如何保护家庭门铃和摄像头免受黑客攻击
随着科学的不断发展,越来越多的普通事物变成了复杂的技术。如今,甚至门铃也加入了受恶意第三方入侵的物联网(IoT)设备不断扩大的清单。据报道,已经窃取了3000个Ring帐户的凭据,从而导致了大量攻击。在一个令人不安的报告中,一个八岁女孩卧室里的一台Ring摄像头被一个人砍死,告诉该女孩以种族诽谤称呼她的母亲。而且这不是相机被黑客入侵的唯一情况。有多个案件,导致了诉讼。
不幸的是,当今的黑客可能会破坏诸如摄像机,门铃,智能扬声器之类的智能家居设备,甚至是冰箱之类的设备。环网发表声明否认这些指控,称其系统未受到破坏,但这是其他系统受到破坏的结果。
这就是Ring语句所说的:
“这就是发生的情况。恶意行为者从单独的外部非Ring服务中获得了一些Ring用户的帐户凭据(例如,用户名和密码),并再次使用它们登录了某些Ring帐户。当人们在以下位置重复使用相同的用户名和密码时多种服务,恶意参与者就有可能访问许多帐户。”
Ring语句中提到的攻击称为“凭据填充”攻击。
发生的事情是用户的帐户登录信息(通常是他们的电子邮件地址)和密码被不良行为者窃取。然后,这些凭证在Dark Web上以最高出价者出售,然后用于尝试访问其他系统。不幸的是,用户无法在多个帐户中重复使用相同的密码。一旦他们获得了受害者的密码,他们就可以访问跨多个系统的所有帐户。
在适当的情况下,Ring更改密码并启用两因素身份验证(2FA)的说明不足以阻止黑客。大多数安全专家认为,物联网设备(尤其是摄像头)应具有出色的安全措施。
这也不是Ring第一次涉及数据泄露。以前,有报告称环形门铃会泄漏WiFi凭据,并且存在安全漏洞,即使在更新设备密码后,用户也仍可以登录到设备。
Ring违规并不是导致凭据遭到IoT黑客入侵的唯一凭证泄漏示例。著名的Mirai僵尸网络是这种做法的主要示例,该僵尸网络使用出厂默认密码来访问多种类型的IoT设备。静态凭据(用户名和密码)已被证明是无效的,并且由于许多所有者由于无知或其他原因不愿意更改它们,因此更可能带来潜在的安全威胁。如今,我们拥有更先进的安全技术,事实证明,默认用户凭证的危害最大。
如何构建安全的物联网设备
物联网设备不再是新兴技术,它们需要高级安全性。我们无力出售没有或只有准系统安全措施的通过互联网连接的设备,例如汽车,摄像头,智能门铃,家用电器。加利福尼亚州和欧盟已经开始颁布法规,要求为物联网设备提供更高级别的安全性。为了确保物联网设备的安全性,正在添加许多其他法律法规。不仅如此,诸如FDA之类的政府监管机构已经开始为特定市场中的IoT设备增加更高的网络安全要求。
如何实现物联网安全
Ring违规是由不良的安全做法(例如密码重用)引起的,但这并不意味着Ring不能做任何事情。如果他们的设备需要多因素身份验证或基于证书的身份验证,则可以防止这些泄漏。 IoT设备制造商必须开始更加认真地考虑安全性,并在其产品中添加更多高级安全措施。技术已经足够先进,可以通过使用最新的安全协议来构建相对安全的网络环境,以抵御网络攻击。
理想情况下,连接到Internet的设备应具有内置的安全功能,以保护设备免受攻击,保护设备本身的完整性并添加设备身份-以便可以对设备进行身份验证并通过Internet彼此安全地通信使用复杂的加密算法。可以改善IoT设备安全性的一些功能包括:
-
- 添加安全启动 。此功能可确保从最初的“开机”到应用程序执行都不会篡改该软件。此外,它还允许开发人员安全地对标志引导加载程序,微内核,操作系统,应用程序代码和数据进行编码。
- 强制执行设备身份证书 。在制造过程中用数字证书标记设备可确保在将IoT设备添加到网络时以及在与该网络中的其他设备进行交互之前进行身份验证。这将保护他们免受伪造设备的侵害。
- 将防火墙嵌入物联网设备。嵌入式防火墙阻止与未经授权的设备进行通信,并防止恶意消息。
- 使用安全元素 。原始设备制造商(OEM)和医疗设备制造商必须使用安全元件,例如受信任平台模块(TPM)兼容的安全元件,或用于安全密钥存储的嵌入式安全元件。安全密钥存储可确保安全启动,并且使用在安全元素内创建的密钥对进行PKI注册,可以提高安全性和防止黑客入侵的能力。
- 确保安全的远程更新 。确保在安装之前未以任何方式更改设备固件至关重要。安全的远程更新可确保组件没有更改,并且是来自OEM的经过身份验证的模块。