在互联网上,安全行业通过促进和实现安全实践来保护我们免受伤害。这些“内置”安全实践包括相互认证,加密,安全协议和信任。但现实世界呢?事物互联网(IoT)在大多数情况下都没有使用类似的内置安全架构来创建。这是因为人们在连接和/或智能化之前很久才拥有许多事情。只有在2014年,赛门铁克通过定义内置和螺栓安全组件之间的区别,在物联网空间中对此术语进行了结构化。
使用内置组件,安全性是设备的重要组成部分,而螺栓组件则会在事件后添加这些安全功能。由于物联网通过设备的人机界面影响物理世界,因此对互联网连接的物联网设备的攻击不太稳定,安全性较低,不仅容易,而且更危险。
存在Shutterstock
在建筑物中,我们信任智能传感器来管理关键的日常任务,如开灯,检测空气和水质的威胁,以及管理热量和通风。从螺栓角度来看,添加一个具有因特网功能的网络架构似乎是一个无害和有用的功能,以实现更高的连接性。
不幸的是,这些传感器和控制器不是设计为暴露在建筑物的控制系统连接到互联网时出现的威胁。如果没有所需的基础安全架构,这些安全架构在互联网上安全地运行,就会增加潜在的攻击源并使其多样化。
传统互联网安全对于物联网来说仍然很重要,但还不够远。设计正确的身份验证,授权,计费,加密,入侵检测,软件签名和信任模型可促进在线设备之间的交互。但是,在智能烤箱,智能锁,连接鞋和锻炼服装等相关事宜中,镜像和增强这些机制需要非常小心。安全漏洞可能对用户造成即将来临的身体威胁。
例如,2017年,研究人员在购物广场中使用联网的低分辨率相机来收集用于解锁Android手机的滑动模式的数据,并发现一组可能的模式,可以在一半以上的测试用例中解锁手机。
最重要的是,这种攻击并不是针对特殊的高端智能相机而开发的。它通过从许多常见的低分辨率,消费级摄像机获得足够的不同数据来实现。如果攻击者可以访问用户的手机,并且仅通过滑动模式进行保护,则攻击者可以访问所有用户的个人数据,其中IoT包括家庭自动化,车辆保护和健康监控系统。
在物联网中,攻击不仅仅是一个隐喻 - 它是物理世界中的一个实际的攻击。这些也可以在没有攻击者甚至在线的情况下进行身体启动,也不知道如何安装合法且易于使用的数据包嗅探应用程序。例如,想象一下,公共建筑中的一个连接有IoT的运动检测器,其中有恶意意图的人物理地进入建筑物,并有意地触发传感器,同时嗅探无线网络以捕获在检测到运动时发生的加密的无线通信。
这个人可以将这些数据存储到移动设备中,并且收集足够的数据来构建加密通信的存储库。然后,他们可以创建比原来几乎无限排列的加密密钥更小的加密密钥,与此同样,Alan Turing利用可怜的谬误,在第二次世界大战期间利用一组缩写或天气评论来终止安全通信。
能够推断特定数据包来自运动事件在某一时间是将良好加密的数据结构降低到易用易读的代码中的关键。并且通过访问数据包头和结构,对其他建筑系统(如电力和热能)的恶意攻击成为可能 - 所有这一切都是因为一个人下载了一个应用程序并在运动传感器前面前后摆放了几分钟。
奥地利酒店最近的一个活动突出了另一种类型的具有IoT功能的黑客. 锁酒店门索要赎金而人里面,和有效的价格点设计,黑客利用一个商业系统,过分信任网络的钥匙,没有物理按键的解决方法或旁路的方法。 黑客以这种方式获得了访问脆弱系统的大量支出。
在这种情况下,安全修复将是简单的。防止这种攻击涉及编程电子锁禁用和默认的机械故障。这是一种低成本、低投入的预防措施,但它要求工程师认为安全先发制人和经常在旧的方式,如,“我们怎么安全的东西才是相连的,”,“如何连接的东西是最高级别的安全我们新的网络模型内建的?”