热门关键词：
您当前的位置：&>&&>&控制系统漏洞频出 信息安全危机四伏 - 信息安全
据权威工业安全事件信息库RISI统计，截止到2011年10 月，全球已发生200 余起针对工业控制系统的攻击事件。2001年后，通用开发标准与互联网技术的广泛使用，使针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长，结果导致整体控制系统的故障，甚至恶性安全事故，对人员、设备和环境造成严重的后果。比如伊朗核电站的震
频道最新频道排行
新闻总排行招聘总排行
要闻市场评论项目
政策解读电力数据看电力研究人员在物联网设备中发现大量漏洞-国际动态-中国材料网
咨询电话：400-601-0860
研究人员在物联网设备中发现大量漏洞
来源:中国材料网
对10个当下流行的物联网设备进行安全审计，发现其中具有大量漏洞。这项持续了三个星期研究是由惠普公司的研究人员完成的。研究针对一些最常见的物联网设备：电视，网络摄像头，家庭恒温器，遥控，洒水控制器，控制多台设备的，门锁，家用报警器，体重秤和车库开门器。所有被分析的设备，可以连通某种类型的云服务以及移动应用程序，允许用户进行远程控制。&&&&惠普的研究人员共发现250个漏洞，这引起对隐私问题的严重担忧，如传输缺乏加密识别的问题，Web管理界面漏洞，不安全的固件更新机制以及薄弱的访问凭证漏洞。“60%提供给用户的设备，在界面中有一系列问题，如跨站点脚本漏洞和薄弱的资格证书，”研究人员说。70%的用户使用未加密的网络服务进行连接云服务和移动应用程序，这可能会带来中间人攻击风险。80％的设备没有使用足够长或足够复杂的密码，并在许多情况下，同一个密码被用于多项云服务或移动应用程序的控制。“攻击者可以利用如弱口令，不安全的密码恢复机制，缺乏保护凭证等漏洞，获得对设备的访问，”研究人员说。&&&&同时60％的设备在更新时，缺乏传输加密的机制，更新的文件本身没有任何保护，这意味着攻击者可以在传输过程中随意更改数据。惠普研究人员表示，制造商应加强产品的安全审查，许多漏洞可以在不影响用户体验的状态下很容易修复。许多家用，网络附加存储设备已经被攻击者关注，他们正在寻找新途径来访问这些设备。
【】【】【】【收藏】【关闭窗口】
上一篇：下一篇：
············
（注：网友评论仅供网友个人看法，并不表示中国材料网同意其观点或证实其描述！） 发表评论
输入验证码：
最多输入200字符！
··········
··········
··········
··········
英文网址：
浙ICP备号 Copyright
All Rights Reserved&&&&&&当前位置： &
物联网设备漏洞频出 企业该如何应对？
07:40:13 & & &
&&&&今天，当越来越多的（InternetofThings，IoT）设备出现在人们身边之时，却无形中为企业网络的正常运维带来了相当大的不安因素。正如近期有机构调研表示，2015年针对Android设备的勒索软件攻击活动日益增加，而根据其发布的报告预测，未来物联网设备、智能汽车等更会成为勒索攻击的新目标。当前位置： →
物联网漏洞：得不到应有重视 后患无穷
当前，&安全&这个词，已经成为互联网领域最令人关注的话题之一，安全性在传统企业网路上就已经很难管理，现在又加上了各种大大(例如汽车)小小(例如网路摄影机、婴儿监视器)的物联网(IoT)装置，而且打造这些装置的厂商几乎没有网路安全意识。
连网装置应用领域从中央监控系统(SCADAsystems)到消费性电子产品，随着研究人员陆续公开重大缺陷，这些装置的安全漏洞也在过去一年成为聚光灯焦点。有些受影响的产业第一次是透过所谓的&白帽&骇客，发现在汽车、心律调整器、道路交通系统、家庭自动化系统以及飞机等产品的弱点；而一个重大的转变是，现在公共安全有一部分等同于上述那些产品。
