亚洲制服中文丝日韩失禁,自拍偷自拍亚洲精品牛影院,亚洲变态自拍丝袜第一页

首頁(yè) > 新聞資訊 > 行業(yè)新聞

物聯(lián)網(wǎng)安全專題 | 淺談物聯(lián)網(wǎng)面臨的安全問(wèn)題

2022-9-19 0:00:00瀏覽量：1212編輯：管理員來(lái)源：天暢

近些年，隨著 5G 等關(guān)鍵技術(shù)突破，物聯(lián)網(wǎng)的發(fā)展突飛猛進(jìn)，同時(shí)受疫情影響，遠(yuǎn)程辦公需求增加，隨之而來(lái)的是海量的設(shè)備接入互聯(lián)網(wǎng)。“萬(wàn)物互聯(lián)”帶來(lái)便利的同時(shí)，也為攻擊者帶來(lái)了更多的攻擊選擇。物聯(lián)網(wǎng)已經(jīng)滲透進(jìn)我們衣食住行的各個(gè)領(lǐng)域，頻發(fā)的智能設(shè)備攻擊威脅著個(gè)人的隱私安全，關(guān)鍵基礎(chǔ)設(shè)施在實(shí)現(xiàn)數(shù)字化聯(lián)網(wǎng)轉(zhuǎn)型時(shí)也面臨巨大風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)的概念

廣義物聯(lián)網(wǎng)

物聯(lián)網(wǎng)是一個(gè)未來(lái)發(fā)展的愿景，等同于“未來(lái)的互聯(lián)網(wǎng)”，能夠?qū)崿F(xiàn)人在任何時(shí)間、地點(diǎn)、使用任何網(wǎng)絡(luò)與任何人與物的信息交換，以及物與物之間的信息交換。

狹義物聯(lián)網(wǎng)

物聯(lián)網(wǎng)是物品之間通過(guò)網(wǎng)絡(luò)連接起來(lái)的局域網(wǎng)，不論該局域網(wǎng)是否接入互聯(lián)網(wǎng)，只要具有感、聯(lián)、知、控（用）四個(gè)環(huán)節(jié)，都屬于物聯(lián)網(wǎng)的范疇。

與互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)安全更加復(fù)雜。從技術(shù)架構(gòu)上來(lái)看，物聯(lián)網(wǎng)可分為三層：感知層、網(wǎng)絡(luò)層和應(yīng)用層，這三層架構(gòu)分別面臨很多安全威脅，具體來(lái)看：

感知層

感知層用于識(shí)別物體和采集信息，位于物聯(lián)網(wǎng)三層結(jié)構(gòu)中的最底層，是物聯(lián)網(wǎng)系統(tǒng)的核心。物聯(lián)網(wǎng)感知對(duì)象種類多樣，監(jiān)測(cè)數(shù)據(jù)需求較大，應(yīng)用場(chǎng)景復(fù)雜多變，易受到自然損害或人為破壞，導(dǎo)致節(jié)點(diǎn)無(wú)法正常工作。

網(wǎng)絡(luò)層

傳輸層則主要負(fù)責(zé)數(shù)據(jù)的傳輸與處理，其安全功能一般與傳輸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施一起部署。在信息傳遞中容易出現(xiàn)跨網(wǎng)傳輸，也容易出現(xiàn)安全隱患。網(wǎng)絡(luò)層由于數(shù)據(jù)信息量較大更加容易出現(xiàn)安全方面的問(wèn)題，如DDoS攻擊、惡意數(shù)據(jù)、隱私泄露等。

應(yīng)用層

應(yīng)用層是物聯(lián)網(wǎng)三層結(jié)構(gòu)中的最頂層，主要對(duì)感知層采集數(shù)據(jù)進(jìn)行計(jì)算、處理和知識(shí)挖掘，從而實(shí)現(xiàn)對(duì)物理世界進(jìn)行實(shí)時(shí)控制、精確管理和科學(xué)決策。物聯(lián)網(wǎng)應(yīng)用層面臨的安全威脅主要是虛假終端觸發(fā)威脅，攻擊者可以通過(guò)SMS向終端發(fā)送虛假觸發(fā)消息，觸發(fā)終端誤操作。

