历史重演:物联网如何未能汲取过去的安全教训
发布时间: 2024-03-14 10:48:31 来源: 本站原创
一份研究新兴互联技术中潜在网络安全漏洞的报告指出,该技术“正在慢慢变得越来越流行,但规范中内置的安全性令人担忧”。
此外,该文档详细说明了该技术如何包含安全风险,包括“机密性丢失”,这可能源于“默认配置”和“中间人”以及“DoS [拒绝服务]攻击” ”。
这听起来像是最近关于物联网面临的网络安全问题的警告,但实际上该文本来自 14 年前发表的一篇题为“蓝牙及其固有的安全问题”的论文。
随着蓝牙的发展,它的安全性也得到了提高——但最近物联网的安全问题表明,必须重新处理同样的问题。当谈到技术安全时,我们似乎注定要目睹历史重演——一次又一次。
“这几乎就像我们没有从蓝牙中学到任何东西”,网络安全公司 Malwarebytes 的 CISO Justin Dolly 说道。
不幸的是,这种模式已经转移到物联网设备上。尽管产品制造商可能对确保他们闪亮的新设备免受黑客和网络攻击持漫不经心的态度,但网络安全专业人士却对此表示怀疑。
Duo Security 的 Duo Labs 安全研究总监 Steve Manzuik 表示:“看到这些物联网供应商所做的事情,我感到非常震惊,因为他们没有从历史中吸取教训。” “他们完全忽视了所有曾经存在严重漏洞的东西”。
看看上周Dyn(数百个主要网站的域名系统提供商)再次遭受的大规模网络攻击,导致许多网站无法访问包括 Twitter、Reddit、Spotify 和 PlayStation Network 在内的服务。这次大规模 DDoS 攻击的目的是使系统超载并阻止人们访问他们选择的服务——人们认为Mirai 物联网僵尸网络是整个事件的幕后黑手。
Web 服务器、路由器、调制解调器、网络附加存储 (NAS) 设备、闭路电视系统和工业控制系统等物联网设备都可以被招募到僵尸网络中,以进行 DDoS 攻击。
添加Shodan 等服务,任何人都可以搜索世界各地的物联网设备。其中许多设备仍将使用默认登录凭据——如果它们一开始就有密码的话。综合考虑所有这些因素,很明显,恶意行为者能够轻松地将大量设备招募到僵尸网络中,并利用这些设备来攻击他们选择的目标,这显然是一个巨大的问题。
但对于许多联网设备制造商来说,安全性似乎根本不是考虑因素,以至于旧的漏洞又重新出现。Sophos 安全研究全球主管 James Lyne 表示:“我们正面临 Windows 98 和 Windows XP 的安全问题,例如纯文本凭据。”
Duo Security 的 Manzuik 表示,由于物联网设备的安全性非常差,因此发现漏洞就像“桶里打鱼”。“它们很容易被发现,也很容易被利用。就好像我们正在用这些设备再次重复 90 年代末和 00 年代初一样。”
这并不是说这些建筑设备的安全性实施不力,而是他们甚至没有将其视为他们正在构建的任何物联网产品设计的一部分。“这些公司中的大多数都没有尝试。这并不是说我们谈论的是编写代码的副产品的高端漏洞。而是他们没有以任何方式在该过程中构建安全性,”Sophos 的 Lyne 说。
为什么过去的教训被忽视?这很简单。公司只是希望尽快以最便宜的制造成本将他们的设备推向公众。构建安全性需要时间、精力,甚至对某些人来说最重要的是金钱,因此为了在市场上类似产品饱和之前以低价将产品推向市场,安全性被忽视了。
Malwarebytes 的 Dolly 表示:“物联网产品会存在漏洞,因为供应商希望将这些设备推出市场并供人们使用,但有时它会违背安全性。”
第二个问题是物联网设备代表了一个相对较新的领域。它在过去两年左右才成为主流,因此该行业充斥着生产从联网厨房用具到交互式宠物喂食器再到家庭助理等各种产品的组织。在急于这样做的过程中,粗心、缺乏经验或疏忽可能意味着这些年轻的公司忽视了安全性。
“很多物联网公司都是初创公司,所以我认为他们甚至没有意识到,直到为时已晚,当他们从研究人员或在 Twitter 上发布有关其漏洞的人那里得到安全报告时,他们才意识到这是他们需要做的事情, ”曼祖克说。
只需一点点努力就可以增强物联网设备固有的网络安全性。
“防止命令注入攻击不需要做很多工作。加密你的秘密不需要做很多工作,而且有非常标准化的库可以让你很好地做到这一点,”莱恩说,他感叹如何他很想处理“令人着迷的高端零日漏洞”,但却“处理密码为‘admin’”。
如果严格的安全法规适用于所有物联网设备,那么生产这些设备的公司可能会很快改变他们制造产品的方式。
莱恩说:“我们将会看到更多供应商被认为疏忽大意的例子,因为许多安全缺陷都属于‘甚至没有尝试’,而不是‘高端有趣的错误’。”
曼祖克说:“糟糕的事情将会发生,这将迫使政府介入并制定法规。”
本文相关的知识问答:
问:物联网设备的快速发展带来了什么样的安全挑战?
答:物联网设备的快速发展带来了多方面的安全挑战。这些设备通常与互联网连接,使其易受网络攻击和数据泄露的威胁。许多物联网设备缺乏充分的安全功能和更新机制,容易成为黑客攻击的目标。由于物联网设备与用户的生活密切相关,一旦受到攻击,可能会对个人隐私和安全造成严重影响。
问:为什么年轻的物联网公司容易忽视安全性问题?
答:年轻的物联网公司通常面临着市场竞争的压力,迫切希望迅速推出产品以占领市场份额。在这种情况下,他们可能会将安全性放在次要位置,以加快产品开发速度和降低成本。此外,许多创业公司可能缺乏足够的安全专业知识或经验,无法充分评估和解决安全问题。
问:物联网设备安全性的缺失可能对用户造成哪些潜在风险?
答:物联网设备安全性的缺失可能对用户造成严重的潜在风险。这包括个人隐私的侵犯,例如个人数据泄露、监视和跟踪,以及身体安全的威胁,例如黑客入侵医疗设备或家庭安全系统。此外,黑客可能利用物联网设备作为入口来侵入用户家庭网络,进而访问其他敏感信息或控制其他设备。
问:如何加强物联网设备的安全性?
答:加强物联网设备的安全性需要综合的措施。制造商应该设计安全性优先的产品,包括强大的身份验证、数据加密和更新机制。用户应该定期更新设备的固件和软件,以修补已知的安全漏洞。政府和行业标准组织可以制定更严格的安全标准和法规,以促进行业的安全发展。
问:用户可以采取哪些措施来保护自己免受物联网设备安全漏洞的影响?
答:用户可以采取多种措施来保护自己免受物联网设备安全漏洞的影响。他们应该选择可信赖的品牌和供应商,避免购买来路不明或未经认证的设备。他们应该及时更新设备的软件和固件,以及设置强大的密码和网络安全设置。定期审查设备的隐私政策和数据处理方式,以确保个人信息得到妥善保护。
|