Pag-hack ng IoT: Mga Vulnerability at Mga Pamamaraan sa Pag-iwas

May -Akda: Roger Morrison
Petsa Ng Paglikha: 1 Setyembre 2021
I -Update Ang Petsa: 11 Mayo 2024
Anonim
Hackers Are Out Of Control
Video.: Hackers Are Out Of Control

Nilalaman


Pinagmulan: Luke Wilcox / Dreamstime.com

Takeaway:

Ang internet ng mga bagay (IoT) ay nagkokonekta nang higit pa at higit pang mga aparato araw-araw. Habang ito ay maaaring mangahulugan ng pinahusay na kaginhawaan para sa mga mamimili, nangangahulugan din ito ng pagtaas ng mga vectors ng pag-atake para sa mga hacker.

Kami ay nakatira sa isang konektadong mundo, kung saan halos lahat ng mga aparato ay nakakonekta. Ang internet ng mga bagay (IoT) ay lumalabas sa isang malaking paraan at may kamangha-manghang mga pagkakataon - ngunit nagdadala din ito ng malubhang banta sa seguridad. Ikinonekta ng IoT ang mga pisikal na aparato, kaya ang pag-hack ng mga aparato ng IoT ay may potensyal na gastos sa buhay ng tao. Ngayon ang oras upang masukat at magplano para sa mga kahinaan sa IoT at ang kanilang pag-iwas. Ang mga sumusunod ay ilan sa mga pinakamalaking alalahanin sa seguridad ng IoT. (Para sa higit pa sa seguridad ng IoT, tingnan ang 10 Mga Hakbang upang Palakasin ang Iyong IoT Security.)


Mga Di-secure na Network

Sa praktikal na pagsasalita, tumutukoy ito sa mga kahinaan na maaaring umiiral sa mga sistema ng network sa gayon pinapayagan ang mga hacker na muling ma-access. Ito ay isang pangunahing pag-aalala, dahil ang mga intruders ay nakakakuha ng access sa mga konektadong aparato sa pamamagitan ng network. Ang karagdagang mga implikasyon ay maaaring ma-access sa hindi awtorisado at potensyal na kumpidensyal na data na maaaring magamit para sa iba pang mga krimen.

Ang ilang mga problema na maaaring humantong sa isang hindi ligtas na network ay ang mga bukas na daungan (tulad ng Universal Plug and Play (UPnP)), mga serbisyo ng User Datagram Protocol (UDP) na mapagsamantala, overflow ng buffer, pagtanggi sa serbisyo (DoS), aparato ng network na fuzzing, atbp. Gayunpaman, mayroong mga countermeasures sa naturang mga problema, kabilang ang:

  • Ginagamit lamang ang kinakailangang mga port
  • Pagprotekta sa mga serbisyo mula sa buffer overflow at malabo pag-atake
  • Pagprotekta sa mga serbisyo mula sa pag-atake ng DoS para sa mga aparato sa lokal o iba pang mga network
  • Hindi umaalis sa mga port ng network na bukas sa UPnP

Physical Tampering

Ang mga di-siguradong bukas na dulo ay tulad ng mga bukas na port, USB konektor, mga mobile na singil, atbp, ay may pananagutan din sa pag-iniksyon ng malware sa mga aparato ng IoT. Pinapayagan ng pisikal na pag-tamper ng mga aparato ang isang umaatake na i-disassemble ang isang aparato at makakuha ng access sa imbakan ng media at data na naroroon sa daluyan na iyon. Bukod dito, kung ang tulad ng isang aparato ay ginagamit para sa pagpapanatili o mga pagsasaayos ng ilang mga control system, ang pag-access sa maling mga kamay ay maaaring mapahamak.


Gayunman, muli, ang pag-ampon ng ilang mga hakbang ay makakatulong sa pag-iwas sa pisikal na pag-aapi. Halimbawa, ang pag-iimbak ng data ay dapat na mai-encrypt at lalo pang naging mahirap tanggalin. Ang isa pang pagpipilian ay tiyakin na kinakailangan lamang ang mga panlabas na port na kinakailangan para sa pag-andar ng produkto ay pinapayagan ang pag-access. Ang limitasyon sa mga kakayahan sa administratibo ng aparato ay maaari ring maging kontra laban sa pisikal na pag-aapi. Bukod dito, ang pagpapanatili ng kagamitan sa isang ligtas na lokasyon na nagbibigay-daan sa pag-access lamang sa mga awtorisadong tauhan ay maaaring mabawasan ang peligro.

Mahina Web Interface

Ginagamit ang mga web interface upang makipag-ugnay sa IoT aparato. Habang hinihiling nito ang pagiging simple para sa pakikipag-ugnayan ng gumagamit, kung hindi ito ligtas mayroong bawat posibilidad na mai-hack ito. Ang ilang mga isyu na tiyak na maaaring humantong sa isang umaatake na nakakuha ng hindi awtorisadong pag-access sa isang aparato ay may kasamang mahina default na mga kredensyal, pagkakalantad ng mga kredensyal sa trapiko sa network, pamamahala ng session, scripts ng cross-site (XSS), SQL injection, atbp.

Ang pagbilang ng mga isyung ito ay maaaring gawin sa maraming paraan. Ang pagbabago ng default na mga username at password ay dapat sapilitang sa panahon ng paunang pag-setup. Ang mga pamamaraan na ginagamit para sa pagbawi ng password ay dapat na matibay upang hindi payagan ang pagtagas ng impormasyon. Ang mga password ay dapat ding magkaroon ng isang patakaran na nagbibigay-daan sa isang pag-setup ng mga malakas na code ng pass. Bilang karagdagan, hindi sila dapat mailantad sa trapiko sa network. Ang pag-unlad ng mga interface ay dapat gawin sa paraang hindi madaling makuha sa XSS at SQL injection. Gayundin, maaaring magamit ang mga lockout ng account sa isang tinukoy na bilang ng mga nabigo na mga pagtatangka.

