导读:本篇文章首席CTO笔记来给大家介绍有关物联网困境有哪些风险隐患的相关内容,希望对大家有所帮助,一起来看看吧。
物联网的信息安全问题主要体现在哪几个方面
物联网一般都具有唯一性,其实像近几年出现的一些东西,像二维码都具有唯一性,还有射频识别,这些都确保了信息的安全性,这些都涉及到物联网频射方面的技术。另外,举个例子,在电影里你会看到一些片段,一些密码什么的会通过扫描你的眼睛,识别指纹这些的属于物联网。我是物联网专业的学生,回答有不满意的地方请见谅。
物联网的困境是什么?
物联网三大困境:规模局限、功能局限、互通局限。物联网平台“没有商业模式”背后,是连接规模、平台功能、互联互通等三方面的局限综合导致的。
虽然各大市场研究机构都给出了十分乐观的物联网设备连接数量和增长速度,但受制于物联网自身的碎片化,设备种类多且杂乱,对接平台的标准和协议缺乏高效统一;同时,因平台定义太过宽泛,数量巨大,因此对于一家平台而言,很难轻易享受到如此巨量的终端红利。
根据不断更新的物联网平台定义,它所具备的功能包括: ICP(基础设施云服务平台)、CMP(连接管理)、DMP(设备管理平台)、AEP(应用使能平台)、BAP(业务分析平台)等。其中,越往后其入门槛越高,对技术和运营也提出更高要求,也更偏向于垂直行业的深入,在产业链中价值也相应拔高。但是,目前全球超过 400 多家的平台商中,真正具备 AEP 和 BAP 能力,给软硬件开发带来技术福利、给企业业务优化升级带来实质洞见者,或许不到一成。大量只具备连接管理和设备管理的平台都被冠以“物联网平台”之名,如果没有规模支撑,它们正是平台这一轮大浪淘沙中最先被淘汰的一批。
此外,物联网设备与平台的互联互通(实质平台之间互通)问题,也是制约其规模爆发的大难题。对于大多数通用型物联网平台而言,虽然所提供功能和价值趋同,但接入协议和方式并不相通(当然,除技术问题外,更多的是基于商业利益考量)。这就导致物联网设备商/软件服务商只能将其业务“绑定”在单一云平台上,与上下游的合作减少了选择,增大风险。若要再接入其他平台则又需投入一次开发成本,对于“简化”企业数字化转型而言,实为南辕北辙。
物联网设备安全的隐患有哪些
针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密HTTPS数据,可以获得很多敏感的信息。
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
结语:以上就是首席CTO笔记为大家整理的关于物联网困境有哪些风险隐患的全部内容了,感谢您花时间阅读本站内容,希望对您有所帮助,更多关于物联网困境有哪些风险隐患的相关内容别忘了在本站进行查找喔。