隨著萬物互聯時代的來臨,越來越多的物聯網(Internet of Things,IoT)設備接入到互聯網上。據研究機構Gartner預測,2016年全球使用中的連網設備數量將達到64億件,較2015年增加30%,到2020年更將達到208億件。其中,以消費性用途的連網設備數量最大。那么如何強化這些連網設備,尤其是提升物聯網設備的連網安全就顯得尤為重要了。
今天物聯網設備的數量日益激增
近年來,諸如網絡攝影機、無線路由器、智能汽車與智能冰箱等連網設備頻頻被黑客攻擊、控制的事情已屢見不鮮,造成個人信息與重要機密的外泄,損害不容小覷。而面對日益普及的物聯網設備,研究人員分析了來自70多家廠商的超過4000個固件的嵌入式設備,其中包括互聯網網關、路由器、調制解調器、IP攝像頭、VoIP電話等產品。
通過分析這些設備的固件映像中有特點的加密密鑰(公鑰、私鑰、證書)后,研究人員發現最常見的密鑰是操控SSH服務器所必需的一種SSH主機密鑰。這些密鑰通常用來通過SSH和HTTPS訪問物聯網設備。
同時,在這4000個固件中發現大約有580個特別的私鑰,而在580個密鑰中有一組密鑰是廣泛地被重復使用的,其中有230個密鑰是被經常重復使用的。
設備廠商應該確保物聯網設備固件密鑰使用的安全性
物聯網設備上運行的固件的嵌入式密鑰主要用于HTTPS和SSH連接,這種做法很有風險,會將最終的用戶暴露在攻擊者面前。攻擊者可以很容易地找到密鑰,從而進入數量驚人的共享物聯網設備中。研究人員還發現了另外一個現象,許多連網設備在互聯網上都可以通過不安全的配置直接訪問。
實際上,對于終端用戶來說,可以通過改變自己的物聯網設備的SSH主機密鑰和X.509證書來加強安全防護性,但是有些產品是不提供此種更改權限的,并且在多數情況下,用戶也缺乏更改設置的技術知識。
因此,為了避免此種情況再次發生,設備廠商就十分有必要更換下重復使用加密密鑰了,而且最好是確保每一個物聯網設備都有自己獨特的加密密鑰。而對于互聯網服務供應商來說,如果他們需要遠程訪問進行技術支持,那么他們就應該成立一個專門的具有嚴格的訪問控制列表的VLAN管理。
京公網安備 11010502049343號