本文目录一览:
物联网设备受到攻击损失的仅是信息吗?
路由器高危漏洞致德国百万用户断网、黑客入侵15万台打印机、智能泰迪熊玩具泄露200多万条亲子聊天记录……与物联网设备漏洞相关的黑客攻击一再发生,使得国外对物联网设备的安全风险有所警觉。美国联邦调查局曾警告家长,互联网玩具有泄露隐私的风险,黑客可以通过攻击互联网玩具来获得孩子的姓名、地点等个人信息。
针对物联网设备攻击的危害远不止于数据失窃那么简单。安全研究人员演示了如何将勒索软件安装到家庭的智能恒温器上。他们甚至可以将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。他们还能对联网的车库门、车辆甚至家电发动类似的攻击。随着无人驾驶日益普及,黑客可以控制车辆,换广播电台、开启雨刷器、逼停车辆乃至引发交通事故。更令人担心的是,黑客有可能攻击植入人体且具有无线功能的医疗器械,借以危害人体健康。
国际权威咨询公司高德纳预测,2020年全球物联网设备数量将高达260亿件,解决物联网设备的安全防护问题已是刻不容缓。来源:央广
解密,黑客到底如何对物联网进行攻击
谁会想要攻击智能家居?原因为何?这么做对黑客有何好处?由于物联网 IoT ,Internet of Thing)装置有别于 PC 和智能手机,并非全都采用相同的操作系统 (至少目前市场现况是如此)。然而这一点小小的差异,就会让黑客更难以发动大规模的攻击。除此之外,想要破解物联网装置的安全机制也需要相当的知识和适当的工具。
近年来,信息安全研究人员早已证明智能装置确实可能遭到黑客入侵。当初研究人员骇入这些装置的用意,只是希望引起厂商们注意产品的安全性。
但就在去年,趋势科技研究人员以实验证明黑客确实能够从远程撷取智能车辆的数据,甚至篡改自动化油表的油量。为了降低伤害的风险,这些实验都是在控制的条件下进行,但歹徒可就不会这么体贴。
现在我们已知道物联网装置有可能遭骇,那么,歹徒骇入这些功能单纯的家用智能装置要做什么?以下列举了一些可能攻击物联网的非典型嫌犯,以及他们的动机和他们攻击智能家居的机率有多大。
网络犯罪集团
对网络犯罪集团来说,其攻击的动机永远都是为了钱。随着越来越多物联网 装置进入家庭当中,网络犯罪集团盯上这些装置以及这些装置所连接的智能家居网络是迟早的事。网络犯罪集团一旦骇入智能家居网络,他们就可能发动勒索病毒攻击或者将装置锁住来勒索赎金。此外,他们也可能窃取敏感的用户数据,然后用来勒索被害人,或者拿到地下市集贩卖。
不肖分子
不肖分子很少有正当的攻击动机,他们总是大费周章地试图得到他们想要的。对这些人来说,他们有可能利用家庭物联网装置来跟踪、尾随、伤害受害人,甚至恶意破坏竞争对手的生意来取得优势。
黑客激进分子
不论是为了宣扬政治理念、表达不满,或者动员人群以达到某种目的,黑客激进分子向来偏爱能够让他们制造最大宣传效果的管道。随着越来越多人开始拥抱智能家居,黑客激进分子很可能会考虑利用这些装置来扩大他们的地盘。
政府机关
当牵涉到国家安全和个人隐私权时,政府对人民的监控一向是个引起争议的话题。媒体一再爆料,政府机构经常为了国家和人民安全的理由而监听私人通讯以追查可疑嫌犯。因此,一些具备声音和视讯传输功能的智能家居装置就可能成为政府机关用于监控国家安的工具。
恐怖分子
尽管恐怖分子的主要目标是散播恐惧,但他们不太可能会利用智能家居装置来达到这项目的。但随着各式各样的企业都在营业系统和重大基础架构当中导入物联网技术,恐怖分子应该会盯上这些更有效果的攻击目标。
企业机构
严格来说,企业机构不算是黑客,但每当有厂商推出全新的热门物联网装置时,就会引起社会大众某种程度的不安。这通常都和隐私权有关。因此,正在考虑购买的客户,就会想要知道这些智能装置用起来到底安不安全。凡是会经手客户信息的任何企业,都必须坦白说明他们会搜集何种资料、如何搜集、储存在哪里、用途为何,以及还有谁会存取这些数据。若未正确告知客户这些相关细节,就是厂商的不对。
安全物联网应用易受到哪些攻击 伪造虚假传感器数据
一大挑战是物联网设备会彻底跳过防火墙建立与第三方服务的长期连接,有的甚至表面上都不为企业所知。安全服务咨询公司Rapid7负责战略服务的资深安全顾问Mark Stanislav说,“企业部署现成物联网服务应考虑那些设备拥有的网络访问的层级,有多少数据进行传输,开发此设备的组织在信息安全方面的成熟度如何等。”
如果物联网设备被盗用,大多数组织基本上不要指望能知道发生了什么,因为对物联网软件和硬件的内部工作机制的了解非常有限。大部分这些物联网设备都能给可危害单台设备的攻击者提供很大的能力,然后再逐步渗透到整个网络,如果网络没有正确保护或者分段的话。“数据,无论是视频、音频、环境或其他敏感信息,往往都可以通过受入侵物联网设备盗取出去,可能还会为犯罪分子提供组织有价值的信息来利用,” Stanislav补充道。
保护物联网最大的不同在于要跳出防火墙去思考,因为物联网意味着与公共互联网的连接。物联网分析服务提供商Keen IO的联合创始人兼CTO Daniel Kador说:“问题不是如何防止设备受入侵,这是肯定会的。而是当这种事情发生时如何去处置。
常见的“网络安全”问题有哪些?
网络安全问题分为很多类,比如说系统安全,web安全,无线安全,物联网安全等等。就我个人学习而言,我是学习web安全的,所谓的web安全也就是我们常见的网站安全。
web安全:当网站源码的程序员对源码编写的时候,没有给赋值的参数进行过滤,那么会产生很多安全漏洞,比较常见的漏洞就是SQL注入漏洞,XSS漏洞,文件包含漏洞,越权漏洞,等等。其实这些漏洞很容易杜绝,但是程序员因为懒惰所以铸成大错,当然,在服务器配置方面也会出现漏洞,比如说常见的,目录遍历,敏感下载,文件上传,解析漏洞等等。都是因为服务器的配置不当而产生的,产生这些漏洞非常容易让攻击者获得想要的数据,比如说网站管理员的账号密码,如果漏洞严重,可以直接提权服务器,拿到服务器的shell权限。