家评论将一切都连接到互联网：可能出什么问题？

将一切都连接到互联网：可能出什么问题？

2024

视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)

如果物联网（IoT）行业是绝地的订单，具有飞利浦Hue的光剑和基于云的“智能”力量，那么流行的Twitter帐户“屎屎”就是西斯勋爵。在技术行业似乎渴望在所有方面都使用芯片，后果不堪设想的时候，拉屎的互联网为新的，无用的电子设备问题起了个名字，并着重指出其中有些产品可能不像我们想象的那样良性。

在匿名的情况下，我曾与该帐户的运营商进行过交谈，当我们认为公共利益胜过所有其他考虑时，就会受到PCMag的礼貌。我将这个人称为IOS。我想说的是，我在一个漆黑的停车场遇到了IOS，但是我们的对话是通过Twitter直接消息和电子邮件进行的。哼

Shit的Twitter帐户的互联网侧重于利基市场和大众。例如，在使用智能水瓶付费的情况下，对公用事业的质疑是正确的。它强调了必须等待诸如“光”和热之类的基本必需品的荒谬性，而这些基本必需品在“智能”产品收到固件更新后便无法使用。

每当有新小工具问世时，我都会pic.twitter.com/khHKAOcLbv
-屎互联网（@internetofshit）2017年1月23日

就像您想象的那样，拉屎的互联网之所以能够如此有效地剔除它嘲笑的行业，是因为该行业离其核心很近。 IOS说：“事情发生得很自然。” “我曾经在Kickstarter上花了很多时间，看到那里的物联网的兴起。似乎隔天都有一个平凡的物体被塞进了一个芯片，但是没有人-甚至在媒体中-都是至关重要的是，只会说“哇，我们终于可以伞下互联网了。””

IOS将自己视为魔鬼的拥护者或对消费文化的集体良知。在他眼中，Twitter帐户是对硅谷虚假乐观主义者的急需的理智检查。 “当我们走得太远时，人们往往会忘记技术的一个重要问题：谁真正需要它？没有互联网就无法正确烹饪的烤箱？为什么人们没有更好地设计这些东西？”

但是，除了糟糕的设计和虚假的实用程序主张外，IOS的主要关注点还在于隐私权和最终的人身安全性：“不过，我确实认为物联网具有固有的风险。我不相信这些公司不会泄露我的数据或不泄露我的数据。将来会遭到严重入侵。”

IOS在Twitter帐户一生的早期撰写的Medium帖子中说，他担心公司将开始寻找将人们的房屋中的数据货币化的方法。从那个故事开始：“如果Nest想要增加利润，它可以将房屋的环境数据出售给广告商。太冷了？亚马逊的毯子广告。太热了？空调的横幅广告。太潮湿了？Facebook上的除湿机呢。”

IOS仍然支持这些担忧。他写道：“物联网之所以吸引制造商，并不是因为他们在您的生活中增加了智能功能，而这只是副产品，”他写道。 “不仅如此，他们对这些设备的使用方式有了前所未有的洞察力，例如使用频率，使用最多的功能以及随之而来的所有数据。”

IOS表示，物联网公司需要更加提前了解其数据收集策略，并且谁可以访问这些设备可能收集的信息。 “我们所有人都需要决定的问题是，我们愿意为这些公司提供什么级别的访问权，以换取他们获得的数据，而我们信任谁是关键。”

在2016年圣诞节那天，只要Twitter上提到他的把手，IOS就会使他的灯闪烁。结果是激烈的，滑稽的，简短的，说明了IOS对物联网的厌恶。

不安全上网

但是，无用的物联网设备对消费者钱包的影响远不如无用的物联网设备对人身安全的影响。 IOS对物联网设备收集的用户数据市场的担忧并非遥不可及（您如何看待免费应用程序和免费互联网新闻公司赚钱？），而且已经存在其他非常真实的威胁。

安全研究人员Eyal Ronen为参加Black Hat 2016大会的与会者提供了录像。利用他的研究，他能够从悬停在办公楼外的无人驾驶飞机上抓住飞利浦Hue灯的控制权。这次袭击不仅因其引人注目的结果和使用无人机而著称，还因为该建筑物是数家知名安全公司的所在地。

罗宁（Ronen）向我解释说，他正在试图证明有可能对物联网设备的顶级产品进行攻击。他说：“有很多针对没有真正安全性的低端设备的物联网黑客。我们想测试应该安全的产品的安全性。” 他还热衷于攻击一家知名公司，并选择了飞利浦。 Ronen表示，破解起来比他最初想象的要难，但是他和他的团队发现并利用了ZigBee Light Link软件中的一个错误，该错误是数个物联网公司使用的第三方通信协议，被视为成熟且安全的系统。

