物联网的安全还不够严格

包括Wilson sports Goods在内的所有商家都能在物联网上分一份份。该公司周一发布了一款蓝牙足球,它能捕捉到足球在空中的表现数据,并将其传输到一个智能手机应用程序上。

但同样在周一,Trustwave SpiderLabs的一名安全研究员在博客中提到了一个漏洞,这个漏洞是他去年12月从制造商特灵(Trane)处购买的一个新炉子的一部分智能恒温器中发现的。

Wi-Fi Comfortlink XL850恒温器上的用户名和密码凭据被硬编码到固件中,无法更改。它还保持打开一个TCP端口。结合起来,攻击者可以远程访问设备,不仅可以做一些无害的事情,比如改变家里的温度,还可以访问聊天和警报历史记录、激活的套接字连接、可信的url、秘密id、详细的地址和安装程序信息。

此外,攻击者可能还能判断出何时有人不在家。

此外,Trustwave发现,恒温器Nexia移动平台的大量源代码可以在开发者的公开交流平台Github上找到,其中包括加密密钥、证书等软件的敏感信息。

同样糟糕的是,Trustwave花了大约两个月的时间才找到Trane公司的人,通知他们这个问题,并进行修复。

最终,特灵的母公司英格索兰公司的开发人员意识到了这些漏洞,并发布了软件更新——同时也改进了他们的缺陷通知程序——这就是为什么Trustwave现在能够公布这一事件的原因。

Trustwave负责威胁情报的安全研究经理卡尔·西格勒(Karl Sigler)在接受采访时说,“一开始这有点像一个恐怖的故事,但最后却有了一个皆大欢喜的结局。”“这是一个关于作为一个iot开发组织如何实际处理这些漏洞的警示故事。”

对于许多组织来说,Internet是一个黄金机会,但对于it安全专业人员来说却是一个噩梦。随着公司冲……

CISOs有很多事情要做,但所谓物联网的扩张只会增加他们的……

没有人怀疑所谓的物联网将在未来十年呈指数级增长。但是,一个…

记者周一无法联系到Trane的发言人置评。

对于生产物联网设备(从足球到医疗设备)的公司以及使用这些设备的组织来说,物联网安全是一个相对较新的领域。不仅需要确保数千台设备的安全,还需要确保它们收集的数据在网络上运行。与企业数据不同,如果没有安全的物联网设备和数据,可能会危及生命,影响汽车操作、停车灯、电网和起搏器。

Forrester Research的梅里特•马克西姆(Merritt Maxim)表示,安全对开发者来说并不新鲜,但“在很多情况下,意识和行动是两码事。”“急于将产品推向市场”足以抵消安全方面的担忧。

企业战略集团(Enterprise Strategy Group)的安全分析师乔恩•奥尔提克(Jon Oltsik)表示,许多工业物联网设备制造商已经意识到了这一点,并在自己的设备中增强了弹性。然而,在其他行业,物联网的安全考虑仍然缺乏。在医疗行业和消费品行业尤其如此。多年来,我们目睹了胰岛素泵和汽车等设备的改造。情况正在好转,但这些行业仍然落后。”

在今年早些时候发布的一份关于物联网安全的报告中,美国电话电报公司(AT&T)说:“物联网生态系统已经成为黑客和其他网络罪犯的数字培养皿,他们渴望探索新的薄弱环节。”在过去两年中,AT&T的安全运营中心记录到,客户物联网设备的漏洞扫描增加了458%。

与iot相关的恐怖故事层出不穷:

-今年6月,安全供应商Securi Inc.描述了一个僵尸网络,它利用数千个联网的视频监控摄像头发起了有针对性的分布式拒绝服务攻击。

去年12月,乌克兰一家电力公司遭到恶意软件攻击,导致140万人断电数小时。

-美国电话电报公司的报告称,2014年,网络钓鱼攻击允许攻击者窃取员工登录信息,致使德国一家钢厂的高炉遭受“巨大破坏”。

一个问题是没有物联网安全标准,尽管一些组织正在制定。例如,开放连接基金会,一个包括思科系统、英特尔、高通、GE数字、三星、微软、IBM和其他几十家公司在内的行业组织,正在研究互操作性和安全标准。今年6月,它发布了一个1.1规范草案,其中包括一个108页的安全规范,涵盖了到应用服务器的网络连接、数据加密和访问控制。

美国国家标准与技术研究所(NIST)刚刚发布了一个模型,以帮助开发人员和网络架构师理解物联网系统的构建模块,包括安全性。

但美国电话电报公司的报告警告说,高管们不能坐等标准确立下来。“你们现在采取的保护物联网设备的措施,将直接影响你们在物联网经济中与客户和合作伙伴开展业务的能力。”

设计是很重要的。例如,谷歌称其Nest恒温器安全栈拥有特定于应用程序的加密密钥。因此,有人不能通过破坏你的天井灯来打开你的前门。基本的安全——包括评估风险、网络分割、加密、没有默认密码——也会发挥作用。当然,区别在于规模。

除了设备安全之外,物联网的创造者和用户还必须决定需要收集多少可识别个人身份的数据。为此,他们可以依赖由前安大略隐私专员Ann Cavoukian首先详细介绍的Privacy by Design方法。

另一个困难是物联网设备的规模,对一些组织来说可能是成千上万。这造成了大规模的安全问题。“物联网的问题并不是“T”,它是“我,”Forrester的格言说,因为黑客可以利用物联网设备发动大规模攻击一个公司的基础设施和其他公司的资源,这就是为什么他认为身份和访问控制物联网数据需要加密。

在《Maxim》合著并于5月发布的一份报告中,Forrester表示,安全领导者必须将物联网的访问管理视为一个专门领域,而不是简单地将其视为移动设备、笔记本电脑和台式机的传统IAM流程的扩展。Forrester还建议,设备制造商必须为面向企业物联网的设备提供强化的IAM api。

最后,我们不要忘记Trustwave报告的bug报告问题。设备制造商应该有一个正式的流程和公开可用的资源(电话号码、网站)来报告漏洞。

AT&T的报告称:“通过战略上接近iott,并将安全作为每一个连接设备的核心,你的组织就可以开始获取新的业务价值,同时也可以控制潜在的风险。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。