物聯(lián)網(wǎng)的使用已經(jīng)逐漸廣泛起來，在我們的家中可能就有物聯(lián)網(wǎng)設(shè)備，比如智能貓眼等。為增進(jìn)大家對(duì)物聯(lián)網(wǎng)的認(rèn)識(shí)，本文將對(duì)物聯(lián)網(wǎng)和物聯(lián)網(wǎng)的幾個(gè)薄弱攻擊點(diǎn)予以介紹。如果你對(duì)物聯(lián)網(wǎng)、物聯(lián)網(wǎng)安全具有興趣，不妨繼續(xù)往下閱讀哦。

一、物聯(lián)網(wǎng)

物聯(lián)網(wǎng)概念的問世，打破了之前的傳統(tǒng)思維。過去的思路一直是將物理基礎(chǔ)設(shè)施和IT基礎(chǔ)設(shè)施分開，一方面是機(jī)場、公路、建筑物，另一方面是數(shù)據(jù)中心，個(gè)人電腦、寬帶等。而在物聯(lián)網(wǎng)時(shí)代,鋼筋混凝土、電纜將與芯片、寬帶整合為統(tǒng)一的基礎(chǔ)設(shè)施，在此意義上，基礎(chǔ)設(shè)施更像是一塊新的地球。故也有業(yè)內(nèi)人士認(rèn)為物聯(lián)網(wǎng)與智能電網(wǎng)均是智慧地球的有機(jī)構(gòu)成部分。

不過，也有觀點(diǎn)認(rèn)為，物聯(lián)網(wǎng)迅速普及的可能性有多大，尚難以輕言判定。畢竟RFID早已為市場所熟知，但新大陸等擁有RFID業(yè)務(wù)的相關(guān)上市公司定期報(bào)告顯示出業(yè)績的高成長性尚未顯現(xiàn)出來，所以，對(duì)物聯(lián)網(wǎng)的普及速度存在著較大的分歧。但可以肯定的是，在國家大力推動(dòng)工業(yè)化與信息化兩化融合的大背景下，物聯(lián)網(wǎng)會(huì)是工業(yè)乃至更多行業(yè)信息化過程中，一個(gè)比較現(xiàn)實(shí)的突破口。而且，RFID技術(shù)在多個(gè)領(lǐng)域多個(gè)行業(yè)所進(jìn)行的一些閉環(huán)應(yīng)用。在這些先行的成功案例中，物品的信息已經(jīng)被自動(dòng)采集并上網(wǎng)，管理效率大幅提升，有些物聯(lián)網(wǎng)的夢想已經(jīng)部分的實(shí)現(xiàn)了。所以，物聯(lián)網(wǎng)的雛形就象互聯(lián)網(wǎng)早期的形態(tài)局域網(wǎng)一樣，雖然發(fā)揮的作用有限，但昭示著的遠(yuǎn)大前景已經(jīng)不容質(zhì)疑。

二、物聯(lián)網(wǎng)攻擊手段

攻擊面1：管理缺陷

管理缺陷導(dǎo)致的問題是安全的最大和最不可防范的問題。雖然是反映在技術(shù)上，比如弱口令、比如調(diào)試接口、比如設(shè)備LOG信息泄露等等但無一例外都是安全開發(fā)管理缺陷導(dǎo)致。

比如，產(chǎn)品設(shè)計(jì)的時(shí)候就沒有考慮到授權(quán)認(rèn)證或者對(duì)某些路徑進(jìn)行權(quán)限管理，任何人都可以最高的系統(tǒng)權(quán)限獲得設(shè)備控制權(quán)。

比如，開發(fā)人員為了方便調(diào)試，可能會(huì)將一些特定賬戶的認(rèn)證硬編碼到代碼中，出廠后這些賬戶并沒有去除。攻擊者只要獲得這些硬編碼信息，即可獲得設(shè)備的控制權(quán)。