物聯(lián)網(wǎng)設(shè)備軟件安全分析

物聯(lián)網(wǎng)設(shè)備種類繁多，如智能音響、網(wǎng)絡(luò)攝像頭、智能空調(diào)、智能冰箱、智能汽車等，體積大小不一，功能復(fù)雜程度多樣。這些物聯(lián)網(wǎng)設(shè)備所面臨的軟件安全風(fēng)險(xiǎn)通常來(lái)自端口與服務(wù)、密鑰、操作系統(tǒng)、固件等層面，下面將對(duì)物聯(lián)網(wǎng)設(shè)備軟件安全進(jìn)行分析。

對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行的第一步安全分析，通常是對(duì)目標(biāo)設(shè)備進(jìn)行信息收集，用以獲取設(shè)備對(duì)應(yīng)資料和敏感信息。如獲取目標(biāo)設(shè)備的操作系統(tǒng)、nmap掃描開放端口、驗(yàn)證設(shè)備真實(shí)IP、抓包分析通信協(xié)議等，完成安全分析的初始準(zhǔn)備工作后，可以根據(jù)實(shí)際情況對(duì)設(shè)備進(jìn)行安全分析。

端口與服務(wù)安全分析

針對(duì)物聯(lián)網(wǎng)設(shè)備所開放的端口進(jìn)行安全分析，以期得到目標(biāo)設(shè)備的敏感信息或shell，常見的端口及對(duì)應(yīng)服務(wù)如下表所示：

以下是對(duì)常見端口的攻擊手段：

21端口：暴力破解、FTP匿名訪問(wèn)、vsftpd后門利用、嗅探、FTP遠(yuǎn)程代碼溢出等。
22端口：弱口令登錄、防火墻SSH后門、CVE-2018-15473等。
23端口：暴力破解、嗅探、弱口令登錄等。
53端口：DNS欺騙重定向Web流量、拒絕服務(wù)攻擊等。
80 / 8080端口：SQL注入、遠(yuǎn)程代碼執(zhí)行、任意文件上傳、一句話木馬、XSS攻擊、DDOS攻擊等。
139/445端口：nmap掃描445端口、ms-017溢出攻擊等。
443端口：DDOS攻擊、中間人攻擊。
3306 端口：數(shù)據(jù)庫(kù)嗅探、弱口令登錄、暴力破解、SQL注入等。

密鑰安全分析

針對(duì)密鑰數(shù)據(jù)的攻擊，可分兩類：直接密鑰讀取攻擊和間接密鑰讀取攻擊。直接攻擊是指，攻擊者繞過(guò)各類安全防護(hù)，非授權(quán)地直接讀取到密鑰的數(shù)據(jù)；間接攻擊是指，攻擊者在沒有獲得任何密鑰數(shù)據(jù)的情況下，收集密碼運(yùn)算執(zhí)行時(shí)系統(tǒng)釋放的外部信號(hào)特征信息，如對(duì)設(shè)備進(jìn)行側(cè)信道分析、故障注入分析獲得設(shè)備運(yùn)行的密鑰信息。

操作系統(tǒng)安全分析

物聯(lián)網(wǎng)設(shè)備的嵌入式系統(tǒng)一般分為兩類：實(shí)時(shí)操作系統(tǒng)（RTOS）和非實(shí)時(shí)操作系統(tǒng)（TSOS）。在TSOS中，嵌入式Linux屬于特殊的存在，由于其開源的社區(qū)、大量的工具、抽象的體系結(jié)構(gòu)、內(nèi)核支持被修改等特性，方便轉(zhuǎn)換為實(shí)時(shí)操作系統(tǒng)，是眾多物聯(lián)網(wǎng)設(shè)備的理想環(huán)境。

