怎么讓物聯(lián)網(wǎng)設(shè)備更安全?這三個辦法你應(yīng)該知道
無論現(xiàn)在還是將來,使物聯(lián)網(wǎng)(IoT)設(shè)備保持安全是十分必要的。完成這項任務(wù)需要時間和專業(yè)知識,并需要掌握整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)的發(fā)展方向。
通過反思過去幾年物聯(lián)網(wǎng)領(lǐng)域的一些失敗案例,物聯(lián)網(wǎng)設(shè)備的開發(fā)商和制造商可獲得一些啟示,小編認為這是確保物聯(lián)網(wǎng)設(shè)備安全的一個方法。
此外, 我們需要快速認清網(wǎng)絡(luò)上的一個安全誤區(qū)。 用戶必須輸入物聯(lián)網(wǎng)設(shè)備的數(shù)字IP地址才能訪問網(wǎng)絡(luò) ,但這并不意味著物聯(lián)網(wǎng)設(shè)備可以安全地在網(wǎng)絡(luò)上運行。 事實上,有許多腳本和程序可以簡單地掃描普通設(shè)備和易受攻擊系統(tǒng)的整個有效IP地址范圍,但有時,執(zhí)行這個操作很可能是系統(tǒng)受損的網(wǎng)絡(luò)。
有鑒于此,筆者整理了一些簡單有效的方法可以使物聯(lián)網(wǎng)設(shè)備更安全。
不使用通用默認密碼
大多數(shù)受到破壞的物聯(lián)網(wǎng)設(shè)備存在漏洞是因為它們具有硬編碼的默認密碼。開發(fā)商給telnet訪問或Web儀表板分配了一個通用的管理員密碼,用戶或安裝人員通常不會去更改這些密碼。
很多人都會知道通用密碼,而用戶會在網(wǎng)上留下大量的上網(wǎng)記錄,這就會致使信息泄露。這也是導(dǎo)致2016年以來最大的僵尸網(wǎng)絡(luò)——Mirai產(chǎn)生的原因之一。
正對這種情況,設(shè)備制造商在設(shè)備底部打印隨機密碼。這正是無線路由器制造商正在做的事情。使用這種方法,每個設(shè)備都出廠時具有不同的登錄憑據(jù),如果用戶沒有物理訪問設(shè)備,則無法知道默認設(shè)置。這不是一個完美的方法,但它確實關(guān)閉了可能招致黑客和僵尸網(wǎng)絡(luò)攻擊的一扇門。
關(guān)閉所有端口
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中的許多設(shè)備都有開放的telnet端口。開放的端口使得制造商可以遠程登錄這些設(shè)備,從而進行設(shè)備維護或更改底層操作系統(tǒng)。 我們對物聯(lián)網(wǎng)制造商提出的建議是:如果可能的話,不要打開傳入端口。
事實證明,這個方法比物聯(lián)網(wǎng)設(shè)備開放端口傳出TCP / IP連接到可信任的主機要好的多。 這個方法也可阻止使用開放的telnet和SSH端口來感染其主機的Mirai僵尸網(wǎng)絡(luò)。
但這帶來了一個問題,如果用戶需要遠程訪問或維護的路徑,那該怎么辦? 有一個解決方案是使用反向隧道的SSH功能。 使用現(xiàn)有的消息傳遞連接(例如MQTT),用戶可以操控設(shè)備在需要時“打電話回家”,建立與控制服務(wù)器的連接并打開反向隧道。
此反向隧道可用于SSH到IoT設(shè)備。 通過這種方法,黑客永遠連接不上用戶的物聯(lián)網(wǎng)設(shè)備,并且用戶還可以解決連接網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的設(shè)備的問題。
構(gòu)建安全Web應(yīng)用程序
Web服務(wù)器的內(nèi)置物聯(lián)網(wǎng)設(shè)備有很多。服務(wù)器給設(shè)備提供了一個很好的獨立平臺:用戶可以輸入打印機或安全攝像頭的IP地址來控制設(shè)備或監(jiān)控設(shè)備的狀態(tài),且不需要制造商提供持續(xù)的云服務(wù)。
但是,物聯(lián)網(wǎng)設(shè)備構(gòu)建者不一定知道如何構(gòu)建安全的Web應(yīng)用程序,這本身就是一門技術(shù)。開放式Web應(yīng)用程序安全項目OWASP列出了十大最常見的Web應(yīng)用程序漏洞,這對想成為Web的開發(fā)人員來說是一筆巨大的財富。
2017年3月,攝像機和數(shù)字視頻錄像機(DVR)的大型制造商大華為其設(shè)備發(fā)布了安全補丁,以解決其設(shè)備上嵌入式Web服務(wù)器的問題。但這個方案存在漏洞:允許黑客使用設(shè)計的URL來提取設(shè)備的所有用戶名和密碼,為連接到互聯(lián)網(wǎng)的任何人提供了打開了每個設(shè)備的功能。
即使制造商已經(jīng)掌握了安全Web應(yīng)用程序的技術(shù),仍然存在未知漏洞的可能性。 考慮到這一點,在需要時建立一個系統(tǒng)來對Web應(yīng)用程序或物聯(lián)網(wǎng)設(shè)備上的任何軟件進行快速更新至關(guān)重要。 通過在開發(fā)階段給予適當?shù)年P(guān)注,可以使物聯(lián)網(wǎng)設(shè)備查找和接收軟件更新,從而可以有效地修補未來的錯誤,并且使設(shè)備可以在其整個生命周期內(nèi)保持安全。