保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都存在安全风险,并且大多数使用人群都不知道如何保护它们的网络安全。

2016到2017年,大型僵尸网络发起的攻击都是通过入侵物联网设备实现的。很多专家都认为互联网安全“前路险恶”。但是也不必太悲观,方法总比问题多。下文我们将介绍提高物联网安全的6条基本原则,降低被攻击风险,避免让物联网设备成为你最大的弱点。

第1条:避免设备直接联网。

不部署防火墙或将防火墙置于设备后端的行为均不可取。防火墙应置于该设备联网之前,在防火墙中开放特定端口实现设备的远程访问。

很多IoT设备在生产过程中都不会考虑到安全这一环,如果联网前没有防火墙保护,这相当于我们主动将攻击者邀请到我们的网络中“做客”。很多路由器一般都有内置防火墙,但其它设备我们就必须为它们穿上防火墙这件保护衣。

第2条:更改默认密码。

拿到这些设备后我们要做的第一件事就是把初始密码改成复杂的你又记得住的密码。就算密码忘记了,也不是走投无路,现在市场上大多数设备都有恢复出厂设置的功能。

但是也有很多情况比较悲剧,很多物联网设备,尤其是安全监控设备、DVR在安全问题上实在设计得太差,就算改掉初始密码,一旦连网,内置的web界面还是无法阻止任何攻击活动的入侵。

而且,很多设备被发现存在隐藏的后门,攻击者能够利用这些后门程序对你的设备进行远程控制。所以第一条原则的重要性也就可想而知。

第3条:更新固件。

硬件供应商有时会为支持他们设备的软件(称为“固件”)提供安全更新程序。因此,安装设备之前先访问厂商官网查看是否有固件更新,另外也要养成定期查看的习惯。

第4条:检查默认设置。

确保像UPnP(通用即插即用,主要用于设备的智能互联互通,能够在你不知情的情况下开放防火墙端口)这类你不需要的功能已经被设置成“禁用”。

如何才能知道路由器的防火墙是否被“挖了洞”?Censys这个搜索引擎兼具扫描功能:首先打开whatismyipaddress.com,然后将IP地址复制到censys.io的搜索框中,从下拉菜单中选择“ipv4 hosts”,点击“搜索”。

如果刚好你的ISP地址在censys的黑名单中,可以访问Steve Gibson的 Shield’s Up页面 ,上面有一个点击工具,能够帮助你发现你所在网络中哪个网关或端口被恶意打开。通过网络搜索开放端口往往能够获得有效信息,确定设备可能存在的漏洞。

如果你的计算机中安装了反病毒软件,确保升级到网络安全或互联网安全版本,开启软件防火墙的所有功能,确保能够拦截特定端口的进出流量。

另外,Glasswire(基础版39美元,专业版69美元)也是一个不错的工具,不但具备防火墙所有功能,并且能够告知用户哪些设备带宽占用最多。最近我用Glasswire发现了一个每天使用千兆字节带宽的程序(“亚马逊音乐”客户端一个糟糕的更新版本)。

第5条:避免购买具有内置P2P(对等网络)功能的物联网设备。

P2P物联网设备的安全防护实施起来非常困难。很多研究都表明,即使有防火墙,攻击者也能实现远程访问,因为P2P的配置特点之一就是持续不断地连接共享网络,直到成功。因此攻击者完全有可能实现远程访问。这也是人们对物联网设备安全存在恐慌心理的原因之一。

第6条:成本越低的设备,安全性可能越差。

90%廉价的物联网设备都不安全。当然,价格与安全性没有直接关联,但是无数案例说明,价格范围较低的设备往往漏洞和后门更多,厂商的维护和售后支持力度也不够。

2017年年底,Mirai病毒(有史以来规模最大的物联网恶意软件威胁之一)的三元凶认罪,美国司法部(DOJ)也发布了一系列保护物联网设备的安全提示,详情戳此处。

最后的温馨提醒

很多人看到这些安全提示都会嗤之以鼻,明明道理都懂,有时候就是做不到。良好的开发、部署和操作习惯非常有必要,减少物联网对全球安全问题的影响,最重要的还是每一个人从最基本的做起。采取主动防御措施,自求多福。

*参考来源:krebsonsecurity.com,FB小编柚子编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-02-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

FireEye:IE再曝0day漏洞,国内暂未出现攻击

近日,国外安全公司FireEye宣布发现新型IE 0day漏洞攻击,该漏洞影响Windows XP和Windows 7系统上的英文版本IE浏览器。不过FireE...

2856
来自专栏AI科技大本营的专栏

GitHub 挂了

“见鬼???”,一位 Twitter 用户评论道,“我创建了一个公共存储库, 但当我敲下代码时, Git 客户端告诉我存储库不存在。此外,我无法打开http:/...

1052
来自专栏知识分享

太阳能锂电池充电电路

原先的 ? 现在的 ? 为了充分利用太阳能电池板产生的电,做了以上修改。 实测,现在的充电电流是原先的2~3倍,甚至更多。  重点说一下,自己用光敏电阻传感器模...

3657
来自专栏FreeBuf

Fredi的无线婴儿监控存在漏洞可被利用为间谍摄像机

近日,SEC Consult的安全研究人员发布报告称,Fredi公司的无线婴儿监控设备存在严重漏洞,该漏洞可被未经身份验证的攻击者所利用,不仅能够监控他人还能藉...

1410
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(一)

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我,他们的发现让我不寒而栗》,讲述了我和我的小伙伴“骚扰...

20210
来自专栏FreeBuf

新型鼠标光标劫持攻击将允许攻击者劫持GoogleChrome会话

近期,研究人员发现了一种新型的技术支持诈骗技术,攻击者可以利用这种技术来劫持Google Chrome用户的浏览会话。

803
来自专栏大数据文摘

数据安全——黑客来袭,如何保护自己?

1963
来自专栏FreeBuf

安全科普:什么是中间人攻击(MITM)

你拿着刚买的咖啡,连上了咖啡店的WiFi,然后开始工作,这样的动作在之前已经重复了无数遍,一切都和谐无比。但你不知道的是有人正在监视你,他们监视着你的各种网络活...

2129
来自专栏FreeBuf

网络罪犯:互联网丛林中的捕猎者

作者 Rabbit_Run 概述 任何使用互联网的人都身处危险之中,不分你年龄几何,不管你在网络上喜欢做什么。网络罪犯能够部署一个强大的军火库,瞄准任何可能的...

2176
来自专栏FreeBuf

你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。 根据安全研究专家的分析结果,此次DDoS攻...

2047

扫码关注云+社区

领取腾讯云代金券