随着万物互联时代的来临,越来越多的物联网(Internet of Things,IoT)设备接入到互联网上。据研究机构Gartner预测,2016年全球使用中的连网设备数量将达到64亿件,较2015年增加30%,到2020年更将达到208亿件。其中,以消费性用途的连网设备数量最大。那么如何强化这些连网设备,尤其是提升物联网设备的连网安全就显得尤为重要了。
今天物联网设备的数量日益激增
近年来,诸如网络摄影机、无线路由器、智能汽车与智能冰箱等连网设备频频被黑客攻击、控制的事情已屡见不鲜,造成个人信息与重要机密的外泄,损害不容小觑。而面对日益普及的物联网设备,研究人员分析了来自70多家厂商的超过4000个固件的嵌入式设备,其中包括互联网网关、路由器、调制解调器、IP摄像头、VoIP电话等产品。
通过分析这些设备的固件映像中有特点的加密密钥(公钥、私钥、证书)后,研究人员发现最常见的密钥是操控SSH服务器所必需的一种SSH主机密钥。这些密钥通常用来通过SSH和HTTPS访问物联网设备。
同时,在这4000个固件中发现大约有580个特别的私钥,而在580个密钥中有一组密钥是广泛地被重复使用的,其中有230个密钥是被经常重复使用的。
设备厂商应该确保物联网设备固件密钥使用的安全性
物联网设备上运行的固件的嵌入式密钥主要用于HTTPS和SSH连接,这种做法很有风险,会将最终的用户暴露在攻击者面前。攻击者可以很容易地找到密钥,从而进入数量惊人的共享物联网设备中。研究人员还发现了另外一个现象,许多连网设备在互联网上都可以通过不安全的配置直接访问。
实际上,对于终端用户来说,可以通过改变自己的物联网设备的SSH主机密钥和X.509证书来加强安全防护性,但是有些产品是不提供此种更改权限的,并且在多数情况下,用户也缺乏更改设置的技术知识。
因此,为了避免此种情况再次发生,设备厂商就十分有必要更换下重复使用加密密钥了,而且最好是确保每一个物联网设备都有自己独特的加密密钥。而对于互联网服务供应商来说,如果他们需要远程访问进行技术支持,那么他们就应该成立一个专门的具有严格的访问控制列表的VLAN管理。
a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。
粤公网安备 44030402000264号
