物联网安全指南:如何防范IoT设备漏洞与FUD恐慌

本文深入探讨物联网设备的安全风险,分析攻击面差异,并提供实用的家庭安全配置建议,包括禁用云连接、防范CSRF攻击、路由器设置优化等,帮助用户理性应对IoT安全威胁。

Jump ESP, jump!: 如何保护家庭免受“物联网”和FUD的影响

TL;DR,大多数关于物联网的安全新闻都充满了FUD(恐惧、不确定性和怀疑)。始终将风险放在上下文中——谁能利用这个漏洞,攻击者能用它做什么。大多数报道只覆盖了后者。

引言

几乎没有一天没有新闻说另一个“物联网”设备被黑客攻击。“智能”保险箱、“智能”步枪、“智能”汽车、“智能”冰箱、“智能”电视、“智能”报警系统、“智能”电表、“智能”灯泡、NAS设备、路由器。这些设备每天都在被黑客攻击。因为大多数这些设备在设计时从未将安全作为目标,其中一些甚至从未经过安全专业人士的测试,所以这些东西充满漏洞也就不足为奇了。

独立安全研究人员发现这些漏洞,写一篇很酷的博客文章或做一个关于漏洞和利用的演示,而媒体为了更多的点击量而忽略了限制。“我们都完蛋了”我们可以在新闻中读到,但有时风险深埋在技术术语中。请注意,我在这里指责的是新闻网站,而不是研究人员。

http://www.slideshare.net/danielmiessler/iot-attack-surfaces-defcon-2015

以下风险之间存在巨大差异:

  • 攻击者可以从互联网直接与路由器(或摄像头)通信,无需认证即可利用漏洞。这是最坏的情况。例如,针对你的NAS的自动化勒索软件攻击非常糟糕。
  • 攻击者必须将自己定位在同一个WAN网络中(例如Jeep黑客攻击中的Sprint移动网络)才能利用漏洞。这仍然非常糟糕。
  • 易受攻击的代码不能直接从互联网触发,但可以使用像CSRF这样的技巧来利用它(本文后面会详细说明)。
  • 易受攻击的代码不能直接从互联网触发,并且它使用防止跨协议脚本的协议/端口。攻击者在利用此漏洞之前必须访问本地网络。

就像最坏的情况一样,人们可以找到很多连接到互联网的设备。你总是可以在http://explorer.shodanhq.com/#/explore找到有趣的东西,或者使用nmap截图脚本来找到你自己的东西:)

网络暴露

大多数设备位于IPv4 NAT设备(例如家庭路由器)后面,因此默认情况下无法从互联网端访问。除非设备通过UPNP配置防火墙。或者设备具有持久云连接,并且云可以向设备发送命令。或者设备使用IPv6隧道(例如Teredo),因此可以从互联网访问。但并非家庭网络上的每个漏洞都可以直接从互联网访问。随着越来越多的设备和网络支持IPv6,这种情况可能会改变,但我希望大多数家庭路由器在其IPv6防火墙模块中默认采用拒绝配置。另一方面,由于IPv6地址数量庞大,盲目扫描IPv6设备不可行,但一些技巧可能有效。

如果攻击者无法直接访问设备,有一种方法可以通过用户的浏览器入侵它。只需说服受害用户访问一个网站,并通过CSRF(跨站请求伪造)和暴力破解设备IP,就有可能入侵一些设备(主要通过HTTP——如果利用可以适应简单的GET或POST命令)。

如果攻击者无法通过互联网直接攻击设备漏洞,或通过CSRF,但已连接到同一网络——网络暴露显著缩小。当攻击者与你在同一网络上时,我打赌你有比物联网设备安全更大的问题……

对家庭用户的建议

不要买你不需要的****

断开你不需要7*24小时操作的物联网设备的电源线。

如果不必要,禁用云连接

例如,我有一个可以通过“云”访问的NAS设备,但我通过不为设备配置任何默认网关来禁用了它。我更喜欢通过VPN连接到我的网络,并通过它访问我所有的东西。

防止CSRF攻击

我使用两个技巧。不要在家里使用192.168.0.x - 192.168.10.x网络——而是使用不常见的IP范围(例如192.168.156.x更好)。第二个技巧是我在我的主浏览器中配置了Adblock插件来阻止访问我的内部网络。每当我想要访问我的内部设备时,我使用另一个浏览器。更新:在Firefox上,你可以使用NoScript ABE来阻止访问内部资源。

检查你的路由器配置:

  • 禁用UPnP
  • 检查防火墙设置并禁用不必要的端口转发
  • 检查IPv6设置,并将防火墙配置为默认拒绝传入的IPv6 TCP/UDP。

更改默认密码,特别是对于连接到互联网的服务。遵循密码最佳实践。

运行Nmap来定位家庭网络中的新物联网设备:)

运行WiFi扫描来定位新的WiFi接入点

让我与你分享一个个人经历。我搬进了一所新房子,并带了我自己的WiFi路由器。我插上它,然后就忘记了WiFi。几个月后,结果发现我的房子里还有另外两个WiFi设备——电缆调制解调器有自己的集成WiFi,底部印有默认密码,机顶盒也一样——底部印有默认WiFi密码。不要忘记扫描ZigBee、蓝牙、IrDA、FM等……

更新你的设备——如果你手头有很多空闲时间。

不要允许你的客人连接到你的家庭网络。为他们设置一个独立的AP。想象一下你的侄子从你的NAS或DNLA服务器窃取你的私人照片或视频。

能力越大,责任越大。你家里拥有的设备越少,你需要维护这些设备的时间就越少。

阅读你的设备手册。了解不同的接口。以安全的方式配置它。

如果你不需要IPv6,禁用Teredo协议。

停止对垃圾黑客行为感到惊讶。

更新:禁用WebRTC:https://www.browserleaks.com/webrtc,在Chrome中你可以使用这个扩展:https://chrome.google.com/webstore/detail/webrtc-network-limiter/npeicpdbkakmehahjeeohfdhnlpdklia

更新:通过配置可以阻止内部IP地址的DNS服务器来防止DNS重绑定攻击。OpenDNS可以阻止内部IP,但这不是默认选项,你必须配置它。

对供应商的建议

对于供应商,我至少推荐以下内容:

  • 在软件开发生命周期中实施安全
  • 持续安全测试和漏洞赏金
  • 无缝自动更新
  • 选择加入云连接

对记者的建议

停止FUD。拜托了。

在失去理智之前要问的问题

  • 谁能利用这个漏洞?
  • 我们关于攻击成功利用漏洞有哪些先决条件?攻击者是否已经在你的家庭网络中?如果是,你可能还有更大的问题。
  • 当利用成功时,攻击者能做什么?

最后但同样重要的是,不要忘记在物联网设备的情况下,有时用户是产品,而不是客户。物联网是关于为营销目的收集数据。

http://blog.open-xchange.com/2015/02/09/iot/

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次