新兴市场的小工具触发喷水灭火系统,帮助您计算您的次数摆动一只蝙蝠,或者暗淡灯光自动上涨。
这是由于这些设备如何在公司办公室,在会议室,行政套房,行政套房,甚至作为低成本建设安全摄像机系统中使用的企业办公室的关注。专家声称该行业没有足够的做法来保护这些设备。
克雷格年轻,一个网络安全研究员绊倒说这个问题的很大一部分是固件不更新定期。
在最近的一个例子Michigan大学的研究人员发现他们能够破解三星Smarthings平台,甚至控制整个家庭自动化系统。研究人员能够在用于新安装的PIN码上窃听。
“这些公司有时意图通过固件升级来修复像这样的漏洞,但随后永远不会绕过它,因为他们不想破坏用户基础,”杨说。
他描述了如何在某些情况下,他从像一个公司测试了新的设备贝尔金或者眨眼,找到一个潜在的安全漏洞,通知它们并耐心地等待何时修补新的漏洞,这可能需要太长。
年轻人说最常见的黑客是闯入连接的家庭集线器,然后进入任何连接的设备,包括门锁,运动检测器,喷洒系统,甚至保护家庭的报警系统。
出人意料的是,很少有安全Apps中,可以监控物联网设备的互联网,让你知道任何新出现的攻击向量,并告诉你最近的任何妥协。
“当我们看一下我们的工作空间的今天,已经有多个无线设备,从蓝牙鼠标无线键盘,和我们有谁开发上运行他们或者是从,即将固件知之甚少”罗马Foeckl说,首席执行官cososys.。
“随着今日在互联网连接的设备到位的小安全性,随着在家庭和工作场所的越来越多的IOT设备,威胁将继续乘以乘法。”
为什么这是个问题?
黑客似乎总是涌向最流行的平台。这是原因之一有适用于Windows用户比苹果更大的风险 - 有一个更大的足迹。根据BI智能,将有世界34台十亿连接的设备,到2020年,创造了$ 6兆业;出人意料的是,BI名企业为主体的物联网采纳者。成本低,小工具非常易于安装,并且他们解决困扰的问题(例如,安装一个运动检测器,找出白天有多少人使用的会议室)。
这方面的一个很好的例子就是贝尔金微蒙平台。杨说,你可以安装一个设备,如该出口,您可以使用智能手机控制在五分钟内。然而,有可能不适合那样的产品的任何入侵检测。在最坏的情况下,他说,中国的黑客能找到这些网点中的漏洞,然后反复功率循环他们为数以千计的用户遍布美国,以造成大规模停电。然而,对于最终用户,有一些令人难以置信的实用性,节能,成本低,以及一个简单的安装。
Foeckl表示,这是这种新兴的实用性和有用性,使IOT更脆弱。一个新的连接设备解决了一个问题,但我们并不总是知道常用软件或用于解决新问题的软件。物联网设备是超简单的,但它们经常共享他们的Wi-Fi凭据。事实上,年轻人说最大的风险之一是黑客可以拦截Wi-Fi网络的密码,这是两年前发生的事情研究人员发现LIFX连接的灯泡暴露的网络配置。
当问及一份声明,一个LIFX发言人表示,该公司重视安全性,并“努力为客户提供一种体验,消费者,他们的家园,和第一Wi-Fi网络的看跌期权的安全。我们将继续加强产品援助在安全和消费者家中的保护“。
[也在CSO上:CSO IOT生存指南]
Craig Spiezle,谁是执行董事和非营利性在线安全和隐私看门狗组的总裁网上信任联盟(OTA)说,IOT有几个问题,使其成为一个大的攻击面。
对于初学者来说,消费者和企业都开始依赖于这些小玩意;通过快速和激烈,该装置的安全性是次要的问题。有没有给其他同样强大的安全性测试和修补程序管理,更成熟的产品,如服务器和智能手机。
他提到的另一个问题是,有可能是与物联网设备最初的努力,当产品是新的,但有太多的“孤立”的设备仍然连接到剩下未打补丁而忽视了网络。这方面的一个典型的例子是鸟巢Revolv智能应用中心。研究人员发现了严重的安全缺陷, 在四月份巢宣布该公司将停止产品,不会更新任何固件。
年轻人说一个更关键的问题是许多较小的物联网公司都有一个小员工 - 他们甚至没有为他们工作的安全专业人士,他们倾向于使用可能或可能没有认证的第三方电子产品或者甚至测试了安全性。市场是如此之遍,主要目标是现在将这些小工具迅速推向市场。
可以做些什么?
好消息是,像Belkin这样的较大的IOT公司开始回应问题。年轻人说,他已经看到了公司如何响应固件问题或至少承认存在不断增长的问题。实际上,当LIFX发现关于Wi-Fi凭证的缺陷时,他们立刻修补了它。
因为有这么多的小公司做物联网设备,该问题不会很快消失。Foeckl说,IT部门需要开始,包括他们的安全监控力度和认证和测试流程物联网设备,以及他们应该与他们的供应商合作,以确保这些设备的补丁,跟踪和保护。
“另一项重要任务是,告知用户收集到的信息,引导他们保持安全的良好做法,在更改密码的建议,报告异常活动的隐私政策的发展,” Foeckl说。“充分了解用户代表一个伟大的前提下,以防止数据泄露而不管威胁的载体。”
Spiezle说一个答案是开发一个综合的物联网设备认证程序,如Ota's信任框架作为打击的方式免费为所有。英特尔还加强了对板为IoT设备提供了更大的优先级。
最终,真正的答案与它采购决策有关。丹里昂,安全 - AS-Service公司的主要顾问Cigital的,表示企业需要开始评估IOT产品,而不仅可以为他们提供的福利,而且还要对嵌入式安全功能进行评估。
“一旦风险被理解,企业可以开始要求生产商进行系统的安全性,并支持他们在长期的。”他说。“当这些方面作为购买决策点,那么厂家会作出适当的反应。”
这可能无法解决遗留物联网设备的问题,甚至可能会缓慢市场采用,但企业(和消费者)可能能够更轻松地呼吸。
[三星回应与本文相关的问题,通过CSO在线指导他们先前发布的声明,可以在他们的博客上观看。当被问及有关详细信息,关于他们是如何应对物联网的漏洞,Belkin和表情没有响应请求。]
这个故事,“安全问题升级的东西设备”最初发布CSO 。