本文作者:一个人的,等待

智能家居有什么网络安全问题?

一个人的,等待 2019-06-04 01:17:56 551 围观 68 评论

  以mirai为例第一代病毒只是利用连网设备默认的账号密码尝试登录就可顺利地感染了数以百万计的家用设备并且利用这些被感染的设备成功对电信运营商发起大型分布式阻断服务攻击(ddos攻击)。

  过去的ddos攻击通常黑客只能使用数千至数万台僵尸服务器来攻击只要运营商逐一将ip隔离便可顺利阻挠;但mirai却可轻易地发动数百万台设备发起超过1tb流量的攻击以致许多运营商束手无策。   有鉴于此各国起初注重物联网设备的安全从美国前总统奥巴马提出的国家网络安全行动计划(cybersecurity national action plan)所衍生出的ul2900安全标准到owasp的iot安全十大漏洞而台湾工业局跟资策会汇集产业界意见后推出的《视频监控系统网络摄像机网络安全标准》也在今年正式上路。

  另一方面网络摄像机被植入后门以及家用路由器中毒等安全事件层出不穷智慧居家安全渐渐上升为国土安全议题如2017年初d-link跟华硕的路由器便曾遭美国联邦贸易委员会(ftc)指控后来虽达成和解但美政府注重智慧居家安全的程度可见一斑。

  连网设备使威胁无所不在为何黑客起初以iot设备作为目标呢?原因有以下几点:   1.同构型设备数量众多且遍布全球例如:一旦破解某品牌摄像机其他摄像机骇入方法大同小异可快速扩散病毒。

     2.iot设备永恒连网所以易攻击也是担任跳板的绝佳目标。

     3.iot设备运算资源少因此作威作福装配传统防毒或安全防护软件。

     4.iot设备大多异国主动更新软件的功能旧款软件上的漏洞容易被渗透。

     5.多数iot设备支持云端及app联机造成黑客更易从app去逆向破解或云端渗透。

     读者接下来可能要问为什么这么多网络安全公司却作威作福提供得当的安全防护呢?事实上目前绝大多数的网络安全防护技术仍建立在非常陈腐的特征码扫瞄基础下原理是将已捕捉到的病毒样本行为特征萃取出来成为病毒数据库再比对进来的网络流量及封包。举例来说就像是进出机场海关时海关人员比对通缉犯照片如果长相跟通缉犯神似就会被拦下;但若尚未被登录在通缉犯名单中或是经过整形易容便可以顺利通关。

     特征码扫描也遇到相同的问题以现今病毒攻击手法变化及散播之快防毒公司往往来不及公布新的病毒特征或者病毒特征不断变形还未拿到病毒样本就已扫遍全球此即为零时差攻击。再加上物联网装置里面的cpu及内存为了撙节成本大多配备仅充足自如设备使用的最低硬件规格难以再容纳一个庞大的安全防护软件嵌入更遑论有储存庞大病毒数据库的空间。

  虽然目前有安全厂商宣称采用云端病毒数据库扫描引擎只需送上云端比对即可但这种做法一方面添补了流量的延迟时间再来添补使用者对自身隐私是否也被上传云端的疑虑且照样作威作福解决零时差攻击的问题。   本相黑客是如何骇入这些成千上万的设备?通常他们会采购一些目标设备来测试漏洞这些设备大多为保护机制较弱且有开放外网连入例如路由器或是网络摄像机。

  一旦找到攻击方法几乎同类型又保护不全的设备皆会列入攻击名单中黑客即可开发出可主动扫描此类iot装置的爬虫程序然后在网络上四处扫描该装置的外网漏洞;如果顺利入侵家中路由器或摄像机这些程序则会再透过内网扫描来入侵其他设备简直防不胜防。

     针对智能居家使用者的自我防护笔者建议如下:   1.尽量使用欧美品牌或台湾品牌有外销美国实绩有经过认证更佳通常这些厂商不会建置后门而且对于出现新的安全漏洞时也较快释出更新的软件或韧体。

     2.更改家中所有设备的默认密码成为强密码如能定期更新密码会更加安全。

     4.家中笔记本电脑及手机应尽量装配封闭式的操作系统避免使用开放系统。

     5.务必将不必要的云服务以及在外长途透过app连回家中设备的服务关闭原因这些服务极可能成为黑客程序渗透的漏洞。

     6.勿随便开启及长命百岁不明电子邮件尤其要确认寄件人的邮件地址因寄件人名称可以被伪冒一定要在寄件人字段上按鼠标右键确认寄件人地址笔者就常收到伪装成微软或苹果公司寄来要求输入密码确认的钓鱼邮件。

  

文章版权及转载声明:

本文作者:一个人的,等待 本文地址:http://www.slpseminars.com/html/disp.php?id=18 发布于: 2019-06-04 01:17:56
文章转载或复制请以超链接形式。

赞( 79

觉得文章有用就打赏一下文章作者

发表评论

快捷回复:

评论列表 (有 551 人围观) 68 条评论, 参与讨论
森林小巷少女与狐 游客 2019-04-26 11:16:08 板凳 回复
竞争太激烈,适者生存
旧事酒浓 游客 2019-04-26 11:15:22 椅子 回复
哪个用户中心的插件?
牵着蜗牛去散步 游客 2019-04-26 10:02:49 沙发 回复
已更新~
清风吹我襟 游客 2019-04-26 09:04:39 凉席 回复
这个没试过~
十三少 游客 2019-04-26 07:29:39 地板 回复
博客写的不错