有一些因为特殊用途所配备的功能实际上成为安全漏洞，例如有目的的后门(intentionalbackdoors)、硬式编码凭证(hardcodedcredentials)、未加密的资料流量，以及与非关键系统位在同一个网路的关键系统。
为何不修补或是更新那些物连网装置，或是把它们打造得更安全？要保护那些消费性电子产品以及其他嵌入式系统，还需要克服以下几个大挑战：
1.通常没有一致性或官方的软体更新程序/机制
在Windows平台装置上的恶意软体最后都会被发现，物联网装置内部的&能见度&很低甚至是零，谁都看不见那些装置内有什么，如果有更新、也看不见其韧体的可信赖度。
2.很多消费性产品以及其他非传统性IT供应商，对嵌入他们系统中的网路威胁了解很少或根本不了解
多数嵌入式装置制造商与安全性技术社群之间的隔阂甚深，那些装置内的硬式编码密码、后门以及不安全的通讯协议，可能会让攻击者入侵并中断船舶、飞机与军事设施的通讯连结。
那些受影响的设备供应商根本没有计画来修补那些缺陷；有部分供应商还坚称那些问题不是漏洞，只是他们的产品中非必要的功能。
安全产业发起了IAmtheCavalry、BuildItSecure.ly等计画，期望能拉近与嵌入式装置制造商之间的距离，那些&白帽骇客&们也能协助并研究如何更妥善的保障产品安全。
3.装置的安全性通常缺乏可负责者
大多数消费性装置的安全性该由谁来负责，往往没有清楚的权限划分，你问装置制造商，他们也会说不知道；他们几乎不会想到这个问题。
有些厂商只是透过官方网站发布韧体更新，而且端看消费者或使用者自己要不要下载安装更新：有的安装更新只有简单说明，例如只告诉你要用USB缆线连结；我不认为装置制造商认为他们应该要负责维护装置的安全性。
4.许多装置所配置或因特殊用途而建立的功能实际等同于安全漏洞
许多物连网装置与IT系统是在同一个网路上，这些装置是不是总有一天会成为把其他东西送进我的网路的桥梁？如果有人透过我的网路摄影机看见我在家里穿着内裤跑来跑去，这很不妙；而如果他们收集我的个资或其他在相同网路上的设备资讯，那又该怎么办？关键在于将这些消费性连网装置与同一网路上拥有敏感资料的系统分开。
D1Net评论：
对于广大企业而言，物联网是一个新挑战，至少有许多方法能在那些装置一旦被定义时，为其添加安全措施；物联网装置的数量将会是我们前所未见，评估并具备了解网路所传递的流量来自何处的能力，以及能追踪它们并关闭的能力，是企业关键必备的，如果看不到这一点，将会后患无穷。
关注官方微信
扫一扫分享本文到朋友圈
联系我们：
&(发送邮件时，请把#换成@)
投稿信箱：
&(发送邮件时，请把#换成@)
企业网版权所有物联网漏洞触及家庭和企业&数据安全不容忽视
　　黑客大会已在近日召开，在此次黑客大会上，物联网的安全威胁是热点议题之一。安全专家们在大会上不断的证明物联网设备非常容易受到攻击，有研究人员甚至只用非常廉价的零部件拼凑成的工具就轻易的搞定了智能汽车，除了智能汽车以外，无线路由器、智能电视等设备被攻击的事件也时常发生。
　　物联网的不安全因素在增多，新的隐患威胁已经不可避免。除了家庭中使用的物联网设备的安全威胁，企业中也存在着同样的问题，又因为企业的价值数据更吸引不法分子，所以导致企业成为了攻击的首要对象。下面就和信息安全方面的专家来看看物联网的安全威胁对家庭和企业会造成什么影响吧。
　　智能设备遭黑客劫持 偷窥眼无处不在 　　
　　当我们逐渐将原来的非智能设备变成智能的物联网设备，就会变得非常容易受到各种网络攻击。根据某报道显示，从去年秋天开始，一些智能电视已经可以被黑客控制监控用户的使用习惯，并且对电视进行控制，用来播放针对用户的精准营销广告。黑客们可以非常轻松的查看你的观看数据，甚至读取你在播放付费电视时输入的信用卡账号和密码。另外对于那些有摄像头功能的电视来说，黑客还能劫持摄像头，在你毫无察觉的情况下监视你。随着汽车、厨房电器和工业设备等领域不断的智能化，我们受到黑客攻击的可能性也越来越大。
