當前位置：物聯網 → 市場動態 → 正文

物聯網漏洞：得不到應有重視后患無窮

責任編輯：editor008 |來源：企業網D1Net 2014-09-10 09:27:53 本文摘自：eettaiwan

當前，“安全”這個詞，已經成為互聯網領域最令人關注的話題之一，安全性在傳統企業網路上就已經很難管理，現在又加上了各種大大(例如汽車)小小(例如網路攝影機、嬰兒監視器)的物聯網(IoT)裝置，而且打造這些裝置的廠商幾乎沒有網路安全意識。

連網裝置應用領域從中央監控系統(SCADAsystems)到消費性電子產品，隨著研究人員陸續公開重大缺陷，這些裝置的安全漏洞也在過去一年成為聚光燈焦點。有些受影響的產業第一次是透過所謂的“白帽”駭客，發現在汽車、心律調整器、道路交通系統、家庭自動化系統以及飛機等產品的弱點；而一個重大的轉變是，現在公共安全有一部分等同于上述那些產品。

有一些因為特殊用途所配備的功能實際上成為安全漏洞，例如有目的的后門(intentionalbackdoors)、硬式編碼憑證(hardcodedcredentials)、未加密的資料流量，以及與非關鍵系統位在同一個網路的關鍵系統。

為何不修補或是更新那些物連網裝置，或是把它們打造得更安全？要保護那些消費性電子產品以及其他嵌入式系統，還需要克服以下幾個大挑戰：

1.通常沒有一致性或官方的軟體更新程序/機制

在Windows平臺裝置上的惡意軟體最后都會被發現，物聯網裝置內部的“能見度”很低甚至是零，誰都看不見那些裝置內有什么，如果有更新、也看不見其韌體的可信賴度。

2.很多消費性產品以及其他非傳統性IT供應商，對嵌入他們系統中的網路威脅了解很少或根本不了解

多數嵌入式裝置制造商與安全性技術社群之間的隔閡甚深，那些裝置內的硬式編碼密碼、后門以及不安全的通訊協議，可能會讓攻擊者入侵并中斷船舶、飛機與軍事設施的通訊連結。

那些受影響的設備供應商根本沒有計畫來修補那些缺陷；有部分供應商還堅稱那些問題不是漏洞，只是他們的產品中非必要的功能。

安全產業發起了IAmtheCavalry、BuildItSecure.ly等計畫，期望能拉近與嵌入式裝置制造商之間的距離，那些“白帽駭客”們也能協助并研究如何更妥善的保障產品安全。

3.裝置的安全性通常缺乏可負責者

大多數消費性裝置的安全性該由誰來負責，往往沒有清楚的權限劃分，你問裝置制造商，他們也會說不知道；他們幾乎不會想到這個問題。

有些廠商只是透過官方網站發布韌體更新，而且端看消費者或使用者自己要不要下載安裝更新：有的安裝更新只有簡單說明，例如只告訴你要用USB纜線連結；我不認為裝置制造商認為他們應該要負責維護裝置的安全性。

4.許多裝置所配置或因特殊用途而建立的功能實際等同于安全漏洞