剑客
关注科技互联网

设备制造商如何未能吸取过去安全

设备制造商如何未能吸取过去安全

每个互联网连接的设备是 cyberattacker 的一个潜在武器。
图像︰ iStock

检查潜在的网络安全漏洞内新兴的连接的技术指出,它是”慢慢地变得越来越流行,但规范中的安全是令人担忧”的报告。

此外,文档详细介绍了如何技术包含安全风险包括”的机密性的丧失”,这可能源于,在其他的事情,”默认配置”和”中人”和”[拒绝服务] DoS 攻击”。

设备制造商如何未能吸取过去安全

第一次重大的物联网安全违法行为只是在拐角处

巨大的安全违反追溯回去无担保物联网设备将发生在未来的两年内,安全专家警告。

  • 阅读更多

它听起来像面临物联网的网络安全问题最近警告但文本事实上从一篇论文题为蓝牙和及其固有的安全问题,这 14 年前发表。

作为蓝牙开发,所以它的安全改进 — — 但是最近的安全问题与互联网的事情表明,同样的问题要处理所有超过再次。科技安全的时候,我们似乎注定要见证历史重演 — — 在又一遍。

“这就像我们没有学到任何从蓝牙”说家网络安全公司 Malwarebytes CISO 贾斯汀多莉。

不幸的是,这种模式已转移到物联网的设备。虽然产品生成器可能有满不在乎的态度,确保他们闪闪发亮的新设备不受黑客和网络攻击,网络安全专业人员正在表示怀疑。

“看到这些物联网供应商在做什么,它只是吹我因为他们还没有学会从历史看,”说史蒂夫 Manzuik,在垛垛安全实验室的安全研究部主任。”他们完全无视一切有过坏的漏洞”。

看走向大规模的网络攻击攻击再强啡肽,为数百家大型域名系统商网站,含铬留下许多无法访问服务包括 Twitter、 Reddit,Spotify 和索尼的游戏网络上星期。大规模的 DDoS 攻击为了过载系统和防止访问他们空房的服务 — — 和它的人民是认为未来互联网的东西僵尸网络是整件事背后。

物联网的设备如 web 服务器、 路由器、 调制解调器、 网络附加存储 (NAS) 设备、 闭路电视系统和工业控制系统,可以所有被编入僵尸网络进行 DDoS 攻击。

将添加到该服务,如 Shodan,允许任何人以搜索为世界各地的物联网设备。许多这些设备仍将使用默认的登录凭据 — — 如果他们有密码放在第一位。在一起把所有这些因素,很明显有一个巨大的问题,与恶意行为者能够轻松地招募大片的设备到僵尸网络,他们可以背叛他们选择的目标。

但是安全甚至不会考虑很多连接的设备制造商、 老漏洞再现的到这样的程度。詹姆斯 · 莱恩,Sophos 安全研究全球主管说:”我们在我们处理 Windows 98 和 Windows XP 中,如纯文本凭据的安全问题的境界”。

因为安全是如此的穷人在物联网的设备,找到漏洞就像”在桶里的射鱼”,说两人安全 Manzuik。”他们很容易找到,它们很容易利用。这就像我们只在重复 90 年代末和早期 ‘ 00 各地再次与这些设备”。

它不是这些建筑设备只差正在实施安全,他们甚至只是没有考虑它作为无论他们正在建的物联网产品设计的一部分。”这些公司大多数不努力。它不是我们谈论高端是编写代码的副产品的利用方式。Sophos 的莱恩说︰ 这是他们不在这一过程,建设安全任何方式”。

为什么过去的教训被忽略?它是简单的。公司只是想向公众显示为尽快,和以最低成本制造出来他们的设备。在安全建设需要时间,精力,和 — — 也许最重要的是对于一些 — — 钱,所以安全忽略为了出去产品推向市场以低廉的价格和之前市场得到了饱和的同类产品。

“物联网产品会有漏洞,因为供应商想要得到这些设备出了门,供人们使用他们,,有时它悍然不顾安全,”说 Malwarebytes 的多莉。

设备制造商如何未能吸取过去安全

黑客是如何攻击乌克兰的电网︰ 对工业物联网安全的影响

2015 年 12 月网络攻击对乌克兰电力公用事业是罕见的造成了实际损害。但是,证据确实充分广泛渗透到组织的业务系统。

  • 阅读更多

第二个问题是物联网设备代表一个相对较新的空间。它只走主流在过去两年左右的时间,并因此部门填满组织生产任何东西从连接的厨房家电到交互式宠物饲养者对家庭助理。在急于这样做,粗心大意、 经验不足或疏忽可能意味着这些年轻的公司忽视安全。

“很多这些物联网公司是创业公司,所以我不认为他们甚至意识到之前就太晚了,当他们得到安全报告从研究者或有人张贴有关其漏洞在 twitter 上,它是有事要做,”Manzuik 说。

它只会一点点的努力推动物联网设备的固有的网络安全。

“并不需要大量的工作,防止命令注入式攻击。它并不需要大量的工作来加密你的秘密,并有很规范的图书馆,让你做得很好,”说,莱恩,感叹如何他很乐意在处理”迷人高端零日漏洞”的位置,而是”处理被系统管理员密码”。

如果严格的安全法规适用于所有物联网设备,生产他们的公司很可能会迅速改变他们如何建立自己的产品。

“我们要得到更多的供应商正在举行的例子一样懈怠,因为这么多的安全漏洞不是在营的 ‘不做这样的尝试,高端有趣 bug'”,说莱恩。

“不好的事情将要发生,要使政府步与条例,”Manzuik 说。

阅读更多关于网络安全和物联网

  • 第一次重大的物联网安全违法行为只是在拐角处
  • 物联网的安全是可怕︰ 这里是怎么做才能保护自己
  • 如何防止您的安全摄像机被黑客攻击 [CNET]
  • 物联网︰ 找到一条出路的安全噩梦
  • 物联网安全海啸来了你准备好了吗?[TechRepublic]

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址