物聯(lián)網(wǎng)設(shè)備太脆弱 物理安全成為關(guān)鍵因素

　　物聯(lián)網(wǎng)(IoT)的領(lǐng)先媒體品牌IoT Evolution發(fā)表了一本書(shū)，概述了物聯(lián)網(wǎng)行業(yè)150多個(gè)主題趨勢(shì)，題為“物聯(lián)網(wǎng)時(shí)代：物聯(lián)網(wǎng)的不斷發(fā)展趨勢(shì)”由IoT Evolution編輯總監(jiān)Ken Briodagh撰寫(xiě)，旨在探索塑造最近發(fā)展中的行業(yè)的因素，并利用這些因素來(lái)預(yù)測(cè)將推動(dòng)下一個(gè)增長(zhǎng)時(shí)期的趨勢(shì)。通過(guò)案例研究或產(chǎn)品審查來(lái)闡述和說(shuō)明每個(gè)趨勢(shì)，以支持每個(gè)職位。

　　第18章：加密

　　趨勢(shì)：需要教育

　　連接的設(shè)備安全對(duì)至61%的消費(fèi)者是一個(gè)謎

　　最近對(duì)1,000多名消費(fèi)者的調(diào)查顯示，物聯(lián)網(wǎng)在消費(fèi)者中的傳播，但也指出了一些嚴(yán)重的安全隱患。移動(dòng)和互聯(lián)網(wǎng)安全提供商BullGuard的調(diào)查顯示，大約四分之一的消費(fèi)者計(jì)劃在未來(lái)12個(gè)月內(nèi)購(gòu)買(mǎi)IoT設(shè)備。 BullGuard發(fā)現(xiàn)，58%的消費(fèi)者對(duì)相關(guān)設(shè)備的潛在黑客和數(shù)據(jù)竊取“非常關(guān)心”或“高度關(guān)注”，37%的用戶(hù)已經(jīng)經(jīng)歷了安全事件或隱私問(wèn)題。根據(jù)調(diào)查，68%的受訪(fǎng)者擔(dān)心像病毒，惡意軟件和黑客等安全風(fēng)險(xiǎn)，65%的受訪(fǎng)者表示擔(dān)心設(shè)備制造商收集的數(shù)據(jù)被不當(dāng)利用或被盜。

　　物聯(lián)網(wǎng)行業(yè)尚未在設(shè)備之間建立共同的安全標(biāo)準(zhǔn)。智能設(shè)備制造商傾向于采用自己的安全方法，同時(shí)更新以確保設(shè)備安全性對(duì)于消費(fèi)者來(lái)說(shuō)往往太技術(shù)和復(fù)雜，即使是技術(shù)熟練的人也是如此。這項(xiàng)研究顯示，24%具有先進(jìn)技術(shù)技能的消費(fèi)者對(duì)于保持連接設(shè)備安全的能力無(wú)信心。

　　這些漏洞已被世界各地的情報(bào)機(jī)構(gòu)所認(rèn)可。美國(guó)國(guó)家情報(bào)總監(jiān)詹姆斯·克拉普(James Clapper)在最近向美國(guó)參議院提供的證詞中表示：“將來(lái)，情報(bào)部門(mén)可能會(huì)使用[物聯(lián)網(wǎng)]進(jìn)行識(shí)別，監(jiān)視，監(jiān)控，位置跟蹤或訪(fǎng)問(wèn)網(wǎng)絡(luò)或用戶(hù)憑據(jù)“。

　　BullGuard首席執(zhí)行官Paul Lipman說(shuō)：“我們大多數(shù)人一直在使用互聯(lián)網(wǎng)連接的設(shè)備，如電腦，智能手機(jī)和平板電腦一段時(shí)間，但是物聯(lián)網(wǎng)正在改變我們對(duì)于我們自己和我們的數(shù)據(jù)的個(gè)人安全感。那些認(rèn)為自己“技術(shù)挑戰(zhàn)”的人不僅僅是那些有這些擔(dān)憂(yōu)的技術(shù)人士，技術(shù)精湛的用戶(hù)也是這樣說(shuō)的。

　　當(dāng)被問(wèn)及他們?nèi)绾卧u(píng)價(jià)他們的計(jì)算機(jī)技能時(shí)，大多數(shù)受訪(fǎng)者將自己描述為“中級(jí)或高級(jí)”。超過(guò)80%的人表示能夠設(shè)置自己的路由器，但是當(dāng)被問(wèn)及是否更改了路由器密碼時(shí)，幾乎被拒絕了。第三個(gè)承認(rèn)他們不知道如何，60%不知道如何配置路由器來(lái)保持家庭網(wǎng)絡(luò)安全。

