2018年02月02日
隨著物聯網深入普及,任何聯網的設備,例如,監控攝像、路由器、數字視頻記錄器、可穿戴設備、智能燈等都存在安全風險,并且大多數使用人群都不知道如何保護它們的網絡安全。
2016到2017年,大型僵尸網絡發起的攻擊都是通過入侵物聯網設備實現的。很多專家都認為互聯網安全“前路險惡”。但是也不必太悲觀,方法總比問題多。下文我們將介紹提高物聯網安全的6條基本原則,降低被攻擊風險,避免讓物聯網設備成為你最大的弱點。
第1條:避免設備直接聯網。
不部署防火墻或將防火墻置于設備后端的行為均不可取。防火墻應置于該設備聯網之前,在防火墻中開放特定端口實現設備的遠程訪問。
很多IoT設備在生產過程中都不會考慮到安全這一環,如果聯網前沒有防火墻保護,這相當于我們主動將攻擊者邀請到我們的網絡中“做客”。很多路由器一般都有內置防火墻,但其它設備我們就必須為它們穿上防火墻這件保護衣。
第2條:更改默認密碼。
拿到這些設備后我們要做的第一件事就是把初始密碼改成復雜的你又記得住的密碼。就算密碼忘記了,也不是走投無路,現在市場上大多數設備都有恢復出廠設置的功能。
但是也有很多情況比較悲劇,很多物聯網設備,尤其是安全監控設備、DVR在安全問題上實在設計得太差,就算改掉初始密碼,一旦連網,內置的web界面還是無法阻止任何攻擊活動的入侵。
而且,很多設備被發現存在隱藏的后門,攻擊者能夠利用這些后門程序對你的設備進行遠程控制。所以第一條原則的重要性也就可想而知。
第3條:更新固件。
硬件供應商有時會為支持他們設備的軟件(稱為“固件”)提供安全更新程序。因此,安裝設備之前先訪問廠商官網查看是否有固件更新,另外也要養成定期查看的習慣。
第4條:檢查默認設置。
確保像UPnP(通用即插即用,主要用于設備的智能互聯互通,能夠在你不知情的情況下開放防火墻端口)這類你不需要的功能已經被設置成“禁用”。
如何才能知道路由器的防火墻是否被“挖了洞”?Censys這個搜索引擎兼具掃描功能:首先打開whatismyipaddress.com,然后將IP地址復制到censys.io的搜索框中,從下拉菜單中選擇“ipv4 hosts”,點擊“搜索”。
如果剛好你的ISP地址在censys的黑名單中,可以訪問Steve Gibson的 Shield’s Up頁面 ,上面有一個點擊工具,能夠幫助你發現你所在網絡中哪個網關或端口被惡意打開。通過網絡搜索開放端口往往能夠獲得有效信息,確定設備可能存在的漏洞。
如果你的計算機中安裝了反病毒軟件,確保升級到網絡安全或互聯網安全版本,開啟軟件防火墻的所有功能,確保能夠攔截特定端口的進出流量。
第5條:避免購買具有內置P2P(對等網絡)功能的物聯網設備。
P2P物聯網設備的安全防護實施起來非常困難。很多研究都表明,即使有防火墻,攻擊者也能實現遠程訪問,因為P2P的配置特點之一就是持續不斷地連接共享網絡,直到成功。因此攻擊者完全有可能實現遠程訪問。這也是人們對物聯網設備安全存在恐慌心理的原因之一。
第6條:成本越低的設備,安全性可能越差。
90%廉價的物聯網設備都不安全。當然,價格與安全性沒有直接關聯,但是無數案例說明,價格范圍較低的設備往往漏洞和后門更多,廠商的維護和售后支持力度也不夠。
2017年年底,Mirai病毒(有史以來規模最大的物聯網惡意軟件威脅之一)的三元兇認罪,美國司法部(DOJ)也發布了一系列保護物聯網設備的安全提示,詳情戳此處。