào)試的隱藏命令,固件的升級(jí)和信息泄露也是攻擊者的重點(diǎn)目標(biāo)??赡艽嬖诘姆潜匾W(wǎng)絡(luò)連接、開放的調(diào)試接口、默認(rèn)口令、弱密碼、系統(tǒng)漏洞、驗(yàn)證失效、硬編碼口令等,包括一些開源的第三方庫(kù),也會(huì)成為攻擊者的目標(biāo)。傳統(tǒng)的應(yīng)用安全同樣危害著IoT的云端接口,如XSS,代碼注入,越權(quán),文件上傳下載等漏洞依舊可見(jiàn)。
通信協(xié)議方面,往往存在明文傳輸、鏈路劫持、數(shù)據(jù)泄漏、重放攻擊等風(fēng)險(xiǎn)。智能設(shè)備更加依賴于無(wú)線傳輸方式,wifi、藍(lán)牙、GNSS、Zigbee等協(xié)議的應(yīng)用大大拓展了IoT的攻擊面。設(shè)備之間互聯(lián)使用開放的協(xié)議,標(biāo)準(zhǔn)不統(tǒng)一,極其容易被破解。受到成本的限制,生產(chǎn)廠商也并不重視物聯(lián)網(wǎng)設(shè)備的安全。
圖:近年來(lái)物聯(lián)網(wǎng)攻擊事件
這些安全威脅中,當(dāng)下發(fā)生的比較多且影響比較大的有:
網(wǎng)絡(luò)攝像頭使用默認(rèn)口令,導(dǎo)致用戶隱私泄漏;
非必要的網(wǎng)絡(luò)連接導(dǎo)致大量物聯(lián)網(wǎng)設(shè)備暴露在公網(wǎng),被黑客利用;
通信協(xié)議驗(yàn)證不嚴(yán)格,導(dǎo)致重放攻擊;
語(yǔ)音控制模塊具備設(shè)備操作功能,導(dǎo)致超聲波、次聲波攻擊;
版本更新機(jī)制問(wèn)題,OTA劫持,鏈路劫持等。
物聯(lián)網(wǎng)( IoT )設(shè)備的安全如何做
物聯(lián)網(wǎng)設(shè)備因?yàn)槠溆布Y源的限制,無(wú)法像傳統(tǒng)安全設(shè)備那樣安裝殺毒軟件,設(shè)備本身的安全防護(hù)已無(wú)法保障整個(gè)產(chǎn)品的安全性,越來(lái)越多在業(yè)務(wù)面的攻擊沖擊著企業(yè)安全的底線。如:業(yè)務(wù)上產(chǎn)品的數(shù)據(jù)被竊取,O2O業(yè)務(wù)交易信息的泄露,DDoS攻擊造成的設(shè)備癱瘓等。諸如此類的嚴(yán)重威脅已經(jīng)不容忽視,網(wǎng)絡(luò)設(shè)備廠商有必要嘗試解決這些問(wèn)題。
首先是物聯(lián)網(wǎng)設(shè)備的管理問(wèn)題
當(dāng)網(wǎng)絡(luò)中存在大量未知設(shè)備時(shí),就如同行走在雷區(qū),隨時(shí)都有可能爆發(fā)。無(wú)法發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備,其泄漏隱私與非法訪問(wèn)更談不上被識(shí)別。
安博通下一代防火墻深入監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備、應(yīng)用、用戶、操作系統(tǒng)和文件等信息。利用這些信息能更好地了解網(wǎng)絡(luò)行為,識(shí)別違規(guī)操作,并評(píng)估入侵風(fēng)險(xiǎn)。防火墻采用主動(dòng)掃描和監(jiān)控主機(jī)流量的方式識(shí)別網(wǎng)絡(luò)中的資產(chǎn)信息,能夠識(shí)別出網(wǎng)絡(luò)中的設(shè)備類型,包括PC、交換機(jī)、打印機(jī)、移動(dòng)設(shè)備、攝像頭等;對(duì)連接互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備,也有一定的管理能力。
