本帖最后由 jinjun1327 于 2017-4-17 16:45 编辑
4月14日,《速度与激情8》在大陆地区上映,小编前两天得空也去观赏了这部期待已久的动作大片。一千个读者心中有一千个哈姆雷特,不同性格/职业的人从这部影片中看到了不一样的东西,有人看到了英雄主义、有人看到了激情、有人看到对热爱的事/人的固执与不放弃,然而小编看到的只是网络安全问题!影片中反派多次利用网络系统“干坏事”,来完成自我需要的阴谋。在影片的开头不久,塞弗(剧中大反派)通过网络找到了在古巴蜜月的多姆(主角);飞车家族利用“天眼”试图追踪叛变的多姆;塞弗夺走“天眼”后反利用它追踪家族成员等等,剧中塞弗调出城市摄像头监控多姆和僵尸车阵的场景印象最深刻(请原谅不小心的剧透)。小编看完“速8”后不禁联想到目前网络安全的问题。 多年来,网络安全防护和网络攻击一直处于“道”与“魔”博弈中,物联网、车联网安全不可忽视。随着智能处理技术的发展,物联网设备已逐步应用到许多行业领域,多采用嵌入式操作系统的物联网设备存在众多漏洞,很容易沦为黑客的傀儡攻击工具。事实上,整个物联网系统都可能存在安全漏洞。通过对工控系统,智能设备,云端系统漏洞安全和现状的了解,发现目前物联网在一些几个方面中存在漏洞: 一.工业控制网络和设备系统漏洞。美国ICS-CERT小组指出,基于工业控制设备与物联网的连接使得基于系统漏洞的鱼叉式攻击成为2016年使用最为广泛的攻击方式,进入2017年,工业控制系统漏洞数量也将持续增加。 二.智能设备终端系统漏洞。智能设备开始全面普及,便捷与安全同时存在。厂商过于追逐用户数量和盈利,在安全防护方面却没有足够的重视和投入。2015年的Geekpwn大会上,黑客演示了破解智能家居的过程。物联网逐步发展,无论是厂商还是消费者都应该在安全防护方面引起足够的重视。 三.云端系统漏洞安全。在物联网基础设施领域,云端业务和数据也在逐步累积,而安全事件不断发生。同样以2015年为例,“毒液”漏洞使全球数以百万计的虚拟机处于网络攻击风险之中,严重威胁各大云服务提供商的数据安全。如今,越来越多的企业业务在云端开展,已知与未知的系统漏洞、APT攻击、0-Day攻击都将对物联网云端服务造成巨大威胁。 四.默认密码。国内安防监控设备的Telnet用户多使用root、admin、guest等常用名,这很容易被暴力猜测。另外使用这些设备的用户多为普通人,很少会修改Telnet服务的默认密码,使得Mirai等恶意App可以轻易控制大量安防监控设备。并且,有些物联网设备对登录口令采用了硬编码方式,不允许修改,这种情况下即使发现有病毒入侵这类系统,厂商和用户也只是无能为力。 所有新事物在发展初期都会产生不可避免的“错误”,毕竟世事无常,诸多事物在发展初期是无法预估到的,只能在实际应用中才能去观测出弊端,实时做出调整更改。北京烽火锦程呼吁设备开发商加强安全审核,避免出现口令硬编码无法修改的错误设计;呼吁用户在使用时,停止使用默认/通用密码,及时修改新的登录密码,尽可能避免物联网设备直接通过公网进行访问;呼吁企业搭建一个体系化的纵深安全防护体系,这也是降低物联网系统漏洞带来的安全风险最有效的方式。千里之堤毁于蚁穴,物联网设备应谨防安全漏洞。
|