1. 設計缺陷
隨著物聯(lián)網(wǎng)的出現(xiàn)和越來越多的網(wǎng)絡流量��,越來越多的公司將計算機和傳感器嵌入到產(chǎn)品中��,并將產(chǎn)品連入互聯(lián)網(wǎng)�����。如今�����,計算機和傳感器正被植人各種消費設備,甚至包括茶壺和衣服���。
在對各種商業(yè)機會做出市場反應的過程中�,一些制造商在產(chǎn)品上留下了許多安全漏洞�。如今,物聯(lián)網(wǎng)引入了新的可開發(fā)的攻擊途徑���,這些攻擊點在Web之外擴展到云�、不同的OSes���、不同的協(xié)議以及更多物聯(lián)網(wǎng)相關配套設施上�。于是��,我們經(jīng)常會聽到有關新設備由于安全漏洞而受到黑客的攻擊的消息���。
物聯(lián)網(wǎng)設備或網(wǎng)絡上的數(shù)據(jù)泄露事件正在變得司空見慣��,這很大程度上歸因于這樣一個事實:許多供應商并沒有把安全作為他們的首要任務����。當他們的產(chǎn)品出現(xiàn)安全問題時,他們只是認為這是事后需要面對的問題��,沒有嚴重損失的情況下�,他們并不會主動解決這些問題。
為了研究物聯(lián)網(wǎng)設備的安全性����,賽門鐵克(Symantes)研究小組研究了50個常用的智能家居設備�����。該團隊發(fā)現(xiàn):沒有一個測試設備允許使用高強度密碼���,也沒有使用相互認證��。此外��,在這些設備上的用戶賬號沒有受到暴力攻擊的保護���。他們還發(fā)現(xiàn),在控制這些設備的移動應用程序中��,大約10個程序沒有使用安全套接層(SSL)來加密設備和云之間的信息交換�。這些安全隱患都是因為設備的設計缺陷造成的��。
2. 開放式調試接口
通過產(chǎn)品設計保障安全性的重要方法之一是確保攻擊面盡可能地最小����。但是在生產(chǎn)過程中�����,物聯(lián)網(wǎng)網(wǎng)關的制造商僅需要實現(xiàn)必要的接口和協(xié)議���,從而使物聯(lián)網(wǎng)設備能夠執(zhí)行其預期的功能��,并沒有對安全問題做過多考慮����。制造商應該對設備上所有接口的服務進行限制����,因為在大多數(shù)情況下��,用戶并不需要這些開放的調試接口,甚至沒有意識到有這些接口���,但是這些開放的調試接口卻為惡意實體提供了攻擊設備或獲取重要信息的機會��。惡意攻擊者可以遠程運行一些有害代碼(病毒和間諜軟件)在設備上非法獲取信息����。
為了在物聯(lián)網(wǎng)中實現(xiàn)設備的安全可靠��,設計的安全概念應該優(yōu)先考慮�,避免不必要的安全缺陷���。例如��,對制造商來說�,在產(chǎn)品設計中包含一些阻止非法用戶運行惡意代碼的機制非常重要��。
3. 不適當?shù)木W(wǎng)絡配置和使用用戶默認密碼
隨著物聯(lián)網(wǎng)設備的不斷增加����,越來越多的智能產(chǎn)品進入市場。 TRUST進行的一項調查顯示����,35%的美國和41%的英國國內在線消費者除了手機之外����,至少還擁有一件智能硬件設備����。這項調査進一步揭示了最受歡迎的智能設備,包括智能電視(20%)��、車載導航系統(tǒng)(12%)�����、智能手表(5%)和家庭報警系統(tǒng)(49%)����。
不幸的是,許多消費者似乎沒有意識到物聯(lián)網(wǎng)的安全性����。從一些消費者安裝、配置和使用智能設備的方式來看�����,這一點表現(xiàn)得很明顯。例如���,些消費者在智能設備上使用默認的密碼和設置�����,這種不小心�、不嚴謹會使他們的網(wǎng)絡路由器和智能設備開放給黑客訪問�����。這也是許多智能家庭內部網(wǎng)絡配置不良的原因之一�����。
另一個問題是使用弱密碼��。在大多數(shù)情況下���,當用戶更改默認密碼時他們會使用簡單的密碼來進行設置。一般來說�,只有對安全性有明確意識的用戶才可能使用一個長而復雜的密碼。此外,許多設備沒有鍵盤���,而且由于所有配置都必須遠程完成�,因此����,一些用戶不愿意使用安全設置。
攻擊者通常會尋找配置不佳的網(wǎng)絡和設備來進行攻擊�。定期更換密碼和適當?shù)木W(wǎng)絡配置非常有必要。
4. 信息儲存前未進行加密
眾所周知�,許多物聯(lián)網(wǎng)設備,無論使用者是否同意�����,都確實收集了些個人信息�����。這些信息可能包括姓名�����、出生日期�����、地址、郵編����、電子郵件地址、健康信息��、社會保險賬號���,有時甚至是信用卡號碼���。
數(shù)據(jù)隱私管理公司( TRUST)在美國對2000名年齡在18~75歲的互聯(lián)網(wǎng)用戶進行了一項在線調査,發(fā)現(xiàn)5%的用戶意識到智能硬件可以捕捉到他們個人活動的敏感信息���。22%的人認為���,物聯(lián)網(wǎng)創(chuàng)新帶來的好處和便利值得犧牲他們的隱私信息�����。令人驚訝的是�����,14%的人對這些公司收集個人信息感到滿意。現(xiàn)在的問題是����,這些設備真的需要收集這些個人信息オ能正常工作嗎?大多數(shù)公司為獲取個人用戶數(shù)據(jù)而給出的一個顯而易見的理由是,他們需要這樣的數(shù)據(jù)來改善他們的產(chǎn)品���。另一個理由可能是���,了解有價值的客戶的習慣,這樣能更好地為客戶服務����,創(chuàng)造出滿足個人需求的新服務。
不管設備收集數(shù)據(jù)的目的如何��,最重要的是確保這些收集到的數(shù)據(jù)得到很好地保護�,無論是存儲在設備內部存儲器上還是在傳輸中。到目前為止�,加密是保護數(shù)據(jù)免受未經(jīng)授權的訪問的最佳方法。
雖然加密是保護數(shù)據(jù)的最佳方法�,但在許多物聯(lián)網(wǎng)設備上實現(xiàn)加密對安全專家來說是一項挑戰(zhàn)。例如����,在一些物聯(lián)網(wǎng)設備中使用SSL協(xié)議保護通信不是一種好的選擇��,因為它需要更多的處理能力和內存����,這是在物聯(lián)網(wǎng)硬件這種資源受限設備上非常稀缺的資源��。另一個選擇是考慮使用虛擬專用網(wǎng)(VPN)隧道����,但這需要一個功能齊全的開放移動操作系統(tǒng)(OSes)。
