自2016年年底起,僵尸网络和物联网设备安全开始“垄断”新闻头条。物联网设备俨然已经成为黑客眼中唾手可得的猎物。众所周知的Mirai物联网僵尸事件,“海量”设备被用作僵尸网络,针对选定的目标发起DDoS攻击。
近期又有外媒报道,密歇根大学研究人员仅使用 5 美元的扬声器即可成功入侵智能手机、汽车、医疗设备和物联设备的传感器,获取系统的更多访问权限。研究人员利用微型机械装置在运动时产生电容的变化,检测设备运动形态。通过构造不同频率的音频信号,给系统传递一个虚假的运动模式,让系统探测到不存在的运动从而做出攻击者期望的判断。 这一攻击方式应用在汽车上,能够使控制系统接收到一个不存在的位移,自动校正机制在针对这个虚假动作进行应对时可能会造成一系列事故。
如今,随着智能手机、智能穿戴设备、智能汽车、智能家居等智能设备的迅速发展和普及利用,针对物联网设备的网络攻击事件比例激增。物联网在方便人们生活的同时,设备存在漏洞也可能导致个人或企业面临安全威胁,受到的恶意攻击、信息泄露等大规模网络攻击不断发生。
企业:
解决方案的选择:一个企业级的物联网解决方案通常使用不同供应商的技术。部署这样一个复杂的解决方案要求技术上的复杂性,确保这种多家供应商的安全性更是重中之重。
用户数据的保护:面对设备收集的众多用户信息数据,不论是从商业角度,还是从管控角度,数据传输、存储和处理都应该在安全情况下进行。
扩大化的攻击:物联网时代海量设备相互连接,庞大的设备基数,攻击者可以轻易发现存在漏洞的设备。与用户的终端不同,很多物联网设备需要永久在线和实时连接,这一特征使得它们更容易成为攻击的目标。
僵尸网络攻击:未得到有效保护的物联网设备可能会招致僵尸网络攻击,大大降低企业的工作效率,此类攻击极易导致企业声誉受到影响。
设备厂商:
设置较强的默认密码:用户从来不会修改由生产商提供的默认用户名密码,很容易被破解。僵尸网络操作者正是利用这些默认密码信息扫描IoT设备,进行攻击感染。
使用技术较新或主流的操作系统:许多IoT设备内置使用了一些老版本的Linux系统,造成更新不及时,带来严重安全隐患。
固件更新:老旧固件可能会存在较多漏洞,应定期升级没有签名检查、版本降级限制、内容未加密等。
个人:个人信息泄露
对于大众而言,基本的个人信息保护是最为重要的。当今的智能设备会记录大量用户的日常使用习惯及情况,其相应的APP和网站便会积累大量的个人数据信息。企业将通过分析收集来的信息,“命令”联网设备为用户提供“个性化”的专享服务;
但设备薄弱的安全防护,可能存在信息被窃取的重大隐患。如果这些数据被黑客盗用,或者进行出售,“我们”的信息安全将面临威胁。虽然PC和手机端的杀毒软件可在一定程度上守护我们的安全,但对于物联网设备安全的软件,目前还是刚刚起步。
本文转自d1net(转载)
