侵权投诉
订阅
纠错
加入自媒体

安全信息漏洞泛滥 物联网需克服四大挑战

2014-09-11 00:17
姚看江湖
关注

  安全性在传统企业网路上就已经很难管理,现在又加上了各种大大(例如汽车)小小(例如网路摄影机、婴儿监视器)的物联网(IoT)装置,而且打造这些装置的厂商几乎没有网路安全意识。

  连网装置应用领域从中央监控系统(SCADAsystems)到消费性电子产品,随着研究人员陆续公开重大缺陷,这些装置的安全漏洞也在过去一年成为聚光灯焦点。有些受影响的产业第一次是透过所谓的“白帽”骇客,发现在汽车、心律调整器、道路交通系统、家庭自动化系统以及飞机等产品的弱点;而一个重大的转变是,现在公共安全有一部分等同于上述那些产品。

  有一些因为特殊用途所配备的功能实际上成为安全漏洞,例如有目的的后门(intentionalbackdoors)、硬式编码凭证(hardcodedcredentials)、未加密的资料流量,以及与非关键系统位在同一个网路的关键系统。尽管在不久前于美国举行的BlackHatUSA以及DEFCON大会上,专家们已经大力宣传这些弱点,很多安全漏洞都还未被修正且仍然脆弱。

  为何不修补或是更新那些物连网装置,或是把它们打造得更安全?要保护那些消费性电子产品以及其他嵌入式系统,还需要克服以下几个大挑战:

  1.通常没有一致性或官方的软体更新程序/机制

  在Windows平台装置上的恶意软体最后都会被发现,但BeyondTrust技术长MarcMaiffret表示,物联网装置内部的“能见度”很低甚至是零:“谁都看不见那些装置内有什么,如果有更新、也看不见其韧体的可信赖度。”

  因为那些装置很多是采用Linux架构平台,Maiffret建议其软体应该要由一个开放性社群来管理,以处理漏洞或是安全性更新;举例来说,IP摄影机或是SAN储存系统应该要具备定期的Linux更新机制:“它们应该要是开放性的,如此才能真正被视为Linux作业系统装置,让我们能建立安全机制并像其他Linux装置一样来管理。”

  SolarWinds产品管理副总裁ChrisLaPoint表示,他自己拥有3支家用IP摄影机,都不是执行最新的韧体,也不清楚它们是否有漏洞:“甚至是大多数这类装置的设定指令集、围绕它们的安全控制配置以及修补程式…它们该如何被管理?”

  2.很多消费性产品以及其他非传统性IT供应商,对嵌入他们系统中的网路威胁了解很少或根本不了解

  多数嵌入式装置制造商与安全性技术社群之间的隔阂甚深,卫星终端供应商就是一个例子;IOActive首席安全顾问RubenSantamarta就发现,那些装置内的硬式编码密码、后门以及不安全的通讯协议,可能会让攻击者入侵并中断船舶、飞机与军事设施的通讯连结。

1  2  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号