2015 年我们面临的 4 项物联网安全挑战

随着物联网 (IoT) 和连接设备的迅速普及和吸引力，安全性已成为人们关注的焦点。安全是“智能”设备的事后考虑的日子已经一去不复返了。今天，安全问题是开发人员最关心的问题。开发人员正在接受培训以应对物联网安全挑战，并且在 Blackhat 社区中宣传了更多关于利用这些类型设备的信息。 Blackhat 2015 甚至还有一个分会，旨在提取、分析以及出于所有意图和目的对物联网设备进行黑客攻击，目的是培训开发人员如何防止物联网安全漏洞。

在 Link Labs，我们认为 物联网社区在 2015 年面临四个重要的安全挑战 ，我们在这里总结了它们。

另见： 物联网安全的 2 个方法

1.在没有适当安全性的情况下，在局域网 (LAN) 上添加了启用 Wi-Fi 的设备。

这是物联网安全的最大威胁。如果在没有企业级安全协议的情况下允许基于 TCP/IP 的端点在 LAN 上使用，就会涉及很大的风险。

为了说明物联网产品如何（并且确实）发生这种情况，假设有人购买了带有 Wi-Fi 模块的设备，该设备将他们的普通鱼缸变成“智能”鱼缸。如果有人购买了该产品并允许在他们的 LAN 上使用，那么他们现在已经允许在防火墙后面存在潜在的恶意端点。

问题是：防火墙和 NAT 是网络抵御直接主机攻击的第一道防线，如果您在 LAN 中添加一些东西，它已经在防火墙后面。一旦安装了这个智能鱼缸设备，它就可以伸出手并连接到恶意服务器。这个过程被称为“反向隧道”，因为防火墙内部的设备可以通过防火墙进行出站连接，并且比入站连接更容易打开套接字连接。防火墙不会阻止大多数出站请求，否则将很难使用大多数应用程序。

糟糕的软件并不是这里唯一的挑战——坏人也可能在起作用。换句话说，智能鱼缸的创造者可能怀有恶意，他们可能想利用他们可以接触到的每一个网络。物联网产品根本没有强大的操作系统 (OS) 安全性的好处。大多数主要操作系统（例如 Apple 和 Microsoft 创建的那些操作系统）都使有人很难利用系统，即使是从 LAN 内部。这并不意味着它不能定期发生，但它更难。但是对于物联网产品——因为大多数产品运行的是不太复杂的操作系统——消费者唯一需要依赖的是向他们出售支持 Wi-Fi 的设备的人是出于善意这样做的。

2. IoT 端点的可升级性和可修补性存在问题。

Mac 和 Windows 操作系统的优点之一是它们完全配置并定期更新。它们都具有自动升级功能，因此当您的计算机操作系统因安全漏洞而需要修复时，它可以自动进行更新或“修补”。

对于物联网设备，销售它们的公司有责任针对任何类型的补丁相关安全漏洞制定机制。问题是，这可能会也可能永远不会发生。这不是一个新问题——但它仍然是一个问题。 （事实上​​，网络设备行业已经处理——并且仍然 处理——同样的问题，有时路由器等，有漏洞，在出现安全问题之前没有得到修补。）

在 VentureBeat 的这篇文章中，作者 Michael Coates 说“有效的补丁部署是物联网的一个大问题”。他解释说，一些安全漏洞不会被注意到，但其他的会被发现——消费者会要求一个解决方案。他接着解释了这样的场景可能会如何发展——以及为什么会令人不安：

“在这些情况下，制造商可能会争先恐后地发布补丁。但是然后呢？补丁是如何实际传送到设备的？是否会要求所有客户重新启动烤箱、汽车或心脏起搏器并完成更新过程？或者更新的软件只会在实体产品的下一个版本中提供？这意味着客户在购买新的烤面包机、婴儿监视器等之前不会打补丁。不幸的是，我们目前在物联网方面的挑战之一是，即使发布了补丁，也没有有效的渠道来接触大多数设备及时。”

归结为：添加到 LAN 的内容越多，安全问题就越大。我们仍然希望业界能够围绕物联网设备安全补丁的预期制定某种标准。

3.在保护物理访问方面出现了问题。

让我们回到我们的智能鱼缸应用程序的例子。消费者通常不会考虑这一点，但对于任何物理设备，黑客都有可能操纵它并进入暴露的 USB 端口或调试器接口。如果有人能够成功地在嵌入式级别入侵物联网设备的内存并读取加密密钥，那么每台已发货或已发货的设备都会受到攻击。这对消费者和整个行业来说都是一个真正的问题。

4.开发者和消费者大肆宣传。

由于围绕物联网的新闻如此频繁和激烈，公司迫切需要更快地将其物联网设备推向市场。虽然当前的炒作一方面是在推动创新，但同时也让开发人员面临紧迫的时间表。当时间紧迫，所有努力都集中在快速部署上时，安全可能会成为事后的想法。发生这种情况时，物联网设备可能会以加密不佳、操作系统未打补丁等情况进入市场。

您可以看到物联网安全如何成为它自己的学科，并且与标准网络安全一样重要。物联网已经离开了发展的“早期阶段”，随着其成为主流，保护消费者信息安全成为了责任。产品开发者和消费者正在并且需要认真对待这些问题。