不要相信炒作：物联网为何停滞不前

Pen Test Partners 的 Ken Munro

如果要经历炒作周期，我们几乎肯定会在物联网幻灭低谷的边缘摇摇欲坠。最近的研究声称 60% 的测试部署都失败了。但是，虽然一些试点项目可能已经步履蹒跚，但部署中的设备重量还没有表明我们已经达到顶峰。相反，采用本身似乎步履蹒跚。

物联网的采用并没有取得预期的成功，这归结为许多问题。首先，设备的物联网支持不一定保证这种额外的连接。 Pen Test Partners 的合伙人 Ken Munro 说，以调节喂食、水温和质量的物联网鱼缸为例 .

这听起来像是一种节省人力的设备，但最终它看到安装了坦克的赌场向芬兰的设备丢失了 10GB 的数据。物联网安全并不止于设备。这说明此类设备正被用于在网络上创建可利用的后门，从而窃取凭据和数据。

寿命问题也阻碍了采用，设备经常更换而不是更新，导致用户质疑投资的可行性。那么问题来了，制造商是否有资源来解决可能出现的任何问题？

安全漏洞会随着时间的推移而出现，如果确实发生了并且您的设备需要修补，制造商是否会投入所需的时间来监督这一点或否认有罪，甚至撤回支持？

泄露的细节

保护现有的安装基础是制造商真正头疼的问题。如果您仔细阅读 Shodan 网站，您会看到大量部署的物联网设备（甚至是工业控制系统），其中包含有关 IP 地址、运行的操作系统和所用软件版本的详细信息。 FCC 还发布了即将发布的物联网设备的原理图，并附有电路图，供想要近距离了解的人使用。

在许多情况下，攻击者可以从 Shodan 识别设备，只需获取默认凭据即可访问。我们曾经在社交媒体网站上发现了一个由技术人员在社交媒体网站上发布的全年每日登录凭据的便捷“超级密码”列表。显然，供应链的安全性往往是松懈的，这个案例说明了获取“机密”数据是多么容易。

面对这些困难，制造商现在正在寻求将数据出售给第三方。这在商业上可能是有意义的，但它进一步损害了用户群的安全性和隐私。例如，如果您是物联网吸尘器的用户，它可以看到您办公室的平面图。如果这些信息进入黑市怎么办？建筑管理系统 (BMS) 数据可能特别有用。想想如果攻击者将勒索软件置于智能恒温器上，可能会发生勒索。

解决问题

你们中间的愤世嫉俗者会质疑最终用户是否不应该也承担一些责任，确实很少有人在设置时重新配置设备。这部分是因为这样做可能非常困难。如果您成功了，您是否还更改了用于控制设备的移动应用程序或网络应用程序的默认 PIN？考虑到四位或六位数字的 PIN 码需要几个小时才能破解，这是否值得这样做仍然值得怀疑。

当前缺乏信心只能归因于安全性差，这意味着制造商需要提高竞争力。他们需要关注安全的移动应用程序开发、强大的会话管理和 Web 服务加密、所选无线标准的安全实施，以及在设备本身上禁用未使用的功能，如串行端口或调试端口，应用混淆技术并实施安全密钥存储，而固件应加密和签名。

遗憾的是，在供应商开始优先考虑安全性之前，物联网的采用将步履蹒跚。只需要另一次大胆的恶意软件攻击，可能是通过端口 80 等通用接口，就会不可挽回地破坏吸收。目前，该行业需要专注于建立信任，这意味着采用自我强加或立法监管。

此博客的作者是 Pen Test Partners 的合伙人 Ken Munro