　　另外一些智能配件，比如Fitbit、谷歌眼镜和Pebble等产品也可以成为泄露信息的渠道，甚至引起其它形式的网络犯罪。他们可以通过这些配件收集我们的活动数据，包括地理位置、心率、睡眠模式甚至是喜欢的活动、我们看到的食物、遇到的人、谈论的话题及去了哪些商店等。除了我们这些个人用户之外，黑客们对于更加有利可图的企业目标更加情有独钟。
　　点滴信息泄露酿成大祸 企业需加强安全管理意识　　
　　物联网设备之所以会给我们带来许多麻烦，主要是因为这些设备能够为非常复杂的“社会工程”项目提供了攻击机会，包括钓鱼电子邮件和其它的欺骗手段。通常来说骗人的最好方法就是收集尽量多有用的信息，而物联网设备的逐渐普及让这一过程变得更加快速和方便。
　　在2013年黑客们曾经成功的袭击了一家法国公司。首先他们发送了一封钓鱼邮件给这家公司副总裁的行政助理，在邮件中指向了一张存储在文件共享网站的发票的下载链接。然后，说着一口流利法语的黑客冒充该公司的副总经理给行政助理打电话，并要求其立刻处理那张发票。该行政助理在下载“发票”的同时将一个远程访问木马下载到了自己的电脑。凭此，黑客成功窃取到了该公司在境外的多个银行帐号的大量存款。在这一事件中，黑客成功的关键是他们掌握了被害人足够多的信息，因此成功模仿攻击目标，实现自己的目的。
　　如果黑客成功的学习该公司的副总经理或者其助理的声音、习惯和偏好时，要想阻止这类攻击将会变得更加困难，而劫持目标的智能电视、Fitbit、谷歌眼镜等设备就成为了最好的方法。
　　应对物联网时代安全隐患 数据加密是最可靠手段　　
　　对待安全问题，我们必须谨慎。物联网设备之中的系统和软件会为黑客提供更多可以利用的漏洞，用户也需要在第一时间去修复这些漏洞，主动的升级系统或者软件，但往往这是用户最容易忽略的一点，要知道系统与软件的更新也可以看做是一种防御措施。除了及时地更新版本，修复漏洞，为设备安装数据安全软件是更可靠的保护手段，其中，加密技术及其软件更是首选。
　　加密技术直接作用于数据本身，从数据根源开始加密，一旦加密，那么文件便以密文的形式存在。因此，即使计算机系统遭受来自各个方面的多样攻击导致文件被不法分子窃取了，文件中的内容一样也不能为他们所见，因为文件打开是乱码，加密依然为文件起着保护作用。况且如今解密也变得越发的困难，因此数据一旦经过加密技术的保护就可以保证数据的隐秘性。
　　随着加密技术的发展与升级，如今的多模加密技术可以说是保证数据安全的最好的保障。多模加密采用对称加密和非对称算法相结合的技术，在确保防护质量的同时，让用户在不同的工作环境下自主的选择不同的加密模式，灵活且有针对性。除了多种模式的加密，该技术对加密文件的格式没有限制，只要是计算机中存在的格式就可以加密，同时加了密的每一个文件都拥有独一无二的密钥，安全性有了最大的提高。
　　作为这项技术使用的典型代表的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性。
　　物联网时代，越来越多的设备与人息息相关，甚至掌握着人们自己都不一定了解的数据，若是这些数据被不法分子获得，必然是不乐观的。对于掌握着核心数据的企业，更应该妥善管理企业重要数据，千万不要忽视平日里不经意间的信息泄露，一旦积少成多后果也会不堪设想。因此最安全的做法就是利用数据安全产品来保障设备安全，维护个人以及企业利益，而最贴近数据本源防护的加密软件可以有效的保护家庭隐私安全以及企业数据安全，是防御手段中的不二之选。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}