Hindi na napapanahon na Mga Protocol at Mga Update sa System

Ang ilang mga matalinong aparato ay maaaring gumamit ng lipas na mga protocol at maaaring hindi regular na na-update. Ito ay isang mahinang punto at ang aparato ay maaaring mai-hack nang madali. Ang mismong ideya sa likod ng mga pag-update mula sa isang developer ay upang ayusin ang mga bug at kahinaan sa system sa paglipas ng panahon. Gayunpaman, ang paggamit ng hindi na-update na software higit sa lahat ay natalo ang layunin.Sa katunayan, maraming mga matalinong sistema na ginagamit upang makontrol ang mga elektronikong bagay tulad ng mga refrigerator, air conditioner, atbp, ay madaling mabiktima ng kakulangan ng mga update sa software. Samakatuwid, ang tanging paraan upang matiyak na ang mga kahinaan sa system ay naka-patched ay sa pamamagitan ng mga regular na pag-update.

Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay

Hindi mo mapagbuti ang iyong mga kasanayan sa pagprograma kapag walang nagmamalasakit sa kalidad ng software.

Gayundin, ang paggamit ng mga hindi napapanahong mga protocol ay maaaring dagdagan ang panganib at malubhang alalahanin. Ang isang halimbawa ng naturang protocol ay ang Session Initiation Protocol (SIP).

Data at Device Encryption

Minsan ang mga matalinong aparato ng IoT ay hindi naka-encrypt nang maayos. Ito ay higit sa lahat na laganap sa mga lokal na network at sa internet din sa malaking sukat. Ang naihatid na data, nang walang pag-encrypt, ay karaniwang nasa gitna ng trapiko para sa madaling pagpapakahulugan. Kadalasan, ang data ay nananatiling hindi naka-encrypt o mahina dahil sa hindi magandang pagpapatupad ng SSL / TLS. Ang nasabing data, sa maling mga kamay, ay humantong sa kompromiso, pag-tampoy, at pagbabago ng data. Kaya, ang paraan upang maiwasan ito ay upang magamit ang SSL / TLS na may wastong pagpapatupad. Ang paggamit ng mga standard na proseso ng pag-encrypt ng industriya ay maaari ring makatulong sa mas mahusay na kaligtasan ng data sa panahon ng imbakan o paghahatid. (Upang malaman ang higit pa tungkol sa kaligtasan ng IoT, tingnan ang The Key risks Associated With IoT - At Paano Maikayat ang mga Ito.)

Mga Sistema ng Autonomous

Ang mga system na kilala upang tamasahin ang kumpletong awtonomiya ay madalas na isang madaling target para sa mga hacker. Dahil ang mga sistemang ito ay bihirang nangangailangan ng interbensyon ng tao sa kanilang mga operasyon, mahirap silang subaybayan at magdulot din ng malaking peligro. Halimbawa, mag-isip ng kotse na nagmamaneho sa sarili na maaaring mai-hack upang huwag pansinin ang mga limitasyon ng bilis. Ang mga resulta ay malinaw na nakakapinsala. Mayroong hindi bababa sa sampung kilalang mga paraan upang atakein ang mga neural network, na nangyayari na maging batayan para sa pagtatrabaho ng mga autonomous system. Ang isa sa mga halimbawa nito ay ang pag-atake ng itim na kahon, kung saan maaaring maipadala ang mga input sa isang hindi kilalang sistema at impormasyon na nagmula sa pagkolekta ng mga output.

Ang tanging paraan upang malampasan ang mga nasabing pag-atake ay ang pagbuo ng mas maraming layered at kumplikadong mga sistema upang mas mahirap silang bigyang-kahulugan at hack. Gayundin, ang interbensyon ng tao paminsan-minsan ay maaaring makatulong sa pagtadtad ng mga bahid at pagbabantay laban sa gayong pag-atake.

Mga Pananakit sa Pagkapribado

Ang mga kamangha-manghang gumagawa ng mga aparato pati na rin ang mga hacker ay maaaring madalas na subaybayan ka sa pamamagitan ng iyong paggamit ng mga matalinong aparato. Ang ganitong mga alalahanin ay nadagdagan dahil sa koleksyon ng mga personal na data na maaaring matingnan gamit ang mga awtomatikong tool. Pagkatapos ay matukoy ng mga tool na ito ang mga tukoy na pattern na kumakatawan sa sensitibong data.

Upang malabanan ito, ang paggamit ng mga aparato na nagmula sa mga kilalang kumpanya ay maaaring maging solusyon sa naturang isyu. Ang isa pang paraan upang matiyak ang kaligtasan ay ang makita na ang mga datos lamang na kinakailangan para sa paggana ng aparato ay mai-access o ang isang limitasyon ay maaaring itakda kung ano ang maaaring makolekta ng data. Ang pag-encrypt ng data ay isang proteksyon rin upang mapanatili ang ligtas na nakolekta na data at maiwasan ang maling paggamit.

Konklusyon

Narito ang IoT upang manatili at magiging mas malaki sa mga darating na taon. Samakatuwid, sa kabila ng mga kahinaan na umiiral sa mga sistema at aparato ng IoT, ang nag-iisang ideya ay mag-ingat at kontrolado upang maayos na matugunan ang mga isyu sa seguridad.