網絡安全問題是物聯網最大的隱患
在互聯網上,安全行業通過促進和實現安全實踐來保護我們免受傷害。這些“內置”安全實踐包括相互認證,加密,安全協議和信任。但現實世界呢?事物互聯網(IoT)在大多數情況下都沒有使用類似的內置安全架構來創建。這是因為人們在連接和/或智能化之前很久才擁有許多事情。只有在2014年,賽門鐵克通過定義內置和螺栓安全組件之間的區別,在物聯網空間中對此術語進行了結構化。
使用內置組件,安全性是設備的重要組成部分,而螺栓組件則會在事件后添加這些安全功能。由于物聯網通過設備的人機界面影響物理世界,因此對互聯網連接的物聯網設備的攻擊不太穩定,安全性較低,不僅容易,而且更危險。
存在Shutterstock
在建筑物中,我們信任智能傳感器來管理關鍵的日常任務,如開燈,檢測空氣和水質的威脅,以及管理熱量和通風。從螺栓角度來看,添加一個具有因特網功能的網絡架構似乎是一個無害和有用的功能,以實現更高的連接性。
不幸的是,這些傳感器和控制器不是設計為暴露在建筑物的控制系統連接到互聯網時出現的威脅。如果沒有所需的基礎安全架構,這些安全架構在互聯網上安全地運行,就會增加潛在的攻擊源并使其多樣化。
傳統互聯網安全對于物聯網來說仍然很重要,但還不夠遠。設計正確的身份驗證,授權,計費,加密,入侵檢測,軟件簽名和信任模型可促進在線設備之間的交互。但是,在智能烤箱,智能鎖,連接鞋和鍛煉服裝等相關事宜中,鏡像和增強這些機制需要非常小心。安全漏洞可能對用戶造成即將來臨的身體威脅。
例如,2017年,研究人員在購物廣場中使用聯網的低分辨率相機來收集用于解鎖Android手機的滑動模式的數據,并發現一組可能的模式,可以在一半以上的測試用例中解鎖手機。
最重要的是,這種攻擊并不是針對特殊的高端智能相機而開發的。它通過從許多常見的低分辨率,消費級攝像機獲得足夠的不同數據來實現。如果攻擊者可以訪問用戶的手機,并且僅通過滑動模式進行保護,則攻擊者可以訪問所有用戶的個人數據,其中IoT包括家庭自動化,車輛保護和健康監控系統。
在物聯網中,攻擊不僅僅是一個隱喻-它是物理世界中的一個實際的攻擊。這些也可以在沒有攻擊者甚至在線的情況下進行身體啟動,也不知道如何安裝合法且易于使用的數據包嗅探應用程序。例如,想象一下,公共建筑中的一個連接有IoT的運動檢測器,其中有惡意意圖的人物理地進入建筑物,并有意地觸發傳感器,同時嗅探無線網絡以捕獲在檢測到運動時發生的加密的無線通信。
這個人可以將這些數據存儲到移動設備中,并且收集足夠的數據來構建加密通信的存儲庫。然后,他們可以創建比原來幾乎無限排列的加密密鑰更小的加密密鑰,與此同樣,AlanTuring利用可憐的謬誤,在第二次世界大戰期間利用一組縮寫或天氣評論來終止安全通信。
能夠推斷特定數據包來自運動事件在某一時間是將良好加密的數據結構降低到易用易讀的代碼中的關鍵。并且通過訪問數據包頭和結構,對其他建筑系統(如電力和熱能)的惡意攻擊成為可能-所有這一切都是因為一個人下載了一個應用程序并在運動傳感器前面前后擺放了幾分鐘。
奧地利酒店最近的一個活動突出了另一種類型的具有IoT功能的黑客.鎖酒店門索要贖金而人里面,和有效的價格點設計,黑客利用一個商業系統,過分信任網絡的鑰匙,沒有物理按鍵的解決方法或旁路的方法。黑客以這種方式獲得了訪問脆弱系統的大量支出。
在這種情況下,安全修復將是簡單的。防止這種攻擊涉及編程電子鎖禁用和默認的機械故障。這是一種低成本、低投入的預防措施,但它要求工程師認為安全先發制人和經常在舊的方式,如,“我們怎么安全的東西才是相連的,”,“如何連接的東西是最高級別的安全我們新的網絡模型內建的?”
IBM最近展示了這些物理因素的重要性,通過執行一個匿名的智能辦公樓的“道德黑客”。使用傳統的黑客技術,該公司無法獲得全面訪問樓宇的控制和自動化系統。但開車經過大樓,并連接到該大樓的本地網絡,他們能夠完成這項工作。如果肉體被考慮,這個假設的黑客是不可能的。
而不是抑制膨脹,內置的物聯網安全模型表明,物理安全提供了更高層次的網絡保護的基礎。有了這個基礎,更安全和更廣泛的互動與互聯網連接的東西是可能的。