技术在不断发展,物联网经济显示出蓬勃生机。有数据显示,到 2022 年底,其市场预计将增长18%,达到 144 亿活跃连接。
规模化的设备接入物联网,为整个生态提供“万物互联”的新服务,但随之而来的各种攻击和威胁的概率也在增大,如恶意软件攻击、密码泄露、DDoS 攻击等。
物联网汇聚庞大商机,也成为黑客觊觎的目标。
物联网是什么?
物联网( of ,简称IoT),指的是将各种日常设备,如恒温器、汽车、冰箱、门锁、相机、健身追踪器等连接到互联网或其他无线通信网络,实现在任何地点、任何时间,对设备的识别、跟踪、监控和管理。
在日常生活中,物联网应用领域广泛,比如智能家居、智能出行、智慧城市等,大大提高了人们的生活质量。
生活中的物联网
1、智能家居
智能家居是物联网的基础应用,它通过物联网技术将各种设备连接到一起,提供家电控制、照明控制、电话远程控制、防盗报警等多种功能和手段。比如,智能音响,不仅可播放新闻和音乐,还能回答问题、设置闹钟、开/关灯。
2、智能穿戴
像手表这样的智能穿戴设备,不仅能看时间,还可以发送消息、接听电话、播放音乐、计算步数、查看社交互动等。
3、智慧城市
物联网还应用在解决交通拥堵、道路安全、卫生、街道照明、盗窃、污染等相关的问题。
4、互联车辆
物联网车辆可以通过无线网络与设备连接。这些汽车提供车载WIFI连接,还具有远程锁止/解锁车门、打开天窗或启动/停止发动机等功能。如果司机越过了设定的边界,地理围栏功能会提醒车主。
物联网安全面临的挑战
虽然物联网已成规模,各大企业都投入了大量的人力、物力、财力进行开发研究,但仍然存在诸多问题。
最典型的问题在于,物联网设备除了默认密码外没有配备其他安全程序,黑客只要远程操作,一旦发现系统漏洞就可以控制整个系统。同时,设备连接的方式越多,黑客的机会也就越多。总结起来有三个挑战:
1、缺乏安全软件
大多数物联网设备不具备整合防病毒或防火墙保护的能力,因此很容易被黑客利用。
2、缺乏网络安全意识
数据显示,有84% 的企业使用了物联网设备,但却只有 50% 部署了适当的安全措施。物联网设备被认为是无线系统中最薄弱的元素,易受到攻击,是一个很容易被忽视的主要网络安全漏洞。
3、攻击面大
物联网设备之间的无线连接代表了更广泛的攻击面,相当于给黑客提供了远程访问的无数入口点。
常见的物联网攻击
由于大多数物联网设备都是为简单任务而构建的,因此没有使用强大的安全程序。黑客可以利用这些薄弱的安全标准来尝试以下常见的物联网攻击:
1、窃听
黑客通过物联网设备监控用户的网络,并秘密收集敏感数据,包括银行详细信息和登录凭据。他们甚至可以坐在用户附近的地方,窃听房间里正在进行的对话。
2、权限提升攻击
专业黑客可以攻击操作系统,他们利用物联网设备中未修补的漏洞或零日漏洞将权限提升到管理员级别并完全控制系统。
3、暴力攻击
企业如果没有定期更改密码,只使用默认、未更改或弱密码,就容易让黑客攻破。黑客通过暴力攻击,使用试错法破解所有可能组合的密码,黑进系统、账户或网络。
4、恶意节点注入
黑客在合法节点之间注入恶意脚本,以访问链接节点之间交换的数据。
5、固件劫持
黑客向用户发送带有损坏链接的虚假更新通知,将用户定向到恶意网站,并要求提交个人详细信息或用恶意软件感染用户系统。
6、DDos攻击
黑客的目标是通过多个设备访问单个服务器,借助僵尸网络恶意软件尝试通过受感染或“僵尸化”的物联网设备进行 DDoS 攻击。
7、物理篡改
可以通过外部访问的物联网设备,比如互联车辆,在开放环境中谁都可以控制它,因此黑客可以通过物理篡改建立立足点,进行有针对性的攻击。
物联网安全需防患于未然
物联网的发展规律决定了物联网安全问题需要尽早着手:
1、尽早考虑安全问题
设计和制造物联网设备的供应商需要从开发阶段就提高安全标准,默认安全功能可保护操作系统并避免恶意软件进入。
2、实施PKI和数字证书
公钥基础设施 (PKI) 保护安装在各种设备之间的客户端-服务器连接,使用加密的数字证书对关键数据和网络之间的交互进行加密和解密。
PKI 和数字证书,可以通过隐藏用户在交易网站上输入的文本信息来保护用户。
3、密码保护
在所有物联网设备上启用密码保护程序。强密码至少有12个字符,由大小写数字和特殊字符组合而成,并为每个设备和账户使用唯一的密码。此外,不要设置可猜测的密码,例如出生日期、街道地址等。
4、物理保护
黑客可以窃取设备并破解它们以操纵电路、端口和芯片。在实际工作中为了方便,有些企业会在机箱外壳贴着带有密码的贴纸,这种做法是不可取的。
企业可以将设备放在锁定的机箱中进行物理保护,同时采取必要措施覆盖端口(因为它们是最容易受到攻击的网关)。
5、加强网络和 API 安全
使用反恶意软件、防病毒软件、防火墙和其他安全软件可以解决大部分网络安全问题,企业应该禁用端口转发并确保在不使用时关闭端口。API 安全可以保护物联网设备和后端系统之间交换的数据,并只授权实体访问。
“防患于未然”在物联网时代更加重要,不要忽视物联网设备的安全性,因为黑客可以利用它们尝试不同类型的网络犯罪。通过实施强大的物联网安全协议和预防措施,来积极推进物联网安全建设,以保障企业健康发展。