如何破解物聯網攝影機 - 漏洞演示
不只是縮時,還有粉塵、噪音、位移偵測 |
隨著這種成長,帶來了許多挑戰,尤其是「我們如何確保這些裝置是安全的?」 然而,與此同時,使這些物聯網裝置,能夠以強大和自動化的方式與服務連線,這不會扼殺或影響市場的成長。傳統的面向 PKI 的架構,對於當今和未來產品的許多物聯網類型應用 app來說太重和繁瑣。對於物聯網應用 app,我們需要有辦法以適合物聯網市場的方式,保護滿足每個應用 app 需求的產品。
最近觀察到的一個趨勢是,客戶開始意識到他們需要控制自己的安全態勢,從讓製造商控制它的方法,轉向專注於客戶的裝置和平台要求的方法。客戶希望選擇如何保護他們的業務、IP 和供應鏈,方法是建立自己的個人安全態勢,並避免使用預設密碼的現有方法,這是一個不可接受或安全的選項。
本部落格系列目的在涵蓋一系列試圖辨識關鍵問題的主題,就我們如何解決一些似乎與解決物聯網安全相關的問題建立一些想法。
涵蓋的主要主題將包括:
- DDOS 最近的攻擊和預防解決方案
- 自動裝置所有者證書配置
- 安全地大規模註冊裝置
- 基於策略的安全性,為不同使用者管理大型裝置組
- 安全韌體和軟體更新
本部落格的第一期目的在涵蓋 DDOS 和攝影機的使用,對線上服務造成破壞的當前熱門話題,以及我們如何能夠抵禦這些攻擊。
DDOS、攝影機和最近的攻擊:
在過去的十年左右,分散式拒絕服務(DDOS)被用於許多網路攻擊,最近的攻擊在對一些眾所周知的服務,造成破壞的方式上也沒有什麼不同。這些最新一輪的攻擊令人震驚的是,它們是如何被大規模用於關閉這些服務的。大量安全專業人士警告說,物聯網缺乏安全性,將使攻擊者具有攻擊性的吸引力。這尤其令人擔憂,因為對物聯網市場成長的預測非常大,這為可能影響關鍵服務的潛在大規模攻擊開闢了基礎。
DDOS 攻擊是由駭客精心策劃的,駭客獲得對「不安全」裝置的訪問,然後在裝置所有者不知情的情況下,將惡意軟體引入這些裝置。然後,這些裝置被用作「殭屍」軍隊/殭屍網路(通常稱為「殭屍」)的受損電腦的集合),以攻擊(在攻擊者的控制下)特定服務和網站。每次惡意攻擊都目的在拒絕向用戶提供服務,並使服務超載。
最近的 DDOS 攻擊使用連線網際網路的相機組成了一支殭屍裝置大軍,然後這些裝置被用來瞄準 OVH 等特定服務。超過 145,000 台裝置被用於 OVH 攻擊,每秒產生高達 1.1 Tera Bits 的資料流量!最近對 Dyn DNS 服務也進行了類似的攻擊,據報道,來自 10 萬台終端裝置的攻擊,為許多使用者奪走了推特、亞馬遜和其他攻擊。
這種 DDOS 攻擊以及最近的幾次其他攻擊,是由連線到每個攝影機裝置(通常透過 SSH 或 Telnet 會話)的攻擊者發起的,然後用一個簡單的程式感染他們,該程式猜測他們工廠設定的密碼,通常是「管理員」或「密碼」。一旦被感染,這些裝置就變成了一支簡單的機器人大軍。
一種使這些 DDOS 類型攻擊更難的方法是確保每個裝置(在這種情況下是攝影機)使用更強大的使用者名稱和密碼。如果每個裝置或一組裝置,都有不同的使用者名稱和密碼,那麼進入大量裝置將更加困難。
作為客戶,這裡的關鍵是執行你自己的安全態勢,而不是將此留給製造商。
那麼,我們如何改善我們的安全態勢,以降低針對 DDOS 的風險?一種方法是在產品生命週期內,遠離對所有產品使用預設密碼。另一個想法是在你的產品中有一個完整性驗證機制,允許你檢測感染裝置的惡意軟體,然後阻止受影響的裝置訪問網路。
後者可以透過使用 Device Authority 的 KeyScaler 平台來實現,設計師將該平台安裝在物聯網裝置上。每個裝置基本上都被賦予了一個「獨特的」數位DNA。這可能包括裝置上韌體的構成、硬體配置和許多其他參數。然後,在安全地連線裝置 KeyScaler 時使用該 DNA,並構成裝置信任錨的基礎。當裝置嘗試註冊時,KeyScaler 將辨識裝置上的軟體的更改。然後,KeyScaler 將隔離裝置並發出警報/事件,然後以某種方式禁用裝置網路連線,即將裝置列入黑名單,使其無法訪問蜂窩網路,並阻止裝置進行 DDOS 風格的攻擊。
在我們的 KeyScaler 平台的未來產品版本中,我們將引入自動管理員密碼管理功能,為特定使用者和使用者組安全地遠端旋轉/續訂使用者名稱和密碼。 這將解決即時更新密碼和使用者名稱的問題,以緩解潛在的駭客攻擊。
沒有留言:
張貼留言