物联网安全指南:如何保护智能家居免受黑客攻击

本文深入分析了物联网设备面临的安全威胁,提供了针对家庭用户的具体防护建议。文章详细讨论了网络暴露风险、CSRF攻击等关键技术问题,并给出了路由器配置、密码管理等实用安全措施,帮助读者建立全面的智能家居防护体系。

Jump ESP, jump!: 如何保护您的家庭免受"物联网"和FUD的威胁

TL;DR,大多数关于物联网的安全新闻都充满了FUD(恐惧、不确定性和怀疑)。始终要将风险放在具体情境中考虑——谁能利用这个漏洞?攻击者能利用它做什么?大多数报道只涵盖了后者。

引言

几乎每天都有新闻说另一个"物联网"设备被黑客攻击。“智能"保险箱、“智能"步枪、“智能"汽车、“智能"冰箱、“智能"电视、“智能"报警系统、“智能"电表、“智能"灯泡、NAS设备、路由器。这些设备每天都在被黑客攻击。因为大多数这些设备在设计时从未将安全性作为目标,其中一些甚至从未经过安全专业人员的测试,所以这些设备充满漏洞也就不足为奇了。

独立安全研究人员发现这些漏洞,撰写精彩的博客文章或就漏洞和利用进行演示,而媒体为了获得更多点击量而忽略了限制条件。我们在新闻中读到"我们都完蛋了”,但有时风险深埋在技术术语中。请注意,我在这里指责的是新闻网站,而不是研究人员。

http://www.slideshare.net/danielmiessler/iot-attack-surfaces-defcon-2015

以下风险之间存在巨大差异:

  • 攻击者可以在没有身份验证的情况下直接从互联网与路由器(或摄像头)通信并利用漏洞。这是最坏的情况。例如,针对NAS的自动化勒索软件攻击非常糟糕。
  • 攻击者必须将自己定位在相同的WAN网络(例如吉普黑客攻击中的Sprint移动网络)中才能利用漏洞。这仍然相当糟糕。
  • 漏洞代码不能直接从互联网触发,但可以使用CSRF等技巧来利用(本文后面会详细说明)。
  • 漏洞代码不能直接从互联网触发,并且它使用防止跨协议脚本的协议/端口。攻击者在利用此漏洞之前必须访问本地网络。

就像最坏情况一样,人们可以发现很多连接到互联网的设备。您总是可以在http://explorer.shodanhq.com/#/explore找到有趣的东西,或者使用nmap截图脚本来查找自己的设备:)

网络暴露

大多数设备位于IPv4 NAT设备(例如家庭路由器)后面,因此默认情况下无法从互联网端访问。除非设备通过UPNP配置防火墙。或者设备具有持久云连接,并且云可以向设备发送命令。或者设备使用IPv6隧道(例如Teredo),因此可以从互联网访问。但并非家庭网络上的每个漏洞都可以直接从互联网访问。随着越来越多的设备和网络支持IPv6,这种情况可能会改变,但我希望大多数家庭路由器在其IPv6防火墙模块中默认采用拒绝配置。另一方面,由于IPv6地址数量庞大,盲目扫描IPv6设备不可行,但一些技巧可能有效。

如果攻击者无法直接访问设备,有一种方法可以通过用户的浏览器入侵它。只需说服受害用户访问网站,通过CSRF(跨站请求伪造)和暴力破解设备IP,就有可能入侵一些设备(主要通过HTTP——如果漏洞利用可以适应简单的GET或POST命令)。

如果攻击者无法通过互联网直接攻击设备漏洞,或通过CSRF攻击,但已连接到同一网络——网络暴露显著缩小。当攻击者与您在同一网络时,我打赌您有比物联网设备安全更大的问题……

给家庭用户的建议

不要购买不需要的垃圾

断开不需要7*24小时运行的物联网设备的电源线。

如果不需要,禁用云连接。例如,我有一个可以通过"云"访问的NAS设备,但我通过不为设备配置任何默认网关来禁用了它。我更喜欢通过VPN连接到我的网络,并通过VPN访问我所有的东西。

防止CSRF攻击。我使用两个技巧。在家不要使用192.168.0.x - 192.168.10.x网络——改用不常见的IP范围(例如192.168.156.x更好)。第二个技巧是我在我的主浏览器中配置了Adblock插件来阻止访问我的内部网络。每当我想访问内部设备时,我使用另一个浏览器。更新:在Firefox上,您可以使用NoScript ABE来阻止访问内部资源。

检查路由器配置

  • 禁用UPnP
  • 检查防火墙设置并禁用不必要的端口转发
  • 检查IPv6设置,并将防火墙配置为默认拒绝传入的IPv6 TCP/UDP。

更改默认密码,特别是对于连接到互联网的服务。遵循密码最佳实践。

运行Nmap来定位家庭网络中的新物联网设备:)

运行WiFi扫描来定位新的WiFi接入点。让我与您分享一个个人经历。我搬进一所新房子,带了自己的WiFi路由器。我插上电源,就忘记了WiFi。几个月后,结果发现我的房子里还有另外两个WiFi设备——电缆调制解调器有自己的集成WiFi,底部印有默认密码,机顶盒也一样——底部印有默认WiFi密码。不要忘记扫描ZigBee、蓝牙、IrDA、FM等……

更新您的设备——如果您手头有很多空闲时间。

不要让客人连接到您的家庭网络。为他们设置一个独立的AP。想象一下您的侄子从您的NAS或DNLA服务器窃取您的私人照片或视频。

能力越大,责任越大。您家中拥有的设备越少,维护这些设备所需的时间就越少。

阅读设备手册。了解不同的接口。以安全的方式配置它。

如果不需要IPv6,禁用Teredo协议

停止对垃圾黑客攻击感到惊讶

更新:禁用WebRTC:https://www.browserleaks.com/webrtc,在Chrome中您可以使用此扩展:https://chrome.google.com/webstore/detail/webrtc-network-limiter/npeicpdbkakmehahjeeohfdhnlpdklia

更新:通过配置可以阻止内部IP地址的DNS服务器来防止DNS重绑定攻击。OpenDNS可以阻止内部IP,但这不是默认选项,您必须配置它。

给供应商的建议

对于供应商,我至少推荐以下内容:

  • 在软件开发生命周期中实施安全
  • 持续安全测试和漏洞赏金
  • 无缝自动更新
  • 选择加入的云连接

给记者的建议

停止FUD。拜托了。

在惊慌失措之前要问的问题

  • 谁能利用这个漏洞?
  • 成功利用漏洞需要什么先决条件?攻击者是否已经在您的家庭网络中?如果是,您可能有更大的问题。
  • 攻击者在利用成功时能做什么?

最后但同样重要的是,不要忘记在物联网设备的情况下,有时用户是产品,而不是客户。物联网是为了营销目的收集数据。

http://blog.open-xchange.com/2015/02/09/iot/

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次