物聯(lián)傳媒 旗下網站
登錄 注冊

網絡安全問題是物聯(lián)網最大的隱患

作者:本站收錄
來源:頭條號/Intelligentcomputing
日期:2017-05-17 09:59:58
摘要:在物聯(lián)網中,攻擊不僅僅是一個隱喻 - 它是物理世界中的一個實際的攻擊。這些也可以在沒有攻擊者甚至在線的情況下進行身體啟動,也不知道如何安裝合法且易于使用的數(shù)據包嗅探應用程序。

  在互聯(lián)網上,安全行業(yè)通過促進和實現(xiàn)安全實踐來保護我們免受傷害。這些“內置”安全實踐包括相互認證,加密,安全協(xié)議和信任。但現(xiàn)實世界呢?事物互聯(lián)網(IoT)在大多數(shù)情況下都沒有使用類似的內置安全架構來創(chuàng)建。這是因為人們在連接和/或智能化之前很久才擁有許多事情。只有在2014年,賽門鐵克通過定義內置和螺栓安全組件之間的區(qū)別,在物聯(lián)網空間中對此術語進行了結構化。

  使用內置組件,安全性是設備的重要組成部分,而螺栓組件則會在事件后添加這些安全功能。由于物聯(lián)網通過設備的人機界面影響物理世界,因此對互聯(lián)網連接的物聯(lián)網設備的攻擊不太穩(wěn)定,安全性較低,不僅容易,而且更危險。

  存在Shutterstock

  在建筑物中,我們信任智能傳感器來管理關鍵的日常任務,如開燈,檢測空氣和水質的威脅,以及管理熱量和通風。從螺栓角度來看,添加一個具有因特網功能的網絡架構似乎是一個無害和有用的功能,以實現(xiàn)更高的連接性。

  不幸的是,這些傳感器和控制器不是設計為暴露在建筑物的控制系統(tǒng)連接到互聯(lián)網時出現(xiàn)的威脅。如果沒有所需的基礎安全架構,這些安全架構在互聯(lián)網上安全地運行,就會增加潛在的攻擊源并使其多樣化。

  傳統(tǒng)互聯(lián)網安全對于物聯(lián)網來說仍然很重要,但還不夠遠。設計正確的身份驗證,授權,計費,加密,入侵檢測,軟件簽名和信任模型可促進在線設備之間的交互。但是,在智能烤箱,智能鎖,連接鞋和鍛煉服裝等相關事宜中,鏡像和增強這些機制需要非常小心。安全漏洞可能對用戶造成即將來臨的身體威脅。

  例如,2017年,研究人員在購物廣場中使用聯(lián)網的低分辨率相機來收集用于解鎖Android手機的滑動模式的數(shù)據,并發(fā)現(xiàn)一組可能的模式,可以在一半以上的測試用例中解鎖手機。

  最重要的是,這種攻擊并不是針對特殊的高端智能相機而開發(fā)的。它通過從許多常見的低分辨率,消費級攝像機獲得足夠的不同數(shù)據來實現(xiàn)。如果攻擊者可以訪問用戶的手機,并且僅通過滑動模式進行保護,則攻擊者可以訪問所有用戶的個人數(shù)據,其中IoT包括家庭自動化,車輛保護和健康監(jiān)控系統(tǒng)。

  在物聯(lián)網中,攻擊不僅僅是一個隱喻 - 它是物理世界中的一個實際的攻擊。這些也可以在沒有攻擊者甚至在線的情況下進行身體啟動,也不知道如何安裝合法且易于使用的數(shù)據包嗅探應用程序。例如,想象一下,公共建筑中的一個連接有IoT的運動檢測器,其中有惡意意圖的人物理地進入建筑物,并有意地觸發(fā)傳感器,同時嗅探無線網絡以捕獲在檢測到運動時發(fā)生的加密的無線通信。

  這個人可以將這些數(shù)據存儲到移動設備中,并且收集足夠的數(shù)據來構建加密通信的存儲庫。然后,他們可以創(chuàng)建比原來幾乎無限排列的加密密鑰更小的加密密鑰,與此同樣,Alan Turing利用可憐的謬誤,在第二次世界大戰(zhàn)期間利用一組縮寫或天氣評論來終止安全通信。

  能夠推斷特定數(shù)據包來自運動事件在某一時間是將良好加密的數(shù)據結構降低到易用易讀的代碼中的關鍵。并且通過訪問數(shù)據包頭和結構,對其他建筑系統(tǒng)(如電力和熱能)的惡意攻擊成為可能 - 所有這一切都是因為一個人下載了一個應用程序并在運動傳感器前面前后擺放了幾分鐘。

  奧地利酒店最近的一個活動突出了另一種類型的具有IoT功能的黑客. 鎖酒店門索要贖金而人里面,和有效的價格點設計,黑客利用一個商業(yè)系統(tǒng),過分信任網絡的鑰匙,沒有物理按鍵的解決方法或旁路的方法。 黑客以這種方式獲得了訪問脆弱系統(tǒng)的大量支出。

  在這種情況下,安全修復將是簡單的。防止這種攻擊涉及編程電子鎖禁用和默認的機械故障。這是一種低成本、低投入的預防措施,但它要求工程師認為安全先發(fā)制人和經常在舊的方式,如,“我們怎么安全的東西才是相連的,”,“如何連接的東西是最高級別的安全我們新的網絡模型內建的?”

  IBM最近展示了這些物理因素的重要性,通過執(zhí)行一個匿名的智能辦公樓的“道德黑客”。使用傳統(tǒng)的黑客技術,該公司無法獲得全面訪問樓宇的控制和自動化系統(tǒng)。但開車經過大樓,并連接到該大樓的本地網絡,他們能夠完成這項工作。如果肉體被考慮,這個假設的黑客是不可能的。

  而不是抑制膨脹,內置的物聯(lián)網安全模型表明,物理安全提供了更高層次的網絡保護的基礎。有了這個基礎,更安全和更廣泛的互動與互聯(lián)網連接的東西是可能的。

人物訪談