如何保護家庭門鈴和攝像頭免受黑客攻擊
隨著科學的不斷發展,越來越多的普通事物變成了複雜的技術。如今,甚至門鈴也加入了受惡意第三方入侵的物聯網(IoT)設備不斷擴大的清單。據報導,已經竊取了3000個Ring帳戶的憑據,從而導致了大量攻擊。在一個令人不安的報告中,一個八歲女孩臥室裡的一台Ring攝像頭被一個人砍死,告訴該女孩以種族誹謗稱呼她的母親。而且這不是相機被黑客入侵的唯一情況。有多個案件,導致了訴訟。
不幸的是,當今的黑客可能會破壞諸如攝像頭,門鈴,智能揚聲器之類的智能家居設備,甚至是冰箱之類的設備。環網發表聲明否認指控,稱其係統未受到破壞,但這是其他系統受到破壞的結果。
這就是Ring語句所說的:
“這就是發生的情況。惡意行為者從單獨的外部非Ring服務中獲得了一些Ring用戶的帳戶憑據(例如,用戶名和密碼),並再次使用它們登錄了某些Ring帳戶。當人們在以下位置重複使用相同的用戶名和密碼時多種服務,惡意參與者就有可能訪問許多帳戶。”
Ring語句中提到的攻擊稱為“憑據填充”攻擊。
發生的事情是用戶的帳戶登錄信息(通常是他們的電子郵件地址)和密碼被不良行為者竊取。然後,這些憑證在Dark Web上以最高出價者出售,然後用於嘗試訪問其他系統。不幸的是,用戶無法在多個帳戶中重複使用相同的密碼。一旦他們獲得了受害者的密碼,他們就可以訪問跨多個系統的所有帳戶。
在適當的情況下,Ring更改密碼並啟用兩因素身份驗證(2FA)的說明不足以阻止黑客。大多數安全專家認為,物聯網設備(尤其是攝像頭)應具有出色的安全措施。
這也不是Ring第一次涉及數據洩露。以前,有報告稱環鈴門鈴洩漏了WiFi憑證,並且存在安全漏洞,即使在更新設備密碼後,用戶也可以登錄到設備。
Ring違規並不是導致憑據遭到IoT黑客入侵的唯一憑證洩漏示例。著名的Mirai殭屍網絡是這種做法的主要示例,該殭屍網絡使用出廠默認密碼來訪問多種類型的IoT設備。靜態憑據(用戶名和密碼)已被證明是無效的,並且由於許多所有者由於無知或其他原因不願意更改它們,因此更可能帶來潛在的安全威脅。今天,我們擁有更先進的安全技術,並且事實證明,默認用戶憑證比其他任何因素都有害。
如何構建安全的物聯網設備
物聯網設備不再是新興技術,它們需要高級安全性。我們無力出售沒有或僅有準系統安全措施的通過互聯網連接的設備,例如汽車,攝像頭,智能門鈴,家用電器。加利福尼亞州和歐盟已經開始頒布法規,要求為物聯網設備提供更高級別的安全性。為了確保物聯網設備的安全性,正在添加許多其他法律法規。不僅如此,諸如FDA之類的政府監管機構已經開始為特定市場中的IoT設備增加更高的網絡安全要求。
如何實現物聯網安全
Ring違規是由不良的安全做法(例如密碼重用)引起的,但這並不意味著Ring不能做任何事情。如果他們的設備需要多因素身份驗證或基於證書的身份驗證,則可以防止這些洩漏。 IoT設備製造商必須開始更加認真地考慮安全性,並在其產品中添加更多高級安全措施。技術已經足夠先進,可以通過使用最新的安全協議來構建相對安全的網絡環境,以抵禦網絡攻擊。
理想情況下,連接到Internet的設備應具有內置的安全功能,以保護設備免受攻擊,保護設備本身的完整性並添加設備身份-以便可以對設備進行身份驗證並通過Internet彼此安全地通信使用複雜的加密算法。可以改善IoT設備安全性的一些功能包括:
-
- 添加安全啟動 。此功能可確保從最初的“開機”到應用程序執行都不會篡改該軟件。此外,它還允許開發人員安全地對標誌引導加載程序,微內核,操作系統,應用程序代碼和數據進行編碼。
- 強制執行設備身份證書 。在製造過程中用數字證書標記設備可確保在將IoT設備添加到網絡時以及在與該網絡中的其他設備進行交互之前進行身份驗證。這將保護他們免受偽造設備的侵害。
- 將防火牆嵌入物聯網設備。嵌入式防火牆阻止與未經授權的設備進行通信,並防止惡意消息。
- 使用安全元素 。原始設備製造商(OEM)和醫療設備製造商必須使用安全元件,例如受信任的平台模塊(TPM)兼容的安全元件,或用於安全密鑰存儲的嵌入式安全元件。安全密鑰存儲可確保安全啟動,並且使用在安全元素內創建的密鑰對進行PKI註冊,可以提高安全性和防止黑客入侵的能力。
- 確保安全的遠程更新 。確保在安裝之前未以任何方式更改設備固件至關重要。安全的遠程更新確保組件未更改,並且是OEM認證的模塊。