Ronen说：“它使用高级加密原语，并且具有强大的安全性要求。” Ronen说：“但是最后，在相对较短的时间内，使用了非常便宜的硬件（价值约1000美元），我们才得以打破它。”

Ronen袭击的视频（上图）显示了建筑物的灯光按顺序闪烁，这是他通过悬停的无人机远程发送的命令所致。如果这发生在您身上，那将很烦人，也许不比IOS在他的Twitter帐户上强调的任何情况都烦人。但是安全专家认为，物联网安全将带来更大的后果。

“在以前的工作中，我们展示了如何使用光从气隙网络中窃取数据并引起癫痫发作，并且在这项工作中，我们展示了如何使用光来攻击电网并阻塞Wi-Fi，” Ronen告诉我们我。 “物联网正在渗透到我们生活的各个方面，并且其安全性会影响从医疗设备到汽车和房屋的所有领域。”

缺乏标准

Ronen的攻击利用了接近性，但Bitdefender的首席安全研究员Alexandru Balan概述了许多其他安全性错误，这些错误已植入某些IoT设备中。他说，硬编码密码和配置成可从开放式互联网访问的设备一样，尤其成问题。

正是互联网可访问性与简单的默认密码的结合在2016年10月造成了严重破坏，当时Mirai僵尸网络使Netflix和Hulu等主要服务脱机或变得缓慢以致无法使用。几周后，Mirai的一种变型限制了整个利比里亚国家的互联网访问。

Balan说：“最糟糕的是那些直接使用默认凭据暴露于Internet的设备。” “可以通过Shodan等物联网搜索引擎找到，或者只需通过爬网并使用admin admin，admin 1234等访问它们就可以找到，” Balan继续说道，列举了过于简单且容易猜到的密码示例。由于这些设备的安全性最低，并且可以从Internet受到攻击，因此感染它们的过程可以自动化，从而导致成千上万个损坏的设备。

在Mirai的消息传出不久后，我审视了这种情况，并指责IoT行业忽略了有关身份验证不当和不必要的在线可访问性的警告。但是Balan不会走到让这些缺陷变得明显的程度。 ”需要对固件进行逆向工程以提取这些凭据，但是在很多情况下，他们会在设备中找到硬编码的凭据。其原因是，在很多情况下，涉及到的标准没有物联网安全。”

假设Balan是这样的漏洞的出现，因为物联网公司是在没有普遍接受的标准或安全专业知识的情况下自行运营的。 “像这样构建它更容易。您可以说他们在偷工减料，但是主要问题是他们没有考虑如何以安全的方式正确构建它。他们只是在努力使它成为现实。好好工作。”

即使像Ronen发现的那样，公司开发了针对攻击的修复程序，某些物联网设备也无法应用自动更新。这使消费者有责任自行找到并应用补丁，这在不打算维修的设备上尤其令人生畏。

但是，即使使用可以轻松更新的设备，漏洞仍然存在。几位研究人员表明，并非所有的物联网开发人员都使用加密签名对其更新进行签名。已签名的软件使用开发人员拥有的非对称加密密钥的私密部分进行加密。接收更新的设备具有密钥的公共部分，该部分用于解密更新。这可以确保该更新是官方的，并且未被篡改，因为签名恶意更新或修改软件更新将需要开发人员的密钥。 Balan说：“如果他们不对更新进行数字签名，就可能被劫持，被篡改；可以将代码注入这些更新中。”

Balan表示，除了简单地开灯和关灯外，受感染的IoT设备还可以用作僵尸网络的一部分（如Mirai所见），或用于更阴险的目的。 “我可以提取您的Wi-Fi凭据，因为您显然已经将其连接到Wi-Fi网络，并且就像Linux一样，我可以使用它来引导并开始在您的无线网络内发起攻击。

Balan继续说：“在您自己的LAN网络的隐私范围内，身份验证机制不严格。” “ LAN的问题在于，一旦进入您的专用网络，我几乎就可以访问其中发生的一切。” 实际上，损坏的IoT成为攻击同一网络上更多有价值的设备（如网络连接存储或个人计算机）的滩头。

也许这表明安全行业已开始密切关注物联网。在过去的几年中，一些产品进入了市场，声称可以保护IoT设备免受攻击。我已经看过或读到了几种此类产品，并回顾了Bitdefender的产品。该设备称为Bitdefender Box，该设备连接到您现有的网络，并为网络中的每个设备提供防病毒保护。它甚至可以探测您的设备是否存在潜在的漏洞。 Bitdefender将在今年推出其Box设备的第二个版本。诺顿将进入自己的产品（下），具有深度数据包检查功能，而F-Secure还宣布了硬件设备。

作为第一个进入市场的公司，Bitdefender处于独特的位置，具有在软件安全方面的背景知识，然后设计了可能毫无疑问的安全性的消费类硬件。那感觉如何？ “那很难。”巴兰回答。

