物联网当下的安全问题
前言
突然想到几个月前在傻蛋上撸的几个弱口令摄像头,今天又在FreeBuf上看到关于物联网安全的文章,忍不住,于是有了本篇文章。
物联网安全概述
万物互连(IoT)时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进去了我们的生活,全球IoT物联网设备数量在疯狂的增长。但是由于安全标准的滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下了极大的隐患,是个人隐私、企业信息安全甚至国家关键设施的头号安全威胁。试想一下,无论家用或者企业级的互联网设备,如接入互联网的交通指示灯、恒温器或者医用监控设备遭到攻击,后果将会变得非常可怕。
典型的IoT设备漏洞
僵尸网络、多态蠕虫和DDoS将会是主要的威胁。这里尤其要说的是CVH公司遭受的DDoS,攻击者利用物联网黑入CCTV包括14万多个摄像头,可达到1.5T/s的流量,真是打谁谁残。
物联网体系架构
通常由执行器、网关、传感器、云和移动App五部分组成。
执行器:通过物理过程控制事物,如空调机组、门锁、窗帘等。
网关:用于收集传感器信息和控制中心。
传感器:用于检测环境,例如:光、运动、温度、湿度、水/电量等。
云:Web界面或者API托管用于收集数据的云端Web应用和大型数据集分析。
移动App:实现在手机端控制IoT环境。
物联网根据业务形态主要分为工业控制物联网、车载物联网、智能家居物联网。
简单复现
就从我在傻蛋上找的裸奔摄像头为例吧。摄像头这东西,你以为很安全,可能别人在通过这个监视你。在物联网搜索引擎上搜一些国内比较大的摄像头厂商比如大华、海康威视等等。大商场,工业基地,甚至是个人居所,都存在严重的摄像头弱口令漏洞。
嗯,你也可能会搜到一些不良内容,请自我和谐。下面给出国内外比较厉害的物联网搜索引擎: