物联网设备安全挑战：呼吁消费者提高警惕

插图：© IoT For All 物联网设备的安全挑战是一个备受讨论的话题，有其充分的理由。在本文中，BugProve的首席执行官兼创始人阿提拉·萨萨（Attila Szasz）将为我们揭示背后的原因、趋势以及当前的期望。物联网设备在全球面临哪些安全挑战？ 也许最大的警钟来自Mirai僵尸网络攻击，它引发了变革。当时被入侵的机顶盒和协调攻击能够关闭GitHub、Twitter和Reddit，充分展示了最大的风险。如果一个设备存在漏洞，那么所有部署的设备中都可能存在并能访问这个漏洞。这已经不再是简单的安全风险了。俄罗斯与乌克兰之间的战争也突显了这一问题。情报机构试图入侵IP摄像头，这些摄像头是敌方最容易监视我们的弱点。别忘了，这些设备不仅存在于我们的家中，还存在于政府和军事建筑以及关键基础设施中。无论哪个领域，如果物联网设备在其网络边界内运行，大多数数字化企业都会面临风险。设备的漏洞可能成为攻击高价值目标的入口。2017年，一家赌场因一台智能水族箱被黑客入侵而登上新闻。尽管他们在信息安全方面投入了大量资金，但并未想到水族箱会成为薄弱环节。自那时以来，越来越多的信息安全部门开始意识到其网络中物联网资产的风险，并增加了资金以发现此类恶意行为和高风险设备。为什么物联网设备不同？为什么它们更具挑战性？ 嵌入式系统的安全方法与应用程序开发领域根本不同。这里有几个关键因素。也许最显著的初始区别就是存储和资源的限制，这对物联网代码提出了许多限制。尽管有些软件项目在市场中占较大份额，例如Linux和FreeRTOS，但所有物联网设计的整体范围是非常异构的。通常，这些过程涉及封闭的硬件特定代码，这经常对安全性产生不利影响。设备必须独自解决所有问题，通常没有完整操作系统。裸机代码（bare metal code）常常容易受到攻击，例如简单的悬空指针问题可能由于环境中缺乏内存保护或其他通常由操作系统提供的安全机制而被利用。制造商通常无法控制某些采购的组件，相关SDK通常带有易受攻击的示例代码，且没有任何保修。有时，易受攻击的代码以源代码形式分发，第三方审计可能会发现这些问题。然而，更常见的情况是，SDK通过平台的定制修改隐藏这些漏洞，这些修改是预先编译的二进制代码。进一步的复杂情况是，制造商通常寻求满足要求的最便宜组件。只要安全性不是硬性要求之一，设计就会以牺牲基本措施（如强大的加密或权限分离）来降低成本。在该领域常用的编程语言（如C和C++）从安全编码角度来看是具有挑战性的。内存安全方面的问题仍是困扰这些设计的主要漏洞类别。安全性测试的难度则是压垮骆驼的最后一根稻草。在这一领域的可用工具非常缺乏，仅有少数开源项目。此外，市场中还存在数百万的安全专业人员短缺问题。因此，我们无法完全依赖人工监督。BugProve 谁来承担责任？运营商还是制造商？ 当然，解决诸多问题需要积极实施适当的操作，包括防火墙、XDR和物联网可观察性平台。然而，即使有这些措施，设备的漏洞仍可能构成风险，特别是当攻击针对组织内的高价值资产时。因此，我们相信，制造商应主要负责确保其产品符合基本的安全期望。幸运的是，情况在某一方面有了明显改善：如果今天我们发现并报告产品中的漏洞，公司通常不会将其视为公关攻击，而是将其视为受欢迎的贡献。制造商更可能表达感激之情并与我们合作解决问题。为什么一种设备类型的安全状况优于另一种？ 我即将要说的可能并不令人惊讶：那些设备在有业务动机和真正攻击潜力的地方，具有更高的IT安全水平。BugProve 一个很好的例子就是机顶盒这一设备。人们可能会认为它与路由器属于同一类，尤其是在考虑便宜、低质量的设备时。然而，从安全角度来看，我经历过显著的差异。经过分析的廉价机顶盒具有专用硬件资源，并使用严格的加密方式。这主要归功于内容创作者与运营商和有线电视提供商签订的合同中包含的高额盗版惩罚条款，因为它们希望保护自己的知识产权。因此，运营商突然对确保内容安全地到达消费者产生了强烈兴趣。在第三世界，这尤其是一门大生意。盗版已经发展成一项完整的产业，一些恶意组织甚至运营着非法卫星。因此，运营商面临巨大压力，促使他们开发出更安全的设备。类似的过程也使游戏机变得安全。 相比之下，路由器和IP摄像头的安全性要低得多。根据我们的研究，平均每10台设备中就有8台存在严重漏洞。一般来说，我们发现越贵重、越复杂的设备反而越安全。法规和消费者意识 现在我们到了一个关键问题，即消费者的意识。简而言之，威胁尚未达到足以迫使制造商优先考虑安全性的程度，因为消费者并未惩罚那些安全性较弱的产品。当然，问题在于消费者如何评估这一点，但还有更严重的问题需要考虑。一些人甚至还未意识到问题的存在，而这本身就是一种危险。 有一篇关于BugProve的文章标题类似于“我们保护你的智能冰箱免受攻击”。其中最热的一条评论写道：“求帮助，如果有人黑了我的冰箱并偷走我的鸡块怎么办？” 这本来是个讽刺的笑话，我当时也觉得有趣。但我认为它也揭示了一个问题，即普通消费者在将隐私和安全担忧与看似无害的家庭物品联系起来时，是否存在心理上的劣势。甚至有人称这为“鱼缸谬论”，就像那家赌场事件一样。对我们这些安全专家来说，只要看到微控制器和其他计算硬件连接到IP网络，即使它们被隐藏在熟悉的物品中，也能立即察觉物联网设备的安全挑战。然而，普通大众尚未达到这种认识水平。监管的作用 如前所述的赌场案例所示，风险并不取决于被入侵设备的原始功能；问题在于，任何物联网设备都可能成为用户网络的入口，攻击者可以借此获取更多资源。以这种方式植入的恶意代码通常对用户隐藏，但仍可能构成持续的风险。这正是即将出台的法规旨在改变的情况。GDPR可能并不是提高数据安全的最佳方式，但至少在一定程度上让所有人对数据安全有所意识。我们希望RED和CRA能产生类似的影响。更加明显的是美国的“网络安全信任标志”（Cyber Trust Mark）方法。产品将会贴上带有盾牌标志的标签，向消费者传达该产品至少满足一定标准。消费者还可通过产品上的二维码以后验证该产品是否仍然满足这些标准。我相信一些消费者会关注这一点，但仍有一些人会选择货架上最便宜的选项。这正是提高整个行业整体安全水平的必要性所在。即使选择最便宜方案的人，也应具备基本保护——这是保护我们社会的关键所在。如果我们希望继续使用越来越多的嵌入式设备，这将至关重要。