　　Lipman說(shuō)：“消費(fèi)者顯然沒(méi)有能力處理連接設(shè)備提供的無(wú)數(shù)安全隱患。 “由于安全攝像機(jī)，報(bào)警系統(tǒng)和門(mén)鎖等設(shè)備現(xiàn)在已連接到互聯(lián)網(wǎng)，物理安全性正在成為消費(fèi)者作為數(shù)據(jù)安全性的考慮因素。保持這些設(shè)備安全是絕對(duì)必要的。“

　　趨勢(shì)：設(shè)備太脆弱

　　IoT設(shè)備在安全性方面仍然很糟糕

　　在最近的一項(xiàng)研究中，安全公司ForeScout已經(jīng)表明，劫持許多常見(jiàn)的企業(yè)IoT設(shè)備需要不到三分鐘的時(shí)間。這一深入分析顯示了企業(yè)IoT設(shè)備構(gòu)成的危險(xiǎn)，似乎揭示了大多數(shù)可以作為進(jìn)入關(guān)鍵企業(yè)網(wǎng)絡(luò)的點(diǎn)。這個(gè)“IoT企業(yè)風(fēng)險(xiǎn)報(bào)告”是基于白帽子黑客Samy Kamkar的研究。

　　“物聯(lián)網(wǎng)在這里停留，但這些設(shè)備在企業(yè)中的普及和普及正在創(chuàng)造一個(gè)更大的攻擊面 - 一個(gè)為黑客提供易于訪(fǎng)問(wèn)的入口點(diǎn)，”ForeScout Technologies總裁兼首席執(zhí)行官M(fèi)ichael DeCesare說(shuō)。 “解決方案從設(shè)備即時(shí)連接的實(shí)時(shí)，持續(xù)可見(jiàn)性和控制開(kāi)始，您無(wú)法確保您看不到的內(nèi)容。”

　　Kamkar的研究重點(diǎn)是七個(gè)常見(jiàn)的企業(yè)IoT設(shè)備：IP連接的安全系統(tǒng)，智能HVAC和電能表，視頻會(huì)議系統(tǒng)和連接的打印機(jī)等。根據(jù)他從物理測(cè)試情況的觀(guān)察和同行評(píng)審的行業(yè)研究分析，這些設(shè)備對(duì)企業(yè)構(gòu)成重大風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)主要是因?yàn)樗鼈冎械拇蠖鄶?shù)并沒(méi)有嵌入式安全性。在確實(shí)有一些安全協(xié)議的少數(shù)設(shè)備中，Kamkar表示，許多設(shè)備正在使用危險(xiǎn)的過(guò)時(shí)固件。

　　發(fā)現(xiàn)的一個(gè)漏洞是通過(guò)實(shí)體黑客Kamkar進(jìn)行，讓他訪(fǎng)問(wèn)企業(yè)級(jí)的基于網(wǎng)絡(luò)的安全攝像頭。相機(jī)完全未經(jīng)修改，并從制造商運(yùn)行最新的固件，并且仍然很脆弱，最終允許種植可以在網(wǎng)絡(luò)外控制的后門(mén)入口。

　　報(bào)告的主要發(fā)現(xiàn)：

　　識(shí)別出的七個(gè)IoT設(shè)備可能在短短三分鐘內(nèi)被黑客入侵，但可能需要幾天或幾周的時(shí)間才能進(jìn)行修復(fù)。如果任何這些設(shè)備被感染，黑客可以生產(chǎn)后門(mén)來(lái)創(chuàng)建和啟動(dòng)自動(dòng)化的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)DDoS攻擊，就像上周發(fā)生的一樣。網(wǎng)絡(luò)犯罪分子可以利用干擾或欺騙技術(shù)來(lái)攻擊智能企業(yè)安全系統(tǒng)，使他們能夠控制運(yùn)動(dòng)傳感器，鎖和監(jiān)視設(shè)備。使用VoIP電話(huà)，利用配置設(shè)置來(lái)逃避身份驗(yàn)證可以打開(kāi)窺探和記錄呼叫的機(jī)會(huì)。通過(guò)連接的HVAC系統(tǒng)和電能表，黑客可以迫使關(guān)鍵房間(例如服務(wù)器室)過(guò)熱關(guān)鍵基礎(chǔ)設(shè)施，最終造成物理?yè)p壞。

　　由于像這里所揭示的漏洞，惡作劇者現(xiàn)在很容易使用不安全的設(shè)備來(lái)獲取安全網(wǎng)絡(luò)，最終其他企業(yè)系統(tǒng)也充滿(mǎn)了美味的銀行帳戶(hù)信息，人事檔案和專(zhuān)有商業(yè)信息。

