物聯(lián)網(wǎng)設備太脆弱 物理安全成為關鍵因素
物聯(lián)網(wǎng)(IoT)的領先媒體品牌IoT Evolution發(fā)表了一本書,概述了物聯(lián)網(wǎng)行業(yè)150多個主題趨勢,題為“物聯(lián)網(wǎng)時代:物聯(lián)網(wǎng)的不斷發(fā)展趨勢”由IoT Evolution編輯總監(jiān)Ken Briodagh撰寫,旨在探索塑造最近發(fā)展中的行業(yè)的因素,并利用這些因素來預測將推動下一個增長時期的趨勢。通過案例研究或產(chǎn)品審查來闡述和說明每個趨勢,以支持每個職位。
本文引用地址:http://cafeforensic.com/article/201705/359458.htm第18章:加密
趨勢:需要教育
連接的設備安全對至61%的消費者是一個謎
最近對1,000多名消費者的調(diào)查顯示,物聯(lián)網(wǎng)在消費者中的傳播,但也指出了一些嚴重的安全隱患。移動和互聯(lián)網(wǎng)安全提供商BullGuard的調(diào)查顯示,大約四分之一的消費者計劃在未來12個月內(nèi)購買IoT設備。 BullGuard發(fā)現(xiàn),58%的消費者對相關設備的潛在黑客和數(shù)據(jù)竊取“非常關心”或“高度關注”,37%的用戶已經(jīng)經(jīng)歷了安全事件或隱私問題。根據(jù)調(diào)查,68%的受訪者擔心像病毒,惡意軟件和黑客等安全風險,65%的受訪者表示擔心設備制造商收集的數(shù)據(jù)被不當利用或被盜。
物聯(lián)網(wǎng)行業(yè)尚未在設備之間建立共同的安全標準。智能設備制造商傾向于采用自己的安全方法,同時更新以確保設備安全性對于消費者來說往往太技術和復雜,即使是技術熟練的人也是如此。這項研究顯示,24%具有先進技術技能的消費者對于保持連接設備安全的能力無信心。
這些漏洞已被世界各地的情報機構所認可。美國國家情報總監(jiān)詹姆斯·克拉普(James Clapper)在最近向美國參議院提供的證詞中表示:“將來,情報部門可能會使用[物聯(lián)網(wǎng)]進行識別,監(jiān)視,監(jiān)控,位置跟蹤或訪問網(wǎng)絡或用戶憑據(jù)“。
BullGuard首席執(zhí)行官Paul Lipman說:“我們大多數(shù)人一直在使用互聯(lián)網(wǎng)連接的設備,如電腦,智能手機和平板電腦一段時間,但是物聯(lián)網(wǎng)正在改變我們對于我們自己和我們的數(shù)據(jù)的個人安全感。那些認為自己“技術挑戰(zhàn)”的人不僅僅是那些有這些擔憂的技術人士,技術精湛的用戶也是這樣說的。
當被問及他們?nèi)绾卧u價他們的計算機技能時,大多數(shù)受訪者將自己描述為“中級或高級”。超過80%的人表示能夠設置自己的路由器,但是當被問及是否更改了路由器密碼時,幾乎被拒絕了。第三個承認他們不知道如何,60%不知道如何配置路由器來保持家庭網(wǎng)絡安全。
Lipman說:“消費者顯然沒有能力處理連接設備提供的無數(shù)安全隱患。 “由于安全攝像機,報警系統(tǒng)和門鎖等設備現(xiàn)在已連接到互聯(lián)網(wǎng),物理安全性正在成為消費者作為數(shù)據(jù)安全性的考慮因素。保持這些設備安全是絕對必要的。“
趨勢:設備太脆弱
IoT設備在安全性方面仍然很糟糕
在最近的一項研究中,安全公司ForeScout已經(jīng)表明,劫持許多常見的企業(yè)IoT設備需要不到三分鐘的時間。這一深入分析顯示了企業(yè)IoT設備構成的危險,似乎揭示了大多數(shù)可以作為進入關鍵企業(yè)網(wǎng)絡的點。這個“IoT企業(yè)風險報告”是基于白帽子黑客Samy Kamkar的研究。
“物聯(lián)網(wǎng)在這里停留,但這些設備在企業(yè)中的普及和普及正在創(chuàng)造一個更大的攻擊面 - 一個為黑客提供易于訪問的入口點,”ForeScout Technologies總裁兼首席執(zhí)行官Michael DeCesare說。 “解決方案從設備即時連接的實時,持續(xù)可見性和控制開始,您無法確保您看不到的內(nèi)容。”
Kamkar的研究重點是七個常見的企業(yè)IoT設備:IP連接的安全系統(tǒng),智能HVAC和電能表,視頻會議系統(tǒng)和連接的打印機等。根據(jù)他從物理測試情況的觀察和同行評審的行業(yè)研究分析,這些設備對企業(yè)構成重大風險。這種風險主要是因為它們中的大多數(shù)并沒有嵌入式安全性。在確實有一些安全協(xié)議的少數(shù)設備中,Kamkar表示,許多設備正在使用危險的過時固件。
