回归最本质的信息安全

美国联邦委员会花25000美元悬赏自动修补IoT设备方案

2017年1月7日发布

3,472
1
0

导语:根据IDG的预测,物联网市场在2020年时将达到17000亿,全球接入物联网的终端将会达到500亿个。而Gartner则预计到2020年时,物联网的黑市交易将会超过50亿美元。

根据IDG的预测,物联网市场在2020年时将达到17000亿,全球接入物联网的终端将会达到500亿个。而Gartner则预计到2020年时,物联网的黑市交易将会超过50亿美元。

由此来看,物联网设备的恶意软件已经成为一个繁荣的行业。这也表示所有连接网络的设备都将会受到恶意软件的影响,一个恶意软件就可以影响其连接的所有设备。

如今,物联网设备充斥着我们的生活,从安全摄像头、智能电视到智能冰箱和门锁等。虽然对很多人来说,物联网确实改善了人们的生活质量,但是由于缺乏严格的安全措施和加密机制,设备的危险指数也不断增加,为攻击者提供许多入侵我们生活的入口。

 147419011340526900_a580xH.jpeg

还记得Mirai僵尸网络吗?

通过劫持100000个物联网设备形成僵尸网络发动大规模DDoS攻击,导致数百万用户的互联网遭遇“宕机”事故。

与此同时,杭州雄迈科技(一家数字录像机和互联摄像头设备供应商)承认其公司旗下的智能产品——DVR和联网摄像机等设备的默认密码较弱,导致产品安全漏洞被“Mirai”恶意软件利用。据悉,“Mirai”恶意软件利用这些漏洞入侵了杭州雄迈公司所制造的设备,并发出了规模庞大的分布式拒绝服务公司,其中还涉及到美国大面积停电事故。但是由于是硬编码的密码以及存在更新困难的原因,最终该公司选择召回了部分产品。

制造商销售物联网设备却不具备自动补丁更新机制的现状,加剧了物联网设备的安全隐患。因此,有效的补丁部署对于物联网设备而言是一个大问题。此外,目前大部分的设备都存在弱密码(如1234)或是硬编码密码、后门以及不安全的协议等情况。

就在2015 年初,美国联邦贸易委员会(FTC)曾经发布了一份有关物联网隐私与安全的报告,为研发物联网相关连接设备的公司提出了一系列建议。其中包括:

1. 从一开始就为连接设备安装安全系统,而不是马后炮;
2. 在识别安全风险时,要深思熟虑并制定一个「纵深防御(Defense-in-Depth)」战略,即使用多重防御策略来逐级管控安全威胁,用以抵御某一个特定的风险;
3. 考虑并采取相关措施,以防止未经授权的用户访问消费者的设备、数据或存储在互联网上的个人信息;
4. 对预期生命周期内的连接设备实施监控,并在可行的情况下,提供安全补丁,以覆盖已知的风险。

继这份物联网隐私和安全报告后,美国联邦贸易委员会(FTC)又于近日宣布了一项“悬赏计划”,旨在创建一个自动修补物联网设备的安全解决方案。好消息是,你可以获得高达2.5万美元的赏金,而消费者们也能够在自己家中部署防范安全漏洞的物联网设备解决方案。

美国联邦委员会正在寻找一款工具,能够针对联网设备以及最新的物理设备执行自动软件更新的操作,其中有些可以自动更新,另外一些则需要用户去调整一个或多个设置来实现。

美国联邦委员会表示,参选/决胜的工具可以是一个物理设备、应用程序或是一个基于云的服务,只要能够保护消费者免受过时软件引起的安全漏洞即可。最终的获胜名单将于今年7月份正式对外公布,届时花落谁家,敬请关注!

本文翻译于thehackernews,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/2841.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

兮又米

兮又米

嘶吼编辑

发私信

发表评论

    天海 春香
    天海 春香 2017-01-09 12:03

    然后黑产那边说“give me bugs,double fee”