产品经理可将本篇文章当做科普贴,了解产品在安全方面可能会产品哪些问题,以及设计时避免常见问题。注:建议可以先看一下这篇不错的系列文章“《IoT物联网安全wiki》https://www.yuque.com/tidesec/iot”,对物联网安全有一定了解概念。
一、物联网安全是什么
随着越来越多的已连接设备加入IoT生态系统,安全性成为了物联网技术的最大关注点,大多数技术安全问题类似于常规服务器,工作站和智能手机,可能存在弱认证,忘记更改默认凭据,设备之间发送未加密消息,SQL注入等问题。
但是,许多物联网设备在可用的计算能力上存在严重的操作限制,这些限制通常让设备无法直接使用基本的安全措施,例如防火墙或使用强大的密码系统来加密。对于IOT安全,从大类可以分为:硬件本身、固件、通讯、服务器四个层面。
二、硬件产品常见的安全漏洞有哪些?
-
有线、无线远程升级通道未加密,下载的固件可能是中间人篡改后的恶意固件;
-
固件下载后未校验md5值是否一致;
-
串口、ssh默认无密码登录,或者弱密码登录;
登录用户默认root;
-
web服务弱口令;
-
MQTT、FTP等通信登录用户名暴漏、弱口令
-
web配置文件任意人访问
-
登录界面绕过,任意执行管理端功能
-
系统任意文件访问、恶意文件上传
-
SQL注入,数据泄露
-
FTP、RTSP摄像头数据流、smb文件共享等服务端口未关闭
-
信号内容未加密明文传输。
-
红外、433M无线信号、蓝牙等控制信号,存在录制重放漏洞;
-
蓝牙未认证任意连接;
-
GPS定位恶意基站模拟、GPRS连接到伪基站发生中间人数据泄露;
-
wifi通信连接弱密码或无认证任意连接
-
ID卡任意复制;
-
RFID ic卡内部数据块未使用密钥加密或者采用默认密钥加密导致数据被破解;
卡片复制;
-
串口调试未关闭,任意连接查看调试信息;
-
通过逻辑分析仪,嗅探总线上的数据;
-
固件程序未加密加固;
逆向破解内部逻辑和加密算法;
-
智能门锁特斯拉电圈高压攻击重启;
三、如何防范
-
原则一:
数据通道采用https等加密方式进行传输(加密元素涵盖时间戳、滚动码,防止信号重放攻击)
-
原则二:
最小权限设置、关闭root账号、强度高的密码;
-
原则三:
设备上市后,关闭不用的服务端口、应用程序调试信息及串口调试信息;
-
原则四:
固件加密加固、重要配置文件加密;
-
原则五:
上线前软硬件安全测试及升级方案;
四、参考内容
-
《IoT安全测试指北》https://www.freebuf.com/articles/ics-articles/247718.html
-
《白话物联网安全(一):
什么是物联网的信息安全》https://www.freebuf.com/articles/terminal/191098.html
-
《浅谈IoT安全》https://zhuanlan.zhihu.com/p/35411393
-
《IoT: 物联网安全测试经验总结》https://www.pianshen.com/article/98081282123/
-
《神器分享:
物联网安全测试工具包》https://www.freebuf.com/sectool/174234.html
-
《IOT渗透测试(一)》https://zhuanlan.zhihu.com/p/50388015
-
《IoT测试---我们需要测什么?
》https://zhuanlan.zhihu.com/p/56368136
-
《IoT安全系列-如何发现攻击面并进行测试》https://www.anquanke.com/post/id/84762
-
《微软:
IoT 安全性 - 概述》https://azure.microsoft.com/zh-cn/overview/internet-of-things-iot/iot-security-cybersecurity/
-
《IBM:
IoT 十大安全挑战》https://developer.ibm.com/zh/technologies/iot/articles/iot-top-10-iot-security-challenges/
-
《从FIT 2019看物联网(IoT)安全》https://www.freebuf.com/company-information/194555.html
-
《红外信号重放攻击》https://www.freebuf.com/geek/260370.html
-
《特斯拉线圈秒开智能门锁,你家智能门锁还安全吗?
》https://baijiahao.baidu.com/s?id=1607492558181328939&wfr=spider&for=pc
-
《FREEBUF》https://www.freebuf.com/
-
《TOOLS》https://www.t00ls.net/
-
《Shun's Blog》https://www.shungg.cn/
-
《华盟网》https://www.77169.net/
本文作者:刘晓东
发 布 于 :智能硬件产品汪
网 址:www.aihpm.com
点击“阅读原文”即可跳转至智能硬件产品汪网站
往期推荐
欢迎更多的同学加入我们 “ 智能硬件产品汪 ” 社群
在这里你可以和千百位硬件产品大佬交流
也可以获得丰富的干货资料
请关注公众号“ 贾明华 ”
点击“入群”加入我们。期待与大家一块交流学习
一个人可以走的很快,一群人可以走的更远
本篇文章来源于微信公众号: 贾明华
原创文章,作者:贾明华,如若转载,请注明出处:http://www.aihpm.com/?p=746