針對(duì)監(jiān)控?cái)z像頭,安博通下一代防火墻對(duì)SIP、H.232、RTSP、RTP、RTCP、MPEG等視頻協(xié)議進(jìn)行深入解析,能準(zhǔn)確識(shí)別網(wǎng)絡(luò)中的攝像頭序列號(hào)、型號(hào)、品牌等基礎(chǔ)信息?;诎踩颉踩呗?、白名單等機(jī)制對(duì)設(shè)備合法性進(jìn)行辨別,阻斷非法設(shè)備地接入。
圖:攝像頭管理
其次是常見(jiàn)系統(tǒng)漏洞,默認(rèn)口令,弱密碼等
當(dāng)物聯(lián)網(wǎng)設(shè)備使用弱密碼、默認(rèn)密碼時(shí),意味著這些設(shè)備很容易被作為跳板跨越到其他終端,防火墻可以發(fā)現(xiàn)這些攻擊并產(chǎn)生相應(yīng)告警。
安博通下一代防火墻應(yīng)對(duì)弱密碼防護(hù),有主動(dòng)掃描發(fā)現(xiàn)與被動(dòng)識(shí)別兩種方案。能主動(dòng)對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行弱密碼掃描,試探其是否存在弱密碼,也能被動(dòng)從明文協(xié)議中發(fā)現(xiàn)弱密碼并進(jìn)行告警。
XSS、代碼注入、越權(quán)、文件上傳下載等漏洞,在防火墻或者IPS/WAF設(shè)備中,同樣可以被防護(hù)。
再然后 是防泄密
防火墻需要識(shí)別到物聯(lián)網(wǎng)設(shè)備可能會(huì)泄漏的隱私信息,如位置、圖像、聲音信息等。因?yàn)槲锫?lián)網(wǎng)設(shè)備往往成本有限,即使知道存在安全威脅,生產(chǎn)廠商也因?yàn)楦鞣N原因難以修復(fù)。
這就需要防火墻能對(duì)物聯(lián)網(wǎng)設(shè)備泄漏的隱私信息進(jìn)行識(shí)別,然后阻斷或者隱藏,并且要支持用戶自定義所需的敏感信息特征。對(duì)于終端可疑的外傳信息行為,防火墻需要有日志進(jìn)行記錄并分析。
最后是強(qiáng)化訪問(wèn)控制,優(yōu)化授權(quán)機(jī)制
很多物聯(lián)網(wǎng)設(shè)備其實(shí)并不需要連網(wǎng),而在未知的情況下被部署在公網(wǎng)或其他能訪問(wèn)到的地方,會(huì)造成嚴(yán)重的影響。
防火墻應(yīng)準(zhǔn)確定義物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)訪問(wèn)權(quán)限,控制其在最小范圍內(nèi)活動(dòng),降低風(fēng)險(xiǎn)。安博通下一代防火墻能夠精確識(shí)別到物聯(lián)網(wǎng)設(shè)備,并進(jìn)行訪問(wèn)控制。
安博通下一代防火墻從設(shè)備管理、弱密碼保護(hù)、防泄密、訪問(wèn)控制等方面保護(hù)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全,在IoT技術(shù)高速發(fā)展的同時(shí)融入安全因子,讓網(wǎng)絡(luò)安全成為支撐物聯(lián)網(wǎng)的牢固基石。
關(guān)于安博通
北京安博通科技股份有限公司(簡(jiǎn)稱“安博通”),成立于2011年,以“看透安全,體驗(yàn)價(jià)值”理念為核心,是國(guó)內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件,已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺(tái),是國(guó)內(nèi)眾多部委與央企安全態(tài)勢(shì)感知平臺(tái)的核心組件與數(shù)據(jù)來(lái)源。
更多詳情,敬請(qǐng)查閱:www.abtnetworks.com
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!