IoT安全:让我们不要忘记的“事情”

在互联网上,安全行业通过促进和实现安全实践来保护我们免受伤害。这些“内置”安全实践包括相互认证,加密,安全协议和信任。但现实世界呢?事物互联网(IoT)在大多数情况下都没有使用类似的内置安全架构来创建。这是因为人们在连接和/或智能化之前很久才拥有许多事情。只有在2014年,赛门铁克通过定义内置和螺栓安全组件之间的区别,在物联网空间中对此术语进行了结构化。

使用内置组件,安全性是设备的重要组成部分,而螺栓组件则会在事件后添加这些安全功能。由于物联网通过设备的人机界面影响物理世界,因此对互联网连接的物联网设备的攻击不太稳定,安全性较低,不仅容易,而且更危险。

存在Shutterstock

在建筑物中,我们信任智能传感器来管理关键的日常任务,如开灯,检测空气和水质的威胁,以及管理热量和通风。从螺栓角度来看,添加一个具有因特网功能的网络架构似乎是一个无害和有用的功能,以实现更高的连接性。

不幸的是,这些传感器和控制器不是设计为暴露在建筑物的控制系统连接到互联网时出现的威胁。如果没有所需的基础安全架构,这些安全架构在互联网上安全地运行,就会增加潜在的攻击源并使其多样化。

传统互联网安全对于物联网来说仍然很重要,但还不够远。设计正确的身份验证,授权,计费,加密,入侵检测,软件签名和信任模型可促进在线设备之间的交互。但是,在智能烤箱,智能锁,连接鞋和锻炼服装等相关事宜中,镜像和增强这些机制需要非常小心。安全漏洞可能对用户造成即将来临的身体威胁。

例如,2017年,研究人员在购物广场中使用联网的低分辨率相机来收集用于解锁Android手机的滑动模式的数据,并发现一组可能的模式,可以在一半以上的测试用例中解锁手机。

最重要的是,这种攻击并不是针对特殊的高端智能相机而开发的。它通过从许多常见的低分辨率,消费级摄像机获得足够的不同数据来实现。如果攻击者可以访问用户的手机,并且仅通过滑动模式进行保护,则攻击者可以访问所有用户的个人数据,其中IoT包括家庭自动化,车辆保护和健康监控系统。

在物联网中,攻击不仅仅是一个隐喻 - 它是物理世界中的一个实际的攻击。这些也可以在没有攻击者甚至在线的情况下进行身体启动,也不知道如何安装合法且易于使用的数据包嗅探应用程序。例如,想象一下,公共建筑中的一个连接有IoT的运动检测器,其中有恶意意图的人物理地进入建筑物,并有意地触发传感器,同时嗅探无线网络以捕获在检测到运动时发生的加密的无线通信。

这个人可以将这些数据存储到移动设备中,并且收集足够的数据来构建加密通信的存储库。然后,他们可以创建比原来几乎无限排列的加密密钥更小的加密密钥,与此同样,Alan Turing利用可怜的谬误,在第二次世界大战期间利用一组缩写或天气评论来终止安全通信。

能够推断特定数据包来自运动事件在某一时间是将良好加密的数据结构降低到易用易读的代码中的关键。并且通过访问数据包头和结构,对其他建筑系统(如电力和热能)的恶意攻击成为可能 - 所有这一切都是因为一个人下载了一个应用程序并在运动传感器前面前后摆放了几分钟。

奥地利酒店最近的一个活动突出了另一种类型的具有IoT功能的黑客. 锁酒店门索要赎金而人里面,和有效的价格点设计,黑客利用一个商业系统,过分信任网络的钥匙,没有物理按键的解决方法或旁路的方法。 黑客以这种方式获得了访问脆弱系统的大量支出。

在这种情况下,安全修复将是简单的。防止这种攻击涉及编程电子锁禁用和默认的机械故障。这是一种低成本、低投入的预防措施,但它要求工程师认为安全先发制人和经常在旧的方式,如,“我们怎么安全的东西才是相连的,”,“如何连接的东西是最高级别的安全我们新的网络模型内建的?”

IBM最近展示了这些物理因素的重要性,通过执行一个匿名的智能办公楼的“道德黑客”。使用传统的黑客技术,该公司无法获得全面访问楼宇的控制和自动化系统。但开车经过大楼,并连接到该大楼的本地网络,他们能够完成这项工作。如果肉体被考虑,这个假设的黑客是不可能的。

而不是抑制膨胀,内置的物联网安全模型表明,物理安全提供了更高层次的网络保护的基础。有了这个基础,更安全和更广泛的互动与互联网连接的东西是可能的。

本文分享自微信公众号 - 智能计算时代(intelligentinterconn)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-05-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯移动品质中心TMQ的专栏

腾讯电量仪——智能硬件测试工具尝试之路

随着移动互联网的快速发展,智能手机对电量的消耗也变得越来越大,续航短板一直是用户吐槽的焦点,不管是iOS还是android,每天为手机充电成为一个惯例,甚至一天...

45180
来自专栏镁客网

YOUMO,幽默?如今连插线板都这么会玩!

15430
来自专栏FreeBuf

表情当密码,这事靠谱么?

对于密码,我们究竟还能做些什么呢? 密码密码,难说爱你 通常我们建议用户采用独特、复杂、最好包含一个怪异字符的密码,却得到用户“任性地”根本无法记住这些密码的回...

229100
来自专栏镁客网

「深度」吉湾一号:“中国第一云芯”国产CPU,是真的吗?

18810
来自专栏华章科技

毁掉你代码的35个不良习惯

近日web开发专家Christian Maioli总结了导致程序猿效率低下,代码像意大利面条一样难以维护的35条恶习(归为代码组织、团队工作、写代码、测试与维护...

11610
来自专栏PHP技术大全

遭受刷验证码攻击后的企安建设规划感想

公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压...

18930
来自专栏FreeBuf

以“威胁应对”为中心,看企业信息安全能力建设

1.前言 笔者做了多年的安全服务,这几年集中精力在做安全分析类引擎或产品,关于大数据时代信息安全的三点个人看法,作为引言。 (一) 聚焦细分市场,围绕核心竞争...

40580
来自专栏黑白安全

涉泄露用户行踪 大众点评整改

近日,有媒体报道,用户用微信登录大众点评后,会将用户关系链与微信等通讯录中的好友捆绑,并将用户在酒店、餐厅等的签到信息、点赞信息或地址信息分享给这些平台的好友。...

10920
来自专栏SDNLAB

SDN初创公司Lumina将BGP/MPLS融入白盒交换机

21540
来自专栏大数据文摘

表情当密码,这事靠谱么?

282100

扫码关注云+社区

领取腾讯云代金券