预测未来趋势:浅谈 IoT 安全五式

2015-02-10 09:33:32来源: HKITBLOG 关键字:安全五式  IoT
   
IoT (Internet Of Things) 物联网,其本意是指万物基于某种方式从而达致万物互联之效;一般情况下,物件(不论是传统物件或专为物联网概念而生产的产物),均是通过于物件之中安装传感装置、RFID、智能晶片等,从而通过这些装置,令物品能主动向中控台发出某种讯息,而人类通过中控台接收这些讯息,从而了解到物件本身的感知行为;例如通过中控台我们可以得知由传感器辨识的汽车引擎资讯,从而安排进行维修等。
其实物联网有很多有趣的事物,未来有机会我们会再深入探讨。本文之中,我们希望先与大家探讨一下物联网的安全事宜。
物联网依赖传感器,而传感器之中均运行着一套系统;就好像我们采用的路由器一样,任由我们将物联网说得如何神奇,但仍需通过一个系统以便处理各种要求及讯息,及后才向中控台传送,而此系统由于欠缺统一性,因此传统的保安方法均难以有效地对此出有效的安全防御。
近日与一位安全专家饭局,当时我们刻意就物联网向他查询一下,结果发现原来业界仍未就物联网的安全性制定出一套安全标准;而假如硬要说物联网的统一标准,唯一可能实现到的就是应用于汽车之中的多媒体系统;事关某些品牌的汽车本身的市场占有率极高,因此较容易便能定立到属于自己品牌的标准物联网系统,这对于开发统一标准的安全防御方案来说亦是较为容易的。
尽管现时业界就物联网的安全防御方案仍未定立出一套标准,但根据专门针对 Web App 安全的开源组织 Open Web Application Security Project (OWASP) 业界指引,针对 IoT 的安全问题应留意以下五式。
问题 1:管理介面设计垃圾
第一种问题就是有关物联网设备的网页管理介面设计。很多时开发物联网设备的厂商均会通过提供网页介面让管理员能轻易完成设定工作;然而管理介面假如在编程上采用了较差的方法,那登入的网页介面之中便可能会有机会被植入各种木马;同时黑客亦可通过尝试预设的“阳春”凭证以抓取纯文字帐户登入凭证,采用不同的方法将登入资料列出,最终便可成功登入物联网设备。
初步解决方案
不要采用预设的帐户:第一次设定物联网设备时,便应该将预设的帐户密码作更改,以避免被黑客轻易撞破。
避免在密码错误讯息之中透露帐存是否真正存在。
启用自动封锁功能,当多次输入了错误的登入资讯时,便直接将之封锁。
问题二:Access Control 的必要性
第二种问题就是管理员太过有自信。很多时物联网的物品可能只有内部人士才可存取,因此管员便会忽略了密码的严谨程度,但大家别忘记任何严密的网络保安方案,均不敢说自己 100% 安全;因此即使只供内部使用的物联网设备,亦需借助第三方的方案设定好 Access Control (存取控制权限) 以确保安全。
初步解决方案
提高警觉性:即使是内部使用的物联网设备,亦应该设定一些较复杂的密码以确保拥有一定的安全性。
可通过部署一些存取控制设备,从而确保了物联网设备的存取权限,避免黑客有机可乘。
问题三:小心开启了不安全的 port 位址
第三种问题是与 port 有关的。众所周知一些 Network services 能被第三方加以利用去进行一些足以影响内部运作的行为;常见的不安全 Network services 例如有 NFS – port 2049、Portmap – port 111、FTP – port 21 等等…. 还有很多,不详述。
假如对 port 位的控制不充分,将有机会让黑客充分地利用如缓冲区溢位 (Buffer overflow) 攻击以将你的程式预设缓冲区塞得满满的,最终瘫痪设备;同样道理,开启了某些 port 位亦将会导致被 DoS (Denial-of-Service) 攻击,此攻击的目的都是瘫痪装置。
初步解决方案
设定好你的麻烦的 iptables….或防火墙,确保只开启需要使用到的 port 位。
确保所开启的 Network service 其引起的 DoS 可能性较低,以确保设备不会被轻易 DoS 而导致停机或瘫痪情况。
问题四:传输加密问题
大家都知道,采用上如 SSL 等方式对传输过程进行加密的重要性吧!但很多时,尤其是内部使用的设备,由于其生成的 SSL 并没有正式向 SSL 机构进行申请,所以启用了 SSL 加密连线后,便会导致每次登入时出警告字眼;而很多管理层为了一己之方便,往往不会理会安全问题,便要求 IT 管理员将之解除,结果 IT 管理员便只有停用 SSL,这样黑客便很容易通过一些工具深入查看传送之中的封包,从而找出登入资料;另外有些大意的厂商为了方便性,在编写程式时采用了 GET 的方式取得用户所输入的帐户资料,这亦是另一种不可原谅的大意。
解决方法
坚持安全为先,坚持启用 SSL 加密传输协定。
选用方案前,了解一下网页管理介面的设计是否有足够的安全性。
#########################
http://www.hkitblog.com/login.php?userid=3&password=1234
上述网址便是采用了 GET 的方式取得用户登入资料,大家轻易可见,传输过程之中网址后方会直接附上用户所输入的登入资讯。
########################
问题五:设备是否支援自动更新
别笑!很多物联网设备是无法自动更新的!没法提供自动更新的设备便不应购买了,事关当新的漏洞被发现后,厂商即使已提供更新,然而却需管理员逐一手动进行更新,一来浪费宝贵的人力资源,二来人手处理在反应时间上始终及不上设备自动完成更新,对吧!
解决方法
应选购“懂得自动更新”的物联网设备。
即使设备懂得自动更新,亦请留意更新档案传送过程时的传输协定是否为已加密。
确保更新过程之中,厂方不会收集设备之内的资料。
总结:持观望态度的物联网
老实说,创新科技的第一批使用者,往往都是勇者。举例如老品牌作业系统,他们的 RTM 版本、SP1 以前的系统版本,往往仍处于试行阶段;情况与现时的物联网一样,很多技术仍未有行业标准,更不用说安全管理了,所以物联网方案现时仍未适合大量部署;反而现时企业可通过小量部署物联网方案,从而进行内部测试,为即将到来的物联网时代作最佳准备。

关键字:安全五式  IoT

编辑:北极风 引用地址:http://www.eeworld.com.cn/xfdz/2015/0210/article_39996.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:谷歌Android今年面临三大挑战
下一篇:Apple Pay 很快进入中国,苹果发布 iOS 8.3 测试版

论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
安全五式
IoT

小广播

独家专题更多

2017东芝PCIM在线展会
2017东芝PCIM在线展会
TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源
迎接创新的黄金时代 无创想,不奇迹
迎接创新的黄金时代 无创想,不奇迹
​TE工程师帮助将不可能变成可能,通过技术突破,使世界更加清洁、安全和美好。
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2017 EEWORLD.com.cn, Inc. All rights reserved