別讓物聯(lián)網(wǎng)裝置成為安全信息的漏洞

　　安全性在傳統企業(yè)網(wǎng)路上就已經(jīng)很難管理，現在又加上了各種大大(例如汽車(chē))小小(例如網(wǎng)路攝影機、嬰兒監視器)的物聯(lián)網(wǎng)(IoT)裝置，而且打造這些裝置的廠(chǎng)商幾乎沒(méi)有網(wǎng)路安全意識。

　　連網(wǎng)裝置應用領(lǐng)域從中央監控系統(SCADAsystems)到消費性電子產(chǎn)品，隨著(zhù)研究人員陸續公開(kāi)重大缺陷，這些裝置的安全漏洞也在過(guò)去一年成為聚光燈焦點(diǎn)。有些受影響的產(chǎn)業(yè)第一次是透過(guò)所謂的“白帽”駭客，發(fā)現在汽車(chē)、心律調整器、道路交通系統、家庭自動(dòng)化系統以及飛機等產(chǎn)品的弱點(diǎn);而一個(gè)重大的轉變是，現在公共安全有一部分等同于上述那些產(chǎn)品。

　　有一些因為特殊用途所配備的功能實(shí)際上成為安全漏洞，例如有目的的后門(mén)(intentionalbackdoors)、硬式編碼憑證(hardcodedcredentials)、未加密的資料流量，以及與非關(guān)鍵系統位在同一個(gè)網(wǎng)路的關(guān)鍵系統。盡管在不久前于美國舉行的BlackHatUSA以及DEFCON大會(huì )上，專(zhuān)家們已經(jīng)大力宣傳這些弱點(diǎn)，很多安全漏洞都還未被修正且仍然脆弱。

　　為何不修補或是更新那些物連網(wǎng)裝置，或是把它們打造得更安全?要保護那些消費性電子產(chǎn)品以及其他嵌入式系統，還需要克服以下幾個(gè)大挑戰：

　　1.通常沒(méi)有一致性或官方的軟體更新程序/機制

　　在Windows平臺裝置上的惡意軟體最后都會(huì )被發(fā)現，但BeyondTrust技術(shù)長(cháng)MarcMaiffret表示，物聯(lián)網(wǎng)裝置內部的“能見(jiàn)度”很低甚至是零：“誰(shuí)都看不見(jiàn)那些裝置內有什么，如果有更新、也看不見(jiàn)其韌體的可信賴(lài)度。”

　　因為那些裝置很多是采用Linux架構平臺，Maiffret建議其軟體應該要由一個(gè)開(kāi)放性社群來(lái)管理，以處理漏洞或是安全性更新;舉例來(lái)說(shuō)，IP攝影機或是SAN儲存系統應該要具備定期的Linux更新機制：“它們應該要是開(kāi)放性的，如此才能真正被視為L(cháng)inux作業(yè)系統裝置，讓我們能建立安全機制并像其他Linux裝置一樣來(lái)管理。”

　　SolarWinds產(chǎn)品管理副總裁ChrisLaPoint表示，他自己擁有3支家用IP攝影機，都不是執行最新的韌體，也不清楚它們是否有漏洞：“甚至是大多數這類(lèi)裝置的設定指令集、圍繞它們的安全控制配置以及修補程式…它們該如何被管理?”

　　2.很多消費性產(chǎn)品以及其他非傳統性IT供應商，對嵌入他們系統中的網(wǎng)路威脅了解很少或根本不了解

　　多數嵌入式裝置制造商與安全性技術(shù)社群之間的隔閡甚深，衛星終端供應商就是一個(gè)例子;IOActive首席安全顧問(wèn)RubenSantamarta就發(fā)現，那些裝置內的硬式編碼密碼、后門(mén)以及不安全的通訊協(xié)議，可能會(huì )讓攻擊者入侵并中斷船舶、飛機與軍事設施的通訊連結。

　　Santamarta還發(fā)現，那些受影響的設備供應商根本沒(méi)有計畫(huà)來(lái)修補那些缺陷;有部分供應商還堅稱(chēng)那些問(wèn)題不是漏洞，只是他們的產(chǎn)品中非必要的功能。IOActive技術(shù)長(cháng)CesarCerrudo也有類(lèi)似的經(jīng)驗，他所研究的智慧感測器制造商因為客戶(hù)要求而移除了裝置中的加密;因為少了加密機制，裝置韌體能被偽造、也能被植入惡意軟體。

　　安全產(chǎn)業(yè)發(fā)起了IAmtheCavalry、BuildItSecure.ly等計畫(huà)，期望能拉近與嵌入式裝置制造商之間的距離，那些“白帽駭客”們也能協(xié)助并研究如何更妥善的保障產(chǎn)品安全。

　　3.裝置的安全性通常缺乏可負責者

　　SolarWinds的LaPoint表示，大多數消費性裝置的安全性該由誰(shuí)來(lái)負責，往往沒(méi)有清楚的權限劃分：“你問(wèn)裝置制造商，他們也會(huì )說(shuō)不知道;他們幾乎不會(huì )想到這個(gè)問(wèn)題。”

　　有些廠(chǎng)商只是透過(guò)官方網(wǎng)站發(fā)布韌體更新，而且端看消費者或使用者自己要不要下載安裝更新：“有的安裝更新只有簡(jiǎn)單說(shuō)明，例如只告訴你要用USB纜線(xiàn)連結;我不認為裝置制造商認為他們應該要負責維護裝置的安全性。”

　　4.許多裝置所配置或因特殊用途而建立的功能實(shí)際等同于安全漏洞

　　許多物連網(wǎng)裝置與IT系統是在同一個(gè)網(wǎng)路上;“這些裝置是不是總有一天會(huì )成為把其他東西送進(jìn)我的網(wǎng)路的橋梁?”LaPoint表示：“如果有人透過(guò)我的網(wǎng)路攝影機看見(jiàn)我在家里穿著(zhù)內褲跑來(lái)跑去，這很不妙;而如果他們收集我的個(gè)資或其他在相同網(wǎng)路上的設備資訊，那又該怎么辦?”他說(shuō)，關(guān)鍵在于將這些消費性連網(wǎng)裝置與同一網(wǎng)路上擁有敏感資料的系統分開(kāi)。

　　物聯(lián)網(wǎng)對企業(yè)來(lái)說(shuō)是一個(gè)新挑戰，至少有許多方法能在那些裝置一旦被定義時(shí)，為其添加安全措施;安全專(zhuān)家指出，物聯(lián)網(wǎng)裝置的數量將會(huì )是我們前所未見(jiàn)，評估并具備了解網(wǎng)路所傳遞的流量來(lái)自何處的能力，以及能追蹤它們并關(guān)閉的能力，是企業(yè)關(guān)鍵必備的。