在一份充分阐述物联网(IoT)安全性的声明中,它确实是今天透露(通过SlashDot链接)连接的茶壶上的Really Bad软件被利用,显示Gmail密码和其他有趣的项目。甚至还有一个YouTube视频展示它有多有趣。
这对系统安全来说是个坏兆头,无论是在数据中心还是在云中。雷竞技电脑网站引人注目的是,无论是在家工作的员工,还是在一家机构的餐厅工作的员工,在经过审查之前,物联网设备都代表着惊人的系统安全隐患。
除非你的流量是完全加密的——从每个AP接口使用单独的密钥,从组织资产正确地VLAN出来——一个简单的茶壶可能是网络的后门,它可以找到任何资源,通过读取流量流,将其泄露给任何拥有美味天线的人。
这是什么意思?物联网设备将会受到质疑,但即使是那些构造良好的设备——不像展示的iKettle——也需要更新,因为会有更多的新设备有趣的找出适用的方法。这些更新需要来自经过审查的来源,使用防篡改的交付方法将更新有效载荷发送到设备上。
在此期间,用于访问云资源的get/post命令中的密钥可能需要基于证书/验证,随机旋转证书以确保DNS和/或证书颁发机构没有受到威胁。
这一切都要求我们重新审视互联网协议的工作方式,以及我们如何培训It人员使用它们。
黑客大会如CCC, DEFCON, BlackHat, RSA和其他会议需要继续他们的工作。然而,某些零售商需要考虑货架上产品的可行性……也许保险商实验室、CSA和其他责任保险机构实验室需要一个新的数据,以便开始一些可能同样重要的事情:物联网笔测试。没有贴纸吗?没有进口。