021-80392549
您好,歡迎光臨工博士,我們將竭誠為您服務 點擊這里給我發消息
 
首頁 > 資訊 > 物聯網IoT > 正文機器人 新零售 人工智能 物聯網IoT 5G 3D打印 企業新聞 業內資訊 行業趨勢 產品應用 方案應用 人物專訪 本站原創 展會資訊 

黑客會利用哪一些物聯網安全的漏洞

放大字體  縮小字體 發布日期:2019-12-18  來源:企業網D1Net  瀏覽次數:1284
        微軟公司近期在拉斯維加斯舉行的年度黑帽大會上發布了一個消息,這引發了人們對常見的物聯網(IOT)設備對企業網絡進行大規模攻擊的一個惡意黑客集團的關注。

        微軟公司表示,這個黑客集團為了侵入企業網絡,采用了幾種物聯網設備,其中包括IP語音電話、Wi-Fi辦公室打印機、視頻解碼器等。微軟公司表示,這些攻擊是由一個名為Strontium的組織(也稱為Fancy Bear或APT28)進行的,該組織與某個軍事情報機構有所關聯。

        根據Gartner公司的調查,到2020年,家庭和企業用戶將使用140億多臺物聯網設備。鑒于微軟公司發布的消息,現在是審查固件中的安全風險的時候了。固件是為物聯網設備的硬件提供低級控制的特定軟件類別。固件安全被廣泛認為是一個緊迫的網絡安全問題,它是黑客用來在網絡中立足的無保護的常見攻擊面。不安全的物聯網設備本質上是一個沒有上鎖的大門,這意味著一旦攻擊者控制物聯網設備,就可以侵入到其他公司的網絡中。

        黑客積極利用物聯網安全的弱點,而不是攻擊設備本身,并將其作為惡意行為的起點,這些惡意行為可能包括分布式拒絕服務攻擊、惡意軟件分發、垃圾郵件、網絡釣魚、點擊欺詐,以及信用卡詐騙等等。因此,在設備漏洞導致企業的收入損失、訴訟、公司聲譽受損之前,需要了解8個常見的固件漏洞,以保障企業網絡沒有敞開大門。

        1.未經身份驗證的訪問:固件中常見的漏洞之一,未經身份驗證的訪問允許威脅參與者獲得對物聯網設備的訪問權限,從而可以輕松利用設備數據及其提供的控制。

        2.弱認證:當固件具有弱認證機制時,威脅參與者可以輕松訪問設備。這些機制的范圍可以從單因素和基于密碼的身份驗證到基于弱加密算法的系統,這些算法可以通過暴力攻擊進行破解。

黑客會利用哪一些物聯網安全的漏洞
 
        3.隱藏后門:在固件方面,隱藏后門是黑客喜歡利用的漏洞。后門是植入嵌入式設備中的有意漏洞,可向具有“秘密”身份驗證信息的人提供遠程訪問。雖然后門可能有助于客戶支持,但當惡意行為者發現后門時,它們可能會產生嚴重后果。而黑客很擅長發現它們。

        4. 哈希密碼:大多數設備中的固件包含用戶無法更改的硬編碼密碼或用戶很少更改的默認密碼。兩者都導致相對容易利用的設備。2016年,Mirai僵尸網絡在全球范圍內感染了250萬多臺物聯網設備,利用物聯網設備中的默認密碼執行DDoS攻擊,Netflix、亞馬遜和紐約時報等一些大公司都遭到了這樣的攻擊。

        5.加密密鑰:當以易于被黑客攻擊的格式存儲時,如20世紀70年代引入的數據加密標準(DES)的變體,加密密鑰可能給物聯網安全帶來很大問題。盡管已經證明數據加密標準(DES)安全性不足,但它仍然在使用。黑客可以利用加密密鑰竊聽通信,獲取對設備的訪問權限,甚至可以創建可以執行惡意行為的惡意設備。

        6. 緩沖區溢出:當對固件進行編碼時,如果程序員使用不安全的字符串處理函數,可能會導致緩沖區溢出,這將會出現問題。攻擊者花費大量時間查看設備軟件中的代碼,試圖找出導致不穩定的應用行為或漏洞,從而打開安全漏洞的路徑。緩沖區溢出可以允許黑客遠程訪問設備,并且可以實現創建拒絕服務和代碼注入攻擊。

        7. 開源代碼:開源平臺和庫使復雜的物聯網產品得以快速發展。然而,由于物聯網設備經常使用第三方開放源代碼組件,這些組件通常具有未知或未記錄的源代碼,因此固件經常被保留為無法抵御黑客的未受保護的攻擊面。通常,只需更新到最新版本的開源平臺就可以解決這個問題,但許多設備已經發布,其中包含已知漏洞。

        8.調試服務:物聯網設備測試版中的調試信息為開發人員提供了設備的內部系統知識。不幸的是,調試系統通常留在生產設備中,使黑客能夠訪問設備的相同內部知識。

        隨著新的物聯網產品迅速推向市場,企業可以盡快利用物聯網部署的諸多優勢,并且不會對其安全性擔憂。

        好消息是,上面列出的常見的物聯網漏洞是可以避免的,并且可以在不給制造商帶來額外成本的情況下進行補救。在物聯網安全方面,一套良好的初始佳實踐包括:

        (1)升級物聯網設備上的固件,并更改默認密碼。

        (2)編制網絡上的物聯網設備清單,以便了解風險。

        (3)聯系部署企業網絡上的物聯網設備的制造商,詢問他們是否已經考慮對常見漏洞進行修補。否則,要求他們在固件和物聯網設備中實施安全編碼實踐。
工博士工業品商城聲明:凡資訊來源注明為其他媒體來源的信息,均為轉載自其他媒體,并不代表本網站贊同其觀點,也不代表本網站對其真實性負責。您若對該文章內容有任何疑問或質疑,請立即與商城(www.843280.live)聯系,本網站將迅速給您回應并做處理。
聯系電話:021-31666777
新聞、技術文章投稿QQ:3267146135  投稿郵箱:[email protected]
分享到: 

分享與收藏:  資訊搜索  告訴好友  關閉窗口  打印本文 本文關鍵字:

新聞視頻

 
推薦資訊
最新文章
 
 
工業品代運營:您好,歡迎光臨,我們將竭誠為您服務 廣告業務:您好,歡迎光臨,我們將竭誠為您服務 會員管理:您好,歡迎光臨,我們將竭誠為您服務 售后服務:您好,歡迎光臨,我們將竭誠為您服務 新聞投稿:您好,歡迎光臨,我們將竭誠為您服務 戰略合作:您好,歡迎光臨,我們將竭誠為您服務 滬公網備31011402005898號
 
哈尔滨打麻将胡卡技巧