亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

新物聯(lián)網(wǎng)產(chǎn)品源源不斷涌向市場，但速度不應(yīng)成為忽視安全的借口。

今年的拉斯維加斯黑帽大會上，微軟披露稱，俄羅斯惡意黑客組織利用常見物聯(lián)網(wǎng)設(shè)備對企業(yè)網(wǎng)絡(luò)執(zhí)行大規(guī)模攻擊。消息一出，四野具驚。

微軟宣稱 ，黑客通過入侵多種聯(lián)網(wǎng)設(shè)備獲得企業(yè)網(wǎng)絡(luò)訪問權(quán)限，被利用的設(shè)備包括 VoIP 電話、WiFi 辦公打印機(jī)、視頻解碼器等。該黑客組織名為 “鍶” (Strontium)，也被其他安全公司命名為奇幻熊 (Fancy Bear) 或 APT28，據(jù)稱與俄羅斯軍事情報機(jī)構(gòu)格魯烏 (GRU) 有關(guān)。

Gartner 預(yù)計，到 2020 年，家用和商用物聯(lián)網(wǎng)設(shè)備數(shù)量將超 140 億臺?？紤]到微軟近期曝出的物聯(lián)網(wǎng)攻擊新聞，現(xiàn)在是時候?qū)徱暪碳踩L(fēng)險了，畢竟固件正是提供物聯(lián)網(wǎng)設(shè)備硬件底層控制的那類特殊軟件。作為公認(rèn)的急迫網(wǎng)絡(luò)安全問題，固件堪稱不設(shè)防攻擊界面，常被黑客用于在網(wǎng)絡(luò)中建立立足點(diǎn)。未受保護(hù)的物聯(lián)網(wǎng)設(shè)備基本相當(dāng)于一扇未上鎖的大門，意味著攻擊者一旦拿下該物聯(lián)網(wǎng)設(shè)備，就可以在整個公司網(wǎng)絡(luò)中橫行無忌。

黑客主動利用物聯(lián)網(wǎng)安全漏洞并非為了攻擊設(shè)備本身，而是將其作為各種惡意行為的跳板，為后續(xù)展開分布式拒絕服務(wù) (DDoS) 攻擊、惡意軟件分發(fā)、垃圾郵件和網(wǎng)絡(luò)釣魚郵件投放、點(diǎn)擊欺詐、信用卡盜竊等攻擊活動鋪路。所以，在設(shè)備入侵尚未導(dǎo)致收益損失、訴訟、公司聲譽(yù)傷害等惡劣情況之前，有必要關(guān)注下列八種常見固件漏洞，確保自家網(wǎng)絡(luò)大門不向無關(guān)人士敞開。

1. 未經(jīng)身份驗(yàn)證的訪問

最常見的固件漏洞之一，可使攻擊者獲取物聯(lián)網(wǎng)設(shè)備訪問權(quán)，便于攻擊者利用設(shè)備數(shù)據(jù)及其提供的任何控制功能。

2. 弱身份驗(yàn)證

如果固件身份驗(yàn)證機(jī)制薄弱，黑客便容易獲得設(shè)備訪問權(quán)。弱身份驗(yàn)證機(jī)制形式多樣，例如基于密碼的單因子身份驗(yàn)證、基于弱密碼算法的系統(tǒng)等。此類驗(yàn)證機(jī)制容易被暴力破解攻擊攻克。

3. 隱藏后門

說到固件，隱藏后門當(dāng)屬黑客最喜愛的漏洞利用方式了。后門即有意植入嵌入式設(shè)備中的漏洞，任何人只要持有 “秘密” 身份驗(yàn)證信息就能遠(yuǎn)程訪問設(shè)備。盡管后門可能有利于客戶支持，但一旦被惡意黑客發(fā)現(xiàn)，所造成的后果也是相當(dāng)嚴(yán)重的。而黑客正是非常善于發(fā)現(xiàn)后門的那一類人。

