官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据the hacker news消息,到 2021 年底,联网的物联网设备将达到 120 亿台,到 2025 年,这一数字将增至270 亿台。在线的物联网设备使得有效数据得以传输,使工业、医药和汽车等领域变得更加智能和高效。
但是,这些联网设备的安全由谁来守护?我们可以采取哪些措施来防止类似数据盗窃形式的网络犯罪呢?
物联网的安全系数会提高吗?
近年来,与物联网相关的安全漏洞数量显著增加。但大多数物联网设备用的都是出厂时的默认密码,并长时间处于“公开状态”,更有甚者,许多廉价、低容量的物联网设备甚至缺乏最基本的安全保障。
这还不是全部,安全专家每天都有发现新的关键漏洞。许多经过安全审计的物联网设备依然反复出现相同的安全问题,诸如IP甚至无线电层面的远程代码执行漏洞、未经身份验证或损坏的访问控制机制等。
最常见的安全问题在于薄弱的硬件安全,一旦设备落入不法分子的手中,他们将利用一切可以利用的漏洞发起攻击。操作手段主要是:提取以明文形式存储在设备内存中的安全凭证 → 使用这些数据侵入设备数据所在的服务器 → 在“暗网”中共享或出售这些凭据以远程攻击其他同类设备等。
在物联网领域,一场没有硝烟的战争正在进行当中,数以万计的物联网设备已经遭到入侵。据 Orange Cyberdefense 提供的一组数据显示,2019 年,平均3分钟内就有一个脆弱的物联网设备被感染,而2021年,一个物联网设备平均每天要被100多个不同的僵尸网络攻击2814次。因此,在僵尸网络 Mirai 出现五年之后,一个名为 Meris 的新型物联网僵尸网络出现并被用于对俄罗斯超大型搜索引擎网站Yandex,进行大规模DDoS 攻击也就不足为奇了。
隧道的尽头是光
然而,这种情况可能会在不久的将来发生转变。近期,欧洲电信业公司 Orange与电子设备制造商Thales合作,发起了一项名为“ IoT SAFE ”的计倡议。事实表明,网络供应商商和物联网设备制造商之间的合作,可以显著提高物联网设备的安全性,从而改善其用户的安全状况。
由于设备和芯片组制造商、云提供商和移动网络运营商之间的广泛合作,GSMA(全球移动通信系统协会 )已将 IoT SAFE 标准化。
关键思路是将SIM卡作为一个应用性的KeyStore,安全密钥被安全地存储和动态管理。不再需要把密码交给一个不受信任的供应商,也无需添加昂贵且专用的安全元件。此外,没有对专有接口的要求。
借助 IoT SAFE,SIM 卡可以直接覆盖广泛的加密服务。
为什么坚持使用 SIM 或嵌入式 SIM 来保护 IoT 设备?这是因为 SIM 卡可以很好地抵御物理攻击。此外,由于它们也是标准化的,可以被认为是可靠且开发良好的芯片。所有连接到蜂窝网络的物联网设备通常都配备有 SIM 卡。随着用于工业物联网 5G 时代的到来,它们会因为成本低廉而受到极大的欢迎。
IoTSAFE 应用实例
此外,这个新标准还带来了整体简化的好处。在“零接触配置”实际应用案例中,一旦用户打开物联网设备,网络运营商就会远程安装和配置 IoT SAFE小程序的实例。然后,网络运营商指示小程序创建一个新的密钥对,其中包含安全存储在 SIM 卡上的私钥和发送回服务器的公钥。服务器生成新的客户端证书并将其发回小程序。最后,IoT SAFE 兼容设备使用此数据,通过相互验证的 TLS 会话建立与云的安全连接。
一旦发现设备存在被盗用的可能,证书将通过移动网络被远程删除。
IoT SAFE 还可以涵盖更复杂的应用场景,例如将关键用户数据存储在 SIM 上,或在执行前对软件进行身份验证,以防止 IoT 恶意软件执行未经授权的代码。
向着明亮且安全的物联网世界进发
Orange在2020年10月发布了该标准首个基于C语言的开源实现,该项目在两个受限设备上使用来自两个不同供应商的小程序进行了测试,并成功将公有云Azure和AWS,集成到私有云 Live Objects 中。得益于此开放源代码的许可,设备制造商将能够轻松实现 IoT SAFE 兼容设备。
IoT SAFE 倡议已在 Java Card 论坛、全球平台和移动物联网峰会等多个论坛被提及。IoT SAFE 的应用案例获得不少的围观和讨论,除了设备制造商、芯片制造商,以及飞机制造商外,不少物联网行业从业者均表示出极大的热情。其中,wolfSSL已在其著名的 SSL/TLS 库中添加了对 IoT SAFE 的支持。
有了IoT SAFE ,就一应俱全了吗?
不可否认的是,这些联网设备并非处于一个"全天候、无死角"的安全环境中,联网设备数量不断增加的同时,也带来了更大的安全威胁。此外,安全威胁被视为物联网市场发展的主要障碍。
根据物联网世界和 Omdia 的调查数据, 170 位行业领袖中有 85% 认为安全问题仍然是物联网采用的主要障碍。当潜在客户对采用物联网犹豫不决时,更多是出于对物联网设备安全的担心。
当然,只有可靠且安全的设备才能获得市场的推崇,带来合理的物联网业务增长。因此,供应商们都应积极为物联网安全做出贡献,以推动物联网市场的发展。
参考来源:https://thehackernews.com/2021/12/iot-safe-innovative-way-to-secure-iot.html