發(fā)現(xiàn)的一個漏洞是通過實體黑客Kamkar進行,讓他訪問企業(yè)級的基于網(wǎng)絡的安全攝像頭。相機完全未經(jīng)修改,并從制造商運行最新的固件,并且仍然很脆弱,最終允許種植可以在網(wǎng)絡外控制的后門入口。
報告的主要發(fā)現(xiàn):
識別出的七個IoT設備可能在短短三分鐘內(nèi)被黑客入侵,但可能需要幾天或幾周的時間才能進行修復。如果任何這些設備被感染,黑客可以生產(chǎn)后門來創(chuàng)建和啟動自動化的物聯(lián)網(wǎng)僵尸網(wǎng)絡DDoS攻擊,就像上周發(fā)生的一樣。網(wǎng)絡犯罪分子可以利用干擾或欺騙技術來攻擊智能企業(yè)安全系統(tǒng),使他們能夠控制運動傳感器,鎖和監(jiān)視設備。使用VoIP電話,利用配置設置來逃避身份驗證可以打開窺探和記錄呼叫的機會。通過連接的HVAC系統(tǒng)和電能表,黑客可以迫使關鍵房間(例如服務器室)過熱關鍵基礎設施,最終造成物理損壞。
由于像這里所揭示的漏洞,惡作劇者現(xiàn)在很容易使用不安全的設備來獲取安全網(wǎng)絡,最終其他企業(yè)系統(tǒng)也充滿了美味的銀行帳戶信息,人事檔案和專有商業(yè)信息。
趨勢:好的加密可能是一個答案
密碼學啟用連接設備的交鑰匙安全
由于Maxim Integrated產(chǎn)品最近發(fā)布的產(chǎn)品,IIoT和連接的嵌入式系統(tǒng)的開發(fā)人員現(xiàn)在可以設計更高的信任度,同時將產(chǎn)品推向市場的速度更快。隨著對關鍵連接基礎設施的網(wǎng)絡攻擊的增加,系統(tǒng)設計中的安全性不再是事后的想法。電子設計公司最近對2,200名電子工程師進行的一項調(diào)查顯示,60%的受訪者表示,其產(chǎn)品的安全性非常重要,96%的受訪者認為安全性對產(chǎn)品的重要性或相同程度。
Maxim MAXQ1061設計有一個集成的綜合加密工具箱,可提供從關鍵生成和存儲到數(shù)字簽名和加密到SSL / TLS / DTLS等廣泛的安全需求的全面支持。它還可以支持大多數(shù)主機處理器的安全啟動。為了承受極端的工業(yè)環(huán)境,MAXQ1061的測試工作范圍為-40度至109攝氏度,可在TSSOP-14中使用。
“MAXQ1061提供了信任的硬件根源; Maxim Integrated嵌入式安全性執(zhí)行業(yè)務經(jīng)理Christophe Tremlet表示,其全面的密碼功能可滿足未來嵌入式系統(tǒng)的關鍵安全要求。 “使用MAXQ1061,我們的客戶擁有一個值得信賴的設備,不僅可以保證系統(tǒng)的完整性和真實性,還可以保證通信安全。”
MAXQ1061嵌入32KB用戶可編程安全EEPROM,用于存儲證書,公鑰,專用和秘密密鑰以及任意用戶數(shù)據(jù)。 EEPROM通過靈活的文件系統(tǒng)進行管理,從而實現(xiàn)了自定義的安全策略實施。其加密算法包括ECC(高達NIST P-521),ECDSA簽名生成和驗證,SHA-2(高達SHA-512)安全散列,支持ECB,CBC和CCM模式的AES-128 / -256,和MAC摘要。 MAXQ1061還提供了一個獨立于SPI的硬件AES引擎,支持AES-GCM和AES-ECB模式,可用于卸載主機處理器進行快速流加密。
Icon Labs執(zhí)行副總裁Ernie Rudolph表示:“MAXQ1061提供理想的硬件安全性,以補充我們的Floodgate Defender Appliance的軟件解決方案,使客戶能夠輕松地經(jīng)濟地保護其傳統(tǒng)設備。
趨勢:更多的違約意味著更多的關注安全
控創(chuàng)發(fā)布IoT安全平臺
控創(chuàng)最近發(fā)布了一個新的硬件和軟件安全平臺,用于物聯(lián)網(wǎng)環(huán)境,使用多層加密和實時分析來保護網(wǎng)絡上的點并檢測流氓設備。 AT&T委托的一份報告最近發(fā)現(xiàn),近兩年來,物聯(lián)網(wǎng)設備的漏洞掃描增加了458%。 IBM的X-Force是一個道德黑客團隊,最近闖入了一個所謂的智能建筑的樓宇自動化系統(tǒng)(BAS),該系統(tǒng)由跨美國多個辦事處的企業(yè)占據(jù)。該團隊利用的漏洞將使他們能夠訪問公司所有BAS單位及其分公司。作為測試的結果,團隊提出了一個基本的安全程序清單,例如避免以明文形式存儲密碼,BAS運營商應遵循密碼來減少未來違規(guī)的可能性。
這種競爭性的安全研究對于建立對物聯(lián)網(wǎng)行業(yè)的信任至關重要,只要我們有電腦,它就成為IT安全領域的一部分。更多的這些黑客黑帽子黑客事件是需要的,他們的成功報道。隨著更多的漏洞被修復和修補,新的更難找到,整個行業(yè)獲得更大的消費者和工業(yè)的信任。因此,它會增長。
評論