對於製造商而言,物聯網熱潮是乙個難以置信的機會。但是,它也帶來了巨大的風險。物聯網威脅形勢複雜,黑客已經證明他們有能力操縱智慧型裝置 - 甚至可以竊聽自己家中的個人。
因此,雖然物聯網旨在產生積極影響,但那些不能減輕網路攻擊的組織會發現他們的裝置可能弊大於利。這正是為什麼格蘭仕,一家以微波爐,冰箱,烤箱和洗衣機以及其他家用裝置而聞名的電器全球領導者,與軟體開發公司intive的安全專家合作。格蘭仕希望確保黑客無法訪問他們的智慧型微波爐,這可能會讓客戶受到傷害。這讓我們討論了所涉及的一些風險。
涉及的風險
對於廣東的格蘭仕而言,錯誤的網路安全系統會對安全產生重大影響。黑客可能能夠攔截工廠**系統與世界各地的格蘭仕裝置之間的通訊。在這方面,他們有能力開啟和關閉使用者家中的裝置 - 這是一種潛在的危險情況,因為機器過熱的風險,裝置的材料損壞,或者最後但並非最不重要的,火災。檢視以下可能的攻擊情形示例,該示例描述了攻擊者可能利用圖1和圖2中的iot平台利用漏洞的方式:
此外,流氓黑客還能夠操縱家庭網際網路,然後入侵互聯電視,膝上型電腦或智慧型手機。他們甚至可以在這些裝置上傳播勒索軟體或使用它們執行殭屍網路,這些殭屍網路可用於執行ddos攻擊。例如,臭名昭著的mirai,它是乙個物聯網殭屍網路,在2023年用於危害家用路由器和監控攝像頭等裝置時開始肆虐。根據cloudflare的估計,mirai在其峰值時感染了大約60萬個物聯網裝置。
尋找入口點
intive和galanz需要確切地弄清楚黑客如何獲得對物聯網裝置的訪問許可權。為此,他們找到了以下切入點:
消費者使用的智慧型手機應用程式與裝置進行遠端通訊
物聯網服務提供商與管理裝置的雲基礎設施之間的通訊渠道
連線裝置和雲的api
裝置本身,特別是裝置和移動裝置之間的通訊通道,以及雲。
使用這些入口點,他們開始確定平台的安全狀態是否合理。他們還需要遵循安全深度規則。這意味著要研究用於裝置到雲和雲到移動通訊的協議,以確保黑客無法攔截或修改通訊。
威脅建模和滲透測試
作為工程師和安全專家,他們計畫採用系統的安全測試方法,該方法將分析安全環境以發現潛在的風險區域。執行的過程包括威脅建模和滲透測試 - 這一步總共需要兩個月。
這兩家公司首先參與了威脅建模的第一階段。他們徹底審查了系統的架構設計,以便充分掌握裝置的連線方式。而且,實際上,他們希望獲得裝置之間通訊路徑的鳥瞰圖。一旦確定,團隊就進行了第二階段的威脅建模。這包括對威脅進行全面清查,並推斷發現的通訊路徑,以尋找與架構相關的風險。
然後,是時候進行滲透測試了。為此,團隊使用了專門的作業系統發行版,如kali linux和burp suite等軟體框架。然後,他們用python編寫了自定義模糊指令碼。它首先滲透了連線到物聯網裝置的門戶**和移動應用程式,消費者可以使用它來關閉和開啟微波爐。這是為了確保未經授權的使用者無法遠端操作微波爐或破壞微波爐。還在物聯網裝置和它們所服務的裝置的通訊通道上進行了滲透測試。這是為了確保沒有人可以連線到裝置的網路並遠端影響通訊。
總的來說,所有威脅都得到了考慮,評估和解決。intive為格蘭仕提供了乙個全面的路線圖,詳細說明了未來如何避免威脅,確保現在可以保留客戶資料。而且,現在,格蘭仕相信他們的電器將對客戶產生積極影響,而不是讓他們處於危險之中。
物聯網智慧型硬體裝置常見攻擊方法
乙太網接入型裝置,一般分為網線或wifi兩種。不管是wifi還是網線,可以通過區域網抓包 筆記本wifi橋接抓包等等手段。最著名的抓包軟體 wireshark 如何抓取硬體裝置的網路資料報,考量的是網路知識基本功,需要大家自行度娘!基本準備工作 1,wireshark監聽udp的53埠,一部分硬體裝...
利用物聯網卡的智慧型裝置是智慧型還是「智障」
隨著我國科學技術的進一步發展,近些年來我國的物聯網技術 ai技術 大資料技術也取得了突飛猛進的進步。這些技術的出現也給了我們的帶來了極大的便利,例如 智慧型交通 智慧型穿戴 智慧型醫療就是這些技術發展的體現。也正是因為如此,目前市場上有大多數的商家利用這波浪潮,大力推薦各種智慧型產品。其實,這些所謂...
物聯網智慧型硬體裝置身份驗證機制
裝置身份驗證有以下目標 1,別人的裝置不能接入我們的雲平台 2,我們的裝置,不能接入別人的雲平台 3,考慮到裝置要批量生產,雲平台先生成裝置編碼再寫入每個裝置的方法,非常不現實!那麼,標準的裝置身份驗證應該是 1,裝置上電聯網後,需要乙個啟用過程 2,裝置向雲平台申請啟用,包括 廠商 生產批次 生產...