4. 密碼散列值

大多數(shù)固件含有用戶無法修改的硬編碼密碼，或者用戶極少修改的默認(rèn)密碼。這兩種情況均造成設(shè)備相對容易遭到黑客利用。2016 年，感染了全球超過 250 萬臺物聯(lián)網(wǎng)設(shè)備的 Mirai 僵尸網(wǎng)絡(luò)，正是利用了物聯(lián)網(wǎng)設(shè)備默認(rèn)密碼執(zhí)行 DDoS 攻擊，令 Netflix、亞馬遜和《紐約時報》等媒體大面積掉線。

5. 加密密鑰

當(dāng)以容易被黑的形式存儲，比如 1970 年代開始引入的各版本數(shù)據(jù)加密標(biāo)準(zhǔn) (DES)，加密密鑰可對互聯(lián)網(wǎng)安全造成極大威脅。但即使被證明不足以保護(hù)秘密，DES 依然沿用至今。黑客可利用加密密鑰竊聽通信、獲得設(shè)備訪問權(quán)，甚至創(chuàng)建流氓設(shè)備執(zhí)行惡意操作。

6. 緩沖區(qū)溢出

編碼固件的時候，如果程序員使用不安全的字符串處理函數(shù)，就很容易引發(fā)問題，導(dǎo)致緩沖區(qū)溢出。攻擊者花費(fèi)大量時間查看設(shè)備軟件中的代碼，試圖找出引發(fā)不規(guī)則應(yīng)用行為或造成應(yīng)用崩潰的方法，打通入侵的道路。緩沖區(qū)溢出可供黑客遠(yuǎn)程訪問設(shè)備，也可被武器化以供進(jìn)行拒絕服務(wù)和代碼注入攻擊。

7. 開源代碼

開源平臺和開源代碼庫驅(qū)動了復(fù)雜物聯(lián)網(wǎng)產(chǎn)品的快速發(fā)展。然而，由于物聯(lián)網(wǎng)設(shè)備常使用第三方開源組件，而這些組件通常采用了未知或未記錄源，固件也就往往淪為了未受保護(hù)的攻擊界面，無法抵御黑客攻擊。將開源平臺更新至最新版本就可輕易解決該問題，但很多設(shè)備仍在包含已知漏洞的情況下就發(fā)布了。

8. 調(diào)試服務(wù)

物聯(lián)網(wǎng)設(shè)備測試版中的調(diào)試信息，可使設(shè)備開發(fā)人員知悉設(shè)備內(nèi)部系統(tǒng)相關(guān)情況。但不幸的是，調(diào)試系統(tǒng)常被放到了生產(chǎn)設(shè)備中，讓黑客也獲悉了同一份設(shè)備內(nèi)部信息。

公司往市場中快速投放新物聯(lián)網(wǎng)產(chǎn)品，企業(yè)也隨之盡快從物聯(lián)網(wǎng)部署中獲得諸多好處，但速度優(yōu)先未必要以犧牲安全為代價。

值得欣喜的是，上述常見物聯(lián)網(wǎng)漏洞利用是可以避免的，且緩解方式無需制造商投入額外開銷。物聯(lián)網(wǎng)安全最佳實(shí)踐可以從以下幾條開始：

1. 升級物聯(lián)網(wǎng)設(shè)備固件，修改默認(rèn)密碼。

2. 盤點(diǎn)自身網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備，做到對自己的風(fēng)險暴露面有全面的了解。

3. 聯(lián)系所部屬物聯(lián)網(wǎng)設(shè)備的制造商，詢問他們是否為上述常見漏洞負(fù)責(zé)。如果不負(fù)責(zé)，要求他們在其固件和物聯(lián)網(wǎng)設(shè)備中實(shí)現(xiàn)安全編碼操作。

Gartner 物聯(lián)網(wǎng)設(shè)備技術(shù)與趨勢報告：

https://www.gartner.com/en/newsroom/press-releases/2018-11-07-gartner-identifies-top-10-strategic-iot-technologies-and-trends