　　趨勢(shì)：好的加密可能是一個(gè)答案

　　密碼學(xué)啟用連接設(shè)備的交鑰匙安全

　　由于Maxim Integrated產(chǎn)品最近發(fā)布的產(chǎn)品，IIoT和連接的嵌入式系統(tǒng)的開(kāi)發(fā)人員現(xiàn)在可以設(shè)計(jì)更高的信任度，同時(shí)將產(chǎn)品推向市場(chǎng)的速度更快。隨著對(duì)關(guān)鍵連接基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的增加，系統(tǒng)設(shè)計(jì)中的安全性不再是事后的想法。電子設(shè)計(jì)公司最近對(duì)2,200名電子工程師進(jìn)行的一項(xiàng)調(diào)查顯示，60%的受訪(fǎng)者表示，其產(chǎn)品的安全性非常重要，96%的受訪(fǎng)者認(rèn)為安全性對(duì)產(chǎn)品的重要性或相同程度。

　　Maxim MAXQ1061設(shè)計(jì)有一個(gè)集成的綜合加密工具箱，可提供從關(guān)鍵生成和存儲(chǔ)到數(shù)字簽名和加密到SSL / TLS / DTLS等廣泛的安全需求的全面支持。它還可以支持大多數(shù)主機(jī)處理器的安全啟動(dòng)。為了承受極端的工業(yè)環(huán)境，MAXQ1061的測(cè)試工作范圍為-40度至109攝氏度，可在TSSOP-14中使用。

　　“MAXQ1061提供了信任的硬件根源; Maxim Integrated嵌入式安全性執(zhí)行業(yè)務(wù)經(jīng)理Christophe Tremlet表示，其全面的密碼功能可滿(mǎn)足未來(lái)嵌入式系統(tǒng)的關(guān)鍵安全要求。 “使用MAXQ1061，我們的客戶(hù)擁有一個(gè)值得信賴(lài)的設(shè)備，不僅可以保證系統(tǒng)的完整性和真實(shí)性，還可以保證通信安全。”

　　MAXQ1061嵌入32KB用戶(hù)可編程安全EEPROM，用于存儲(chǔ)證書(shū)，公鑰，專(zhuān)用和秘密密鑰以及任意用戶(hù)數(shù)據(jù)。 EEPROM通過(guò)靈活的文件系統(tǒng)進(jìn)行管理，從而實(shí)現(xiàn)了自定義的安全策略實(shí)施。其加密算法包括ECC(高達(dá)NIST P-521)，ECDSA簽名生成和驗(yàn)證，SHA-2(高達(dá)SHA-512)安全散列，支持ECB，CBC和CCM模式的AES-128 / -256，和MAC摘要。 MAXQ1061還提供了一個(gè)獨(dú)立于SPI的硬件AES引擎，支持AES-GCM和AES-ECB模式，可用于卸載主機(jī)處理器進(jìn)行快速流加密。

　　Icon Labs執(zhí)行副總裁Ernie Rudolph表示：“MAXQ1061提供理想的硬件安全性，以補(bǔ)充我們的Floodgate Defender Appliance的軟件解決方案，使客戶(hù)能夠輕松地經(jīng)濟(jì)地保護(hù)其傳統(tǒng)設(shè)備。

　　趨勢(shì)：更多的違約意味著更多的關(guān)注安全

　　控創(chuàng)發(fā)布IoT安全平臺(tái)

　　控創(chuàng)最近發(fā)布了一個(gè)新的硬件和軟件安全平臺(tái)，用于物聯(lián)網(wǎng)環(huán)境，使用多層加密和實(shí)時(shí)分析來(lái)保護(hù)網(wǎng)絡(luò)上的點(diǎn)并檢測(cè)流氓設(shè)備。 AT&T委托的一份報(bào)告最近發(fā)現(xiàn)，近兩年來(lái)，物聯(lián)網(wǎng)設(shè)備的漏洞掃描增加了458%。 IBM的X-Force是一個(gè)道德黑客團(tuán)隊(duì)，最近闖入了一個(gè)所謂的智能建筑的樓宇自動(dòng)化系統(tǒng)(BAS)，該系統(tǒng)由跨美國(guó)多個(gè)辦事處的企業(yè)占據(jù)。該團(tuán)隊(duì)利用的漏洞將使他們能夠訪(fǎng)問(wèn)公司所有BAS單位及其分公司。作為測(cè)試的結(jié)果，團(tuán)隊(duì)提出了一個(gè)基本的安全程序清單，例如避免以明文形式存儲(chǔ)密碼，BAS運(yùn)營(yíng)商應(yīng)遵循密碼來(lái)減少未來(lái)違規(guī)的可能性。

　　這種競(jìng)爭(zhēng)性的安全研究對(duì)于建立對(duì)物聯(lián)網(wǎng)行業(yè)的信任至關(guān)重要，只要我們有電腦，它就成為IT安全領(lǐng)域的一部分。更多的這些黑客黑帽子黑客事件是需要的，他們的成功報(bào)道。隨著更多的漏洞被修復(fù)和修補(bǔ)，新的更難找到，整個(gè)行業(yè)獲得更大的消費(fèi)者和工業(yè)的信任。因此，它會(huì)增長(zhǎng)。