物联卡()讯:根据Gartner公司的调查,到2020年,家庭和企业用户将使用140亿多台物联网设备。鉴于微软公司发布的消息,现在是审查固件中的安全风险的时候了。固件是为物联网设备的硬件提供低级控制的特定软件类别。固件安全被广泛认为是一个紧迫的网络安全问题,它是黑客用来在网络中立足的无保护的常见攻击面。不安全的物联网设备本质上是一个没有上锁的大门,这意味着一旦攻击者控制物联网设备,就可以侵入到任何公司的网络中。
黑客积极利用物联网安全的弱点,而不是攻击设备本身,并将其作为各种恶意行为的起点,这些恶意行为可能包括分布式拒绝服务攻击、恶意软件分发、垃圾邮件、网络钓鱼、点击欺诈,以及信用卡诈骗等等。因此,在设备漏洞导致企业的收入损失、诉讼、公司声誉受损之前,需要了解8个最常见的固件漏洞,以确保企业网络没有敞开大门。
1.调试服务:物联网设备测试版中的调试信息为开发人员提供了设备的内部系统知识。不幸的是,调试系统通常留在生产设备中,使黑客能够访问设备的相同内部知识。
2.开源代码:开源平台和库使复杂的物联网产品得以快速发展。然而,由于物联网设备经常使用第三方开放源代码组件,这些组件通常具有未知或未记录的源代码,因此固件经常被保留为无法抵御黑客的未受保护的攻击面。通常,只需更新到最新版本的开源平台就可以解决这个问题,但许多设备已经发布,其中包含已知漏洞。
3.缓冲区溢出:当对固件进行编码时,如果程序员使用不安全的字符串处理函数,可能会导致缓冲区溢出,这将会出现问题。攻击者花费大量时间查看设备软件中的代码,试图找出导致不稳定的应用行为或漏洞,从而打开安全漏洞的路径。缓冲区溢出可以允许黑客远程访问设备,并且可以实现创建拒绝服务和代码注入攻击。
4.加密密钥:当以易于被黑客攻击的格式存储时,如20世纪70年代首次引入的数据加密标准(DES)的变体,加密密钥可能给物联网安全带来巨大问题。尽管已经证明数据加密标准(DES)安全性不足,但它仍然在使用。黑客可以利用加密密钥窃听通信,获取对设备的访问权限,甚至可以创建可以执行恶意行为的恶意设备。
5.哈希密码:大多数设备中的固件包含用户无法更改的硬编码密码或用户很少更改的默认密码。两者都导致相对容易利用的设备。2016年,Mirai僵尸网络在全球范围内感染了250万多台物联网设备,利用物联网设备中的默认密码执行DDoS攻击,Netflix、亚马逊和纽约时报等一些大公司都遭到了这样的攻击。
6.隐藏后门:在固件方面,隐藏后门是黑客最喜欢利用的漏洞。后门是植入嵌入式设备中的有意漏洞,可向任何具有“秘密”身份验证信息的人提供远程访问。虽然后门可能有助于客户支持,但当恶意行为者发现后门时,它们可能会产生严重后果。而黑客很擅长发现它们。
7.弱认证:当固件具有弱认证机制时,威胁参与者可以轻松访问设备。这些机制的范围可以从单因素和基于密码的身份验证到基于弱加密算法的系统,这些算法可以通过暴力攻击进行破解。
8.未经身份验证的访问:固件中最常见的漏洞之一,未经身份验证的访问允许威胁参与者获得对物联网设备的访问权限,从而可以轻松利用设备数据及其提供的任何控制。
总结,物联网的快速发展,发展必定会伴随着安全的问题。当物联网产品快速推向市场的时候,会有很多黑客破解物联网产品来提高自己的优越性。企业可以尽快利用物联网部署的诸多优势,并且不会对其安全性担忧。
