■ 李伟
自从物联网(IoT)诞生以来,安全问题一直困扰着物联网发展。从供应商到企业用户再到消费者,每个人都担心他们所使用的新物联网设备和系统可能受到损害。实际问题可能更加糟糕,因为脆弱的物联网设备可能随时会被黑客入侵并被利用到巨大的僵尸网络中,甚至感染到那些安全的网络。
在构建、部署或管理物联网系统时,最大的问题和漏洞到底是什么?更重要的是,我们可以采取哪些措施来缓解这些问题?
这就是OWASP(开放式Web应用程序安全项目)存在的原因。援引OWASP对自己的介绍,“OWASP物联网项目旨在帮助制造商、开发人员和用户更好地理解与物联网相关的安全问题,并且使任何环境中的用户能够在构建、部署或评估物联网技术时做出更好的安全决策。”
为此,在几个月前,OWASP发布了2018年的十大物联网隐患,让我们来看一下该列表,并附上一些评论:
使用易于被暴力破解、公开常见的或不可更改的口令凭据,包括固件或客户端软件中的后门,对已部署系统授予未授权访问权限。
点评:坦率讲,这个问题非常突出,如今仍然令人难以置信,它仍然是我们必须面对的首要问题。我们也许会认为物联网设备或应用程序的价格非常便宜或者觉得这并没有多大坏处,但这种“懒惰想法”从来都不是使用弱密码的借口。
在设备上运行的不必要或不安全的网络服务,特别是那些暴露在互联网上的网络服务,会损害信息的机密性、完整性/真实性或可用性,或可导致允许未经授权的远程控制。
点评:这是有道理的,但它更像是一个灰色地带,因为我们往往并不清楚这些网络服务是“不必要的还是不安全的”。
物联网设备外部生态系统中的不安全的Web、后端API、云或移动接口,可能导致攻击破坏设备或其相关组件。常见问题包括缺乏身份认证/授权、缺少或弱加密,以及缺乏I/O过滤。
点评:同样,接口方面的威胁并不总是明显的,但身份认证、加密和过滤始终是必要的。
缺乏安全更新设备的能力。这包括设备上缺少固件验证,缺乏安全交付(在传输过程中未加密),缺乏防回滚机制,以及由于更新而缺乏安全更改通知。
点评:对于物联网应用而言,这是一个持续存在的问题,因为许多供应商和企业都不愿意为其设备的长远使用考虑。此外,这并不总是技术问题,在某些情况下,物联网设备的物理位置使得更新和维修/更换工作成为一项重大挑战。
使用可能允许设备泄露的不安全或已弃用的软件组件/库,这包括操作系统平台的不安全定制,以及来自受损供应链的第三方软件或硬件组件的使用。
点评:这种问题没有任何借口。不要使用便宜的组件并做正确的事。
用户的个人信息存储在物联网设备上或其相关的生态系统中,未经许可违规使用。
点评:显然,个人信息需要妥善处理,但这里的关键是“许可”,除非得到用户的许可,否则任何人或组织不得违规使用某人的个人信息。
物联网生态系统内的敏感数据缺乏加密或访问控制,包括数据在存储、传输或处理过程中。
点评:虽然许多物联网供应商都关注安全存储,但确保数据在传输过程中的安全通常会被忽略。
在产品中部署的设备缺乏安全支持,包括资产管理、更新管理、系统监控和响应功能。
点评:物联网设备可能很小,价格低廉,并且可以大量部署,但这并不意味着您不必管理它们。事实上,管理它们比以往任何时候都更重要。即便这并不容易。
设备或系统附带了不安全的默认设置,或者缺乏通过限制用户修改配置来提高系统安全性的能力。
点评:这个问题不应该在2019年发生,每个人都应该知道这是个隐患并且知道如何避免它。
缺乏物理强化措施,允许潜在的攻击者获取敏感信息,而这些信息可能被用于未来的远程攻击或对设备进行本地控制。
点评:物联网由“Things”组成。记住物联网的物理特性并采取措施保护所涉及的相关设备非常重要。
下一步是什么?
展望未来,OWASP社区计划每两年更新一次该列表,以了解行业变化并扩展到物联网的其他方面。例如,嵌入式安全和工业控制系统以及监控和数据采集系统(ICS/SCADA),还 计 划 为每个项目添加示例,并将其映射到其他OWASP项目,例如应用程序安全性验证标准(ASVS)以及外部项目。
最重要的是,或许OWASP正在考虑增加参考架构,不仅要告诉人们不该做什么,还要考虑他们需要做些什么才能更安全。