到2025年,麦肯锡公司预测物联网可以带来3.9至11.1万亿美元的全球经济影响。它已经开始改变我们与周围城市,车辆,甚至我们自己的家庭互动的方式,从而使我们能够以前所未有的方式自动化和管理任务。物联网尤其在消费电器行业中获得了动力,包括 触摸屏冰箱,真空吸尘器以及近年来进入市场的各种智能家居设备。
对于制造商而言,物联网热潮是一个难以置信的机会。但是,它也带来了巨大的风险。物联网威胁形势复杂,黑客已经证明他们有能力操纵智能设备 - 甚至可以窃听自己家中的个人。
因此,虽然物联网旨在产生积极影响,但那些不能减轻网络攻击的组织会发现他们的设备可能弊大于利。这正是为什么格兰仕,一家以微波炉,冰箱,烤箱和洗衣机以及其他家用设备而闻名的电器全球领导者,与软件开发公司intive的安全专家合作。格兰仕希望确保黑客无法