总第7期
2016年6月刊
Attack and Defense    攻防
Attack and Defense    攻防
物联网安全浅析
文/H3C攻防团队
分享

物联网被誉为继计算机、互联网之后信息产业的第三次科技浪潮。和传统的互联网相比,物联网具有以下鲜明的特征:

首先,它是各种感知技术的广泛应用。物联网上部署了海量的不同类型传感器,每个传感器都是一个信息源,不同类别的传感器所捕获的信息内容和信息格式不同。而且数据具有实时性,需要周期性的采集环境信息,从而不断更新数据。

其次,物联网技术的重要基础和核心仍旧是互联网,它通过各种有线、无线网络与互联网融合,将物体的信息实时准确地传递出去。在物联网上的传感器定时采集的信息需要通过网络传输,数据量非常大。在传输过程中,为了保障数据的正确性和及时性,物联网的传输模式 必须适应各种异构网络和协议。

最后,物联网除了连接,它还能够对物体实施智能控制。物联网将传感器和智能处理相结合,利用云计算、模式识别等各种智能技术,对传感器获得的海量信息进行分析、加工、整理出可用数据,这些数据既能满足不同用户的需求,还可以扩展智能技术的应用领域。

一、智能家居中存在的安全问题

目前包括无人机、智能电源、智能洗衣机、智能微波炉、智能摄像头等智能硬件产品,只要保持电源连接、网络连接状态就有可能被黑客通过电脑进行远程控制,存在较大的安全隐患。这些问题的曝光不仅给智能家居企业敲响了一个警钟,也让正在享受智能家居的消费者热情冷却下来。该如何解决这一安全漏洞,成了大家一致关心的问题。

1. 物联网的安全问题

根据Gartner报告预测,2020年全球物联网设备数量将高达260亿。目前物联网安全标准滞后、智能设备制造商缺乏安全意识,上述因素都为物联网安全埋下极大隐患。物联网当前阶段主要存在以下安全问题:

  • 个人信息泄露

未被妥善处理的大量数据会对用户的个人隐私造成极大的侵害。因为我们每个人都是数据,实际上只要用网络服务商提供的网络服务,我们的数据都会被传送到云端,信息被存储起来。在2016年年初,国外著名网络漏洞搜索引擎Shodan开放了关于IOT漏洞的搜索。我们可以看到在IOT漏洞中搜索最多的就是智能摄像头和工业安防摄像头的漏洞。众所周知,智能摄像头的隐私泄露,造成的安全问题尤为严重 。人们面临的威胁不仅限于个人隐私泄漏,还有网络服务商基于大数据对人们状态和行为的预测。例如某零售商通过历史记录分析,比家长更早知道其女儿已经怀孕的事实,并向其邮寄相关广告信息;社交网络通过分析用户的Facebook信息,可以发现用户的政治倾向、消费习惯以及喜好的球队等。

  • 传统的防护边界消弱,物联网易被攻击

当所有设备都变的更具智能化,并且将他们接入到互联网后,网络边界的概念会被消弱。接入点越来越多,整个系统也越大,被攻破的可能性也会越大。例如,现在很多设备都会通过蓝牙、WiFi模块接入互联网。这样的连接方式会存在很多被黑客利用的点,而且攻击形式多变,使得安全防守端的挑战越来越大。

  • 物联网时代还存在着传统的网络攻击。如阻塞攻击、碰撞攻击、洪泛攻击与信息篡改等威胁。这些网络攻击的存在,阻碍着互联网安全的发展。

2.智能设备自身的问题

物联网时代的智能设备也存在着诸多问题,在不经意间很可能就会泄露自己的隐私信息。为了直观的揭露设备中存在问题,H3C攻防团队曾对某款产品的智能摄像头做过一次详细测评,我们发现了设备中隐藏的安全问题:

  • 传输过程未加密

在H3C攻防团队测试过程中,发现该款智能家庭摄像头在传输过程中使用了一定的加密方式,采用了HTTPS协议对请求控制的内容进行传输加密。但是由于厂商对API接口的配置不当,造成了用户可以通过80端口与设备建立起连接,并对通信的数据包进行截获,修改请求的端口号就可以获得明文的数据。

