ForeScout公司近日发布了物联网企业风险报告,这份报告概述了常见设备如何给企业带来固有风险的严峻现状。
该公司研究了七种常见的企业物联网设备,结果表明,它们的核心技术、基本的开发方法和快速生产使得在软件、固件和硬件里面实施适当的安全机制成了一项“经常被忽视的任务”。
ForeScout科技公司的总裁兼首席执行官迈克尔・德萨塞尔(Michael DeCesare)在报告中说:“物联网已得到公众的接受,但是这种设备在企业界的普及带来了大得多的攻击面DD这为黑客提供了易于访问的入口点。”ForeScout的报告出得很及时:上周五的大规模分布式拒绝服务攻击阻止人们访问许多流行网站,包括推特和网飞(Netflix),据认为使用了不安全的物联网设备。
为了解决这些风险,解决方案提供商需要与企业合作,一旦设备连接到企业网络,就要提供“全面可见性”,并控制这些设备。
据ForeScout声称,下面是七种短短三分钟内就可以被入侵的物联网设备。
IP联网安全系统
ForeScout将IP联网安全系统列为一种可能“灾难性”的安全风险,这意味着它可能导致不可挽回的破坏、侵犯用户隐私,或者让黑客能够访问私秘的公司信息。
据ForeScout声称,许多联网安全系统使用缺乏验证和加密技术的专有射频技术来进行通信。大多数系统还使用易于检测、并不采用跳频技术的无线电信号,因而很容易受到干扰和欺骗,从而让犯罪分子能够关闭运动传感器或远程开锁。据ForeScout声称,攻击者还可以生成无线电信号,发送假触发、访问系统控制。
IP联网基础设施
据ForeScout声称,另一种一旦被黑客攻击,可能导致灾难的物联网设备就是IP联网基础设施,包括气候控制和水电表以及暖通空调(HVAC)系统。
ForeScout表示,暖通空调系统通常与内部系统连接到同一个网络上。因此,黑客可以轻松访问这种系统,从而拦截数据,并实施另外的攻击。
比如说,如果暖通空调系统被攻击,攻击者可以迫使重要的房间(比如服务器机房)过热,并造成物理损坏。智能水电表也可能让攻击者能够改变报告上报的水电用量,这可能导致欺诈性结账和计量。
智能视频会议系统
据ForeScout的报告显示,有些漏洞让远程攻击者能够控制系统上的任何应用程序,接管通信应用软件,或者录制音频和视频,智能视频会议系统很容易受到这类漏洞的攻击。
ForeScout将这些系统风险列为破坏性,这意味着如果受到攻击,它们可能会扰乱公司和运营流程。许多系统使用常见的操作系统,它们存在严重的溢出漏洞,而通过IP连接到本地网络的设备(比如智能电视)可能让黑客得以全面访问网络。
联网打印机
另一种面临可能破坏性的安全风险的设备就是联网打印机。大多数打印机通过IP联网,因而让网络上的计算机易于访问它们,但同时也构成了安全风险,让黑客得以潜入到企业。
ForeScout表示,如果打印机连接在公共网络上,或者攻击者也在同一个无线网络上,攻击者就能发送精心设计的简单网络管理协议(SNMP)数据包,从而获得企业的管理密码,并完全控制打印机。
VoIP电话
ForeScout表示,VoIP电话是另一种对企业构成可能破坏性风险的联网设备。比如说,许多VoIP电话使用复杂的路由,将电话暴露在远程窥视者面前。黑客可以利用配置设置来逃避身份验证,然后更新手机,让他们能够窃听电话通话、拨打电话。据ForeScout声称,攻击者只要知道手机的IP地址就可以访问手机。
智能冰箱
ForeScout表示,很容易被攻击的另一种联网设备就是智能冰箱。现在冰箱配备液晶屏,并具有无线上网功能,这让黑客能够访问广泛使用的操作应用程序(比如调度应用程序或通知系统)以及存储在里面的登录信息。
由于“松懈的证书检查机制”,ForeScout表示,与智能冰箱在同一个网络上的黑客可以实施“中间人”攻击,拦截客户机和服务器之间的通信,并篡改数据流。
攻击者可以通过注入欺骗的地址解析协议(ARP)请求或域名系统(DNS)响应来做到这点,这些请求或响应并不提供验证或加密方法。
智能灯泡
据ForeScout声称,可以在无线和专有网状网络上使用的智能灯泡可能被攻击者嗅探。通过嗅探网络,攻击者只要在智能灯泡的无线覆盖范围内就行,不需要原本可以访问网络。
随后,黑客不用在网络上,就可以获取受密码保护的无线登录信息。据ForeScout声称,这让他们能够进而访问企业的其他系统和设备,从笔记本电脑到智能手机,甚至与网络连接的制造系统,不一而足。