在传统的公司网络上,安全性已经很难管理。现在,已经添加了各种大型(例如汽车)和小型(例如网络摄像头,婴儿监视器)物联网(IoT)设备,并且这些设备的开发制造商几乎对网络安全意识不足。
连接设备的应用范围从中央监控系统(SCADA系统)到消费电子产品。随着研究人员继续揭露主要漏洞,这些设备的安全漏洞在过去一年中也成为关注的焦点。
某些受影响的行业首次通过所谓的“白帽子”发现了产品中的弱点,例如汽车,心率调节器,道路交通系统,家庭自动化系统和飞机。骇客最大的变化是,现在公共安全的一部分与上述产品相同。
为特殊目的而配备的某些功能实际上变成了安全漏洞,例如,有目的的后门(intenTIalalbackdoors),硬编码的密码,未加密的数据流量以及与非关键系统位于同一网络上的密钥。系统。
尽管专家不久前在美国举行的BlackHatUSA和DEFCON会议上一直在大力宣传这些弱点,但许多安全漏洞尚未得到纠正,仍然很脆弱。为什么不修补或更新那些与Internet连接的设备,或者使它们更安全?为了保护那些消费电子产品和其他嵌入式系统,需要克服几个主要挑战:1.通常没有一致或官方的软件更新程序/机制。
最终将发现Windows平台设备上的恶意软件,但BeyondTrust首席技术官Marc Maiffret表示, IoT设备内部的资源非常低,甚至为零:“没有人可以看到这些设备中的内容,如果有更新,他们将看不到其固件的可信度。” & rdquo;因为其中许多设备使用基于Linux的平台,所以Maiffret建议其软件应由开放社区进行管理,以处理漏洞或安全更新。
例如,IP摄像机或SAN存储系统应该具有常规的Linux更新机制:“它们应该是开放的,以便可以将它们真正视为Linux操作系统设备,以便我们可以像其他Linux设备一样建立安全性机制并对其进行管理。 " SolarWinds产品管理副总裁Chris LaPoint表示,他拥有三台家用IP摄像机,这些摄像机均未运行最新的固件,目前尚不清楚它们是否存在漏洞:“这些设备中的大多数命令集,安全控制配置以及围绕它们的补丁& hellip;应如何管理? & rdquo; 2.许多消费产品和其他非传统IT供应商对他们系统中嵌入的网络威胁以及大多数嵌入式设备制造商与安全技术社区之间的鸿沟知之甚少或一无所知。
IOAcTIve的首席安全顾问Ruben Santamarta发现,这些设备中的硬编码密码,后门和不安全的通信协议可能使攻击者入侵并中断船舶,飞机和军事设施之间的通信。关联。
Santamarta还发现那些受影响的设备供应商没有修复这些缺陷的计划。一些供应商还坚持认为问题不是漏洞,而仅仅是产品中的非必需功能。
IOAcTIve的首席技术官Cesar Cerrudo拥有类似的经验。他研究过的智能传感器制造商根据客户要求取消了设备中的加密。
由于缺乏加密机制,因此可以伪造设备固件并植入恶意软件。安全行业已经启动了IamtheCavalry和BuildItSecure.ly等项目,希望缩小与嵌入式设备制造商的距离。
这些“白帽黑客”我们还可以帮助和研究如何更好地保护产品安全。 3.设备安全通常缺乏负责人。
SolarWinds的LaPoint说,谁应该负责大多数消费类设备的安全,而且通常没有明确的权限划分:“如果您询问设备制造商,他们也会说不。知道;他们几乎没有想到这个问题。
& rdquo;一些制造商仅通过官方网站发布固件更新,这取决于消费者或用户自己是否要下载并安装更新:“某些安装更新仅具有简单的说明,例如,它们仅告诉您连接到USB电缆;我不认为设备制造商认为他们应该负责维护