Bitdefender确实有一个漏洞赏金计划（向发现并为网站或应用程序中的错误提供解决方案的程序员提供的金钱奖励），Balan证实了该计划对Box的开发有所帮助。 “没有一家公司应该骄傲自大地认为自己可以找到所有错误。这就是存在漏洞赏金计划的原因，但是硬件面临的挑战是实际芯片中可能存在后门。”

“我们知道要寻找的东西和要看的东西，实际上，我们有一个硬件团队可以分解并研究该板上的每个组件。值得庆幸的是，该板并不是那么大。”

并非全部

根据最坏的参与者，很容易打折整个行业，而物联网也是如此。但是，飞利浦照明家庭系统技术主管George Yianni认为这种看法特别令人沮丧。

“我们从一开始就非常认真。这是一个新类别。我们必须建立信任，而这实际上会破坏信任。这也是为什么我认为那些做得不好的产品最大的耻辱是削弱了人们对整个产品类别的信任。任何产品的生产都可能不合格。这并不是对整个行业的批评。”

对于安全性而言，公司如何应对攻击通常比攻击本身的影响更为重要。关于无人机对飞利浦设备的攻击，Yianni解释说Ronen通过该公司现有的负责公开程序提交了他的发现。这些程序已到位，以使公司有时间在安全研究人员的发现公开之前对其做出回应。这样，可以向消费者保证他们是安全的，并且研究人员可以赢得荣耀。

Rianen说，Ronen在第三方软件堆栈中发现了一个错误。具体地说，它是ZigBee标准的一部分，将通信限制在两米之内。如您所记得，Ronen的工作能够从远处进行控制-使用标准天线40米，使用增强天线100米。由于实行了负责任的披露程序，Yianni说，在Ronen向世人介绍这次袭击之前，飞利浦能够在野外向灯光投射一个补丁。

看到许多公司都在努力应对公共安全漏洞或安全研究人员工作的结果，Yianni和Philips的回应听起来像事后进行了回击，但这确实是成功的。 Yianni告诉我：“我们所有的产品都是软件可更新的，因此可以修复。” “另一件事是我们对所有产品进行安全风险评估，安全审核，渗透测试。但是，我们还运行了这些负责任的披露流程，因此，如果确实有事情发生，我们能够提前找出并修复它很快。

“我们有一个完整的过程，我们可以将整个云中的软件更新推送到，并将其分发到所有指示灯。这是非常重要的，因为该空间的迁移速度如此之快，而且这些产品将持续15年而且，如果我们要确保它们在功能上仍然相关并且对于最新的攻击具有足够的安全性，那么我们需要做到这一点。”

在与我的通信中，罗南（Ronen）确认飞利浦确实在保护色相照明系统方面做得非常出色。罗尼对我说：“菲利普斯在固定灯上付出了惊人的努力。” “但是不幸的是，依赖于底层Atmel芯片安全性实现的一些基本安全性假设是错误的。” 正如Balan在Bitdefender在Box上的工作中指出的那样，IoT设备的各个方面都容易受到攻击。

飞利浦还设计了中央集线器（协调飞利浦IoT产品网络所需的设备），无法通过开放式Internet访问。 Yianni解释说：“与Internet的所有连接都是从该设备启动的。我们绝不会打开路由器上的端口或建立该端口，以便Internet上的设备可以直接与Internet进行通信。” 相反，集线器将请求发送到飞利浦的云基础架构，后者对请求进行响应，而不是反过来。这也使飞利浦可以增加额外的层数来保护消费者的设备，而不必进入家庭并进行任何更改。 “除非您通过此云路由，否则我们无法从集线器外部进行通信，我们可以在云中建立更多的安全性和监视层。”

Yianni解释说，这都是飞利浦用于保护Hue照明系统的多层方法的一部分。由于系统由几个不同的部分组成，从灯泡内部的硬件到Hue Hub上的软件和硬件，再到用户手机中的应用程序，必须在各个级别上采取不同的措施。扬尼说：“所有人都需要采取不同的安全措施来确保他们的安全。它们都有不同程度的风险和脆弱性。因此，我们对所有这些不同部分采取不同的措施。”

这不仅包括渗透测试，还包括旨在阻止攻击者的自下而上的设计。 Yianni说：“没有像Mirai僵尸网络所使用的那样的全局密码。” Mirai恶意软件具有数十种默认密码，可用于接管IoT设备。他解释说：“每个人都有唯一的，不对称签名的密钥来验证固件以及所有这些东西。一台设备的硬件经过修改，不会因此而带来全球性风险。”

这也适用于物联网设备的价值。他说：“为了实现连接，其中许多产品倾向于连接。” “使家庭内部的一切事物自动化的需求并不是许多消费者所面临的问题，这很难使您动心。我们认为，性能良好的产品才是为消费者提供易于理解的价值的产品。”