以嵌入式Linux系統(tǒng)為例，淺談操作系統(tǒng)安全：

啟動(dòng)機(jī)制安全分析

以嵌入式Linux系統(tǒng)啟動(dòng)過(guò)程為例，通�？煞譃�4個(gè)層次：引導(dǎo)加載程序、啟動(dòng)Linux內(nèi)核（Linux kernel）、加載文件系統(tǒng)、加載應(yīng)用程序。在此過(guò)程中經(jīng)常會(huì)使用密碼算法進(jìn)行合法性驗(yàn)證，可嘗試通過(guò)故障注入的方式繞過(guò)安全啟動(dòng)的校驗(yàn)過(guò)程，執(zhí)行非法的應(yīng)用程序，進(jìn)而獲得設(shè)備的敏感信息或者shell。

系統(tǒng)入侵安全分析

對(duì)目標(biāo)設(shè)備進(jìn)行掃描，檢驗(yàn)設(shè)備是否開啟sshd、telnetd等服務(wù)。若系統(tǒng)內(nèi)無(wú)telnet等遠(yuǎn)程連接功能時(shí)，可嘗試增busybox的telnet、添加反向shell腳本程序等攻擊手段，重新編譯打包后使用telnet或nc登錄設(shè)備系統(tǒng)，如下圖使用nc反彈某物聯(lián)網(wǎng)設(shè)備系統(tǒng)shell。

物聯(lián)網(wǎng)-8.jpg

嘗試通過(guò)遠(yuǎn)程命令執(zhí)行、命令注入、堆棧溢出等方式獲得系統(tǒng)敏感信息或控制權(quán)限，以期拿到目標(biāo)設(shè)備的shell。如下圖利用某路由器Web端漏洞執(zhí)行cat /etc/shadow，獲取到該路由器root密碼的加鹽哈希值。

拿到目標(biāo)設(shè)備root密碼加鹽哈希值后，可使用Johnny工具、哈希md5破解網(wǎng)站等方式破譯root密碼，通過(guò)ssh或telnet登入目標(biāo)設(shè)備系統(tǒng)，拿到shell權(quán)限。

固件安全分析

物聯(lián)網(wǎng)設(shè)備固件在線升級(jí)或降級(jí)時(shí)，使用Wireshark等抓包工具抓取流量信息，以期獲得敏感信息或固件內(nèi)容。
獲取到的設(shè)備固件后，可向其中加入“一句話木馬”，方便滲透目標(biāo)設(shè)備Web應(yīng)用程序。
獲取到的設(shè)備固件后，可使用配套SDK開發(fā)包和gcc工具，增加危險(xiǎn)功能服務(wù)，重打包固件，得到 “后門” 固件，更新或者導(dǎo)入到設(shè)備中。

當(dāng)前，物聯(lián)網(wǎng)正處于快速發(fā)展階段，麥肯錫全球研究所發(fā)布的《物聯(lián)網(wǎng)：超越炒作之外的價(jià)值》的報(bào)告稱，到2025年，物聯(lián)網(wǎng)將每年為全球經(jīng)濟(jì)帶來(lái)高達(dá)3.9萬(wàn)億～11.1萬(wàn)億美元的增長(zhǎng)。但這只有在我們把事情做好，新設(shè)備熱銷的情況下才能實(shí)現(xiàn)。因此，加強(qiáng)物聯(lián)網(wǎng)安全也就變得更加重要。只有制定好相應(yīng)的應(yīng)對(duì)策略，讓物聯(lián)網(wǎng)安全得到保障，才能對(duì)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步起到更好地推動(dòng)作用。

上一篇：迎盛會(huì)，慶國(guó)慶！天暢信息國(guó)慶應(yīng)急服務(wù)團(tuán)隊(duì)值班安排通知

下一篇：新聞動(dòng)態(tài) | 天暢信息與中國(guó)信通院南方分院進(jìn)行網(wǎng)絡(luò)安全專題交流..

快分享給好友吧！

久久综合给合久久,色偷偷久久9999kkkk,欧美阿V大胆视频在线观看,99久久精品免费看国产一区二

服務(wù)熱線

020-38921330

物聯(lián)網(wǎng)安全專題 | 淺談物聯(lián)網(wǎng)面臨的安全問(wèn)題