本篇教程旨在提升您对物联网安全风险的防护意识。
物联网设备的安全问题很容易被忽视,导致其处于次优状态。
但如果我告诉您,预计到2030年,物联网设备的数量将几乎是地球人口的三倍,您可能会感到难以置信。
换句话说,平均每人拥有三个物联网设备。这是一个庞大的数字,网络连接的数量更是惊人。
互联网在努力使我们的生活更便捷的同时,也带来了许多安全漏洞。因此,在没有解决安全问题的情况下部署物联网,可能会造成难以挽回的后果。
让我们深入探讨一下,首先讨论…
什么是物联网 (IoT)?
物联网是指通过互联网进行协同工作的各种设备。
一个典型的例子是特斯拉汽车,或者更确切地说,是特斯拉车队,它们共享信息以提高自动驾驶的安全性。
一个更简单的例子是智能手表。它记录您的身体数据,并将其发送到智能手机,以监测您的脉搏、睡眠时间、步数等健康指标。
亚马逊的Echo(或任何智能家居设备)也属于物联网设备的范畴。
总而言之,物联网是由电子方式相互传输信息的设备构成的系统。
我们将逐渐看到这些设备在控制我们生活中的关键方面发挥着越来越大的作用。它们将在我们的家庭、办公室、汽车、健康等方面扮演重要的角色。
因此,加强安全防范以保障安全性和数据隐私至关重要。
仍然不相信吗?
那么,请看一些令人不安的案例,它们打破了人们对物联网安全性的虚假安全感。
一位Reddit用户迪奥-V报告了这样一个事件:
“当我在谷歌家庭中心加载小米摄像头时,我可以看到来自其他人家中的静态图像!”
另一个令人震惊的例子,来自萨曼莎·威斯特摩兰的报道:
“恒温器不断升高温度,厨房里的摄像头开始发出声音,然后播放粗俗的音乐。所以我拔掉了它的插头,把它转向了天花板。”
重点不是要吓唬您。 这些问题,无论看起来多么严重,都只是冰山一角。
因此,物联网是一个在广泛应用之前需要进行深入故障排除和修复的领域。
物联网设备中的安全漏洞
以下部分将重点介绍用户和制造商应关注的一些领域。
弱密码
物联网设备上默认的弱密码是导致 2016年10月21日发生的大规模DDoS攻击 的主要原因之一, 这次攻击给亚马逊网络服务及其客户(如Netflix、Twitter和Airbnb等)造成了严重的影响。
诸如“admin”和“12345”之类的默认密码是您数字安全的巨大威胁。使用密码管理器生成的强密码是抵御入侵者的首要步骤。
其次,使用双因素身份验证 (2FA)。如果您使用Yubikey之类的硬件身份验证,安全性会更高。
无加密
物联网设备处理敏感数据。令人震惊的是,有 超过90% 的数据在传输过程中没有加密保护。
这是一个制造商需要立即解决的重大安全缺陷。用户可以检查其设备的加密策略。
由于处理能力较低且兼容性复杂,安装防病毒软件或类似软件可能比较困难。因此,使用VPN可以成为一个有效的解决方案。简而言之,VPN可以保护您的互联网协议 (IP) 地址并加密您的数据。
不定期更新
每个制造商都有责任为他们的设备提供及时的更新。缺乏安全和固件更新的物联网设备更容易受到黑客攻击。
用户在购买之前应仔细检查制造商的更新历史记录。
除了避免购买更新记录不良的品牌之外,用户在这方面几乎无能为力。
脆弱的应用程序
开发人员应在物联网设备中嵌入专门设计的应用程序。任何被修改过的软件都可能包含过时的安全协议,从而使物联网设备的安全性面临风险。
恶意行为者可能会利用一个脆弱的物联网应用程序,窥探整个网络并执行攻击。
管理不善
这一部分呼吁为系统中的所有物联网设备建立一个中央管理控制台。
在没有统一的管理系统的情况下,物联网设备更容易管理不善,特别是在网络中存在大量设备的情况下。
这些平台应在一个地方跟踪所有物联网设备的关键数据,包括安全警报、固件更新和一般风险监控。
网络隔离
物联网设备通常会加入网络,从而暴露所有已连接的设备。因此,物联网设备应使用单独的网络通道。
这将阻止犯罪分子从网络资源中获利,并允许对物联网网络流量进行高级监控。
最后,即使单个设备受到威胁,它也不会影响整个网络。
物理安全
许多物联网设备(例如安全摄像头)都是远程操作的。在这种情况,对设备进行物理攻击变得非常容易。
此外,物联网设备可能会被恶意控制和篡改,从而破坏其原本的安装目的。例如,犯罪分子可以从远程安装的安全摄像头中取出存储卡,并访问(或修改)其中的数据。
虽然很难完全避免这个问题,但定期检查肯定会有所帮助。
对于高级设备,可以在安装时注意其相对位置。此外,还可以使用传感器来识别和监控任何与原始位置的细微偏差。
结论
物联网无疑是有用的,我们不能因为它们存在安全隐患就完全抛弃它们。
通常,这些设备在购买时是相当安全的。但随着时间的推移,它们可能会因缺少更新或管理不善而导致安全风险。
作为用户,我们需要保持警惕,并采取最佳实践来管理我们的物联网设备。此外,在购买时要尽量关注制造商的信誉和更新记录。
另外,请查看我们关于如何监控个人数据泄露的观点。