比如，開發(fā)人員在最初設(shè)計(jì)的用戶認(rèn)證算法或?qū)崿F(xiàn)過程中存在缺陷，例如某攝像頭存在不需要權(quán)限設(shè)置session的URL路徑，攻擊者只需要將其中的Username字段設(shè)置為admin，然后進(jìn)入登陸認(rèn)證頁面，發(fā)現(xiàn)系統(tǒng)不需要認(rèn)證，直接為admin權(quán)限。

應(yīng)對(duì)措施：信息網(wǎng)絡(luò)安全需要在產(chǎn)品的各個(gè)流程中進(jìn)行，包括公司管理流程，在設(shè)備上市前進(jìn)行專業(yè)的產(chǎn)品安全測試，降低物聯(lián)網(wǎng)設(shè)備安全風(fēng)險(xiǎn)。

攻擊面2：通訊方式

通訊接口允許設(shè)備與傳感器網(wǎng)絡(luò)、云端后臺(tái)和移動(dòng)設(shè)備APP等設(shè)備進(jìn)行網(wǎng)絡(luò)通信，其攻擊面可能為底層通信實(shí)現(xiàn)的固件或驅(qū)動(dòng)程序代碼。

比如，中間人攻擊一般有旁路和串接兩種模式，攻擊者處于通訊兩端的鏈路中間，充當(dāng)數(shù)據(jù)交換角色，攻擊者可以通過中間人的方式獲得用戶認(rèn)證信息以及設(shè)備控制信息，之后利用重放方式或者無線中繼方式獲得設(shè)備的控制權(quán)。例如通過中間人攻擊解密HTTPS數(shù)據(jù)，可以獲得很多敏感的信息。

比如，無線網(wǎng)絡(luò)通信接口存在一些已知的安全問題，從攻擊角度看，可對(duì)無線芯片形成攻擊乃至物理破壞、DOS、安全驗(yàn)證繞過或代碼執(zhí)行等。

比如，以太網(wǎng)設(shè)備接口如wifi接口等都存在一些底層TCP/IP通信漏洞、硬件實(shí)現(xiàn)漏洞和其它攻擊向量。

比如，無線通信Bluetooth (and BLE)、ZigBee、Zwave、NFC、RFID、LoRA、Wireless HART，等等。

應(yīng)對(duì)措施：物聯(lián)網(wǎng)終端設(shè)備種類繁多，具體應(yīng)用場景豐富，通信方法多種多樣，而且在不斷變化過程中，這是物聯(lián)網(wǎng)安全最薄弱和最難以克服的問題。可以內(nèi)置安全機(jī)制，增加漏洞利用難度，廠商可以通過增量補(bǔ)丁方式向用戶推送更新，用戶需要及時(shí)進(jìn)行固件更新。

攻擊面3：云端攻擊

近年來，物聯(lián)網(wǎng)設(shè)備逐步實(shí)現(xiàn)通過云端的方式進(jìn)行管理，攻擊者可以通過挖掘云提供商漏洞、手機(jī)終端APP上的漏洞以及分析設(shè)備和云端的通信數(shù)據(jù)，偽造數(shù)據(jù)進(jìn)行重放攻擊獲取設(shè)備控制權(quán)。

應(yīng)對(duì)措施：建議部署廠商提供的整體安全解決方案。比如目前的IFAA技術(shù)方案如果應(yīng)用在物聯(lián)網(wǎng)上可以進(jìn)行安全的身份認(rèn)證，同時(shí)保護(hù)數(shù)據(jù)安全。再比如阿里主導(dǎo)下的ICA聯(lián)盟在這方面也作出了一些有益的工作。

以上便是此次小編帶來的物聯(lián)網(wǎng)相關(guān)內(nèi)容，通過本文，希望大家對(duì)物聯(lián)網(wǎng)已經(jīng)具備一定的了解。如果你喜歡本文，不妨持續(xù)關(guān)注我們網(wǎng)站哦，小編將于后期帶來更多精彩內(nèi)容。最后，十分感謝大家的閱讀，have a nice day!