  • 用户隐私泄露

在今年的RSA2016大会上隐私顾问Rebecca Herold表示,大量物联网设备发布,没有任何安全和隐私控制。设备泄露的隐私里面会包含用户的生活数据包括家里的温度、位置、光照等信息。最主要的还包括家庭内部的视频信息,通过对大量的智能家庭摄像头的使用和测试发现,大部分的智能家庭摄像头都存在绕过身份验证控制设备的问题 。 不仅如此,还有一部分的智能家庭摄像头在用户获得token之后,通过分析可以查看到用户和设备的对应关系, 修改设备标识,就可以横向越权控制其它用户的摄像头,看到摄像头中的内容。这样的操作是在远程并且没有任何感知的情况下就能完成了。这对于用户隐私的危害是非常大的。

  • 未存在人机识别机制

H3C攻防团队通过测试发现,智能摄像头由于未采用人机识别机制,在注册流程、找回密码流程等过程中,导致可以强制修改用户密码,从而获取摄像机的控制权限。整个过程中用户都毫无感知,因此对用户的隐私造成了巨大影响。

  • 未对客户端进行安全加固

H3C攻防团队团队在测试中还发现,该智能摄像头的手机APP端代码没有进行混淆,可以被轻易的逆向分析出源代码,对APP接口代码实现流程进行逆向分析,可以得到控制流程,登录流程方面的逻辑。这就造成可以通过APP而不需要设备就可以直接控制智能摄像头的目的。

  • 智能家居设备存在着硬件调试接口

目前智能设备安全措施包括身份认证、数据加密、反硬件调试等。攻击者接触智能设备后,可以通过物理调试接口对设备进行修改,进而达到攻击的目的;同时攻击者可以通过远程连接智能设备,通过暴力破解的方法攻破口令,进而控制智能家居设备。

  • 未存在远程更新机制

H3C攻防团队发现该款智能摄像头未存在远程固件更新机制,无法随时随地的给设备打补丁。因此摄像头即使出现了严重漏洞,也无法及时的修补该漏洞。从而设备产生的风险就需要由所有的用户来承担。

二、物联网相关安全建议

随着安全威胁的不断发展,以及我们对安全理解的不断加深,开始对安全的本质进行思考,正因为如此出现了基于木桶原理的安全防护体系。木桶原理简单的说就是整个系统的安全系数取决于最弱一环,即短板理论,因此整个安全体系的建设就是寻找整个网络的所有安全边界,然后对这些安全边界进行防护,避免安全短板的出现。

我们呼吁相关厂商在推出智能设备的同时,也应当将物联网设备的安全性放在更加重要的位置上。同时建立相关的防护体系,如:加强对身份的认证识别,增强数据传输过程中的加密体系,及时发现相关的漏洞,定时更新漏洞补丁;甚至可以提供相关云安全的解决方案,毕竟基于云+端+边界的安全模型可以很好的解决这一安全问题。例如华三的大安全的解决方案就能很好的做到这一方面的安全防护。

例如有针对云端的天机系列产品,针对端的IPS系列,针对边界的防火墙系列。这些产品能够很好的保障区域的信息安全。

另外,智能家居的使用者也需要对设备带来的风险有一定的认知,更加注重个人隐私安全。如何能够保障自己的智能家居设备的隐私不会泄露,这里给大家一些建议。

  • 首先消费者在购买时候要对所选智能家居的品牌进行一些调查,看看在互联网上能不能搜索到相关设备的一些漏洞。要选择一个安全问题少,口碑不错,价格合适的智能家居设备。
  • 在使用智能家居的时候,要注意设置一定强度的密码,并且及时关注智能家居设备软件的提醒。若发现软件频繁的提示收到短信验证码的信息,使用者就要及时修改相关密码。
  • 使用者要不定期登录智能家居的控制界面。若发现软件中设定的参数经常变动的情况,就需要提高自己的警惕,保障智能家居的控制权在自己的手中。
  • 提高使用者自身的安全意识,注意网络安全咨询,关注智能家居方面的安全资讯。即使设备出现了漏洞,也不要慌张,耐心等待厂家的软件版本更新。

结束语

随着物联网技术的飞速发展,物联网的应用领域必将会越来越大,这种趋势给人们的生产和生活带来极大便利的同时,也将面临着各类安全威胁。只有认清楚当前的安全威胁,才能从安全技术防范和法律两个方面着手,有效防止物联网中的信息在传输过程中出现安全问题,从而促进物联网健康快速发展,为人类社会做出突出的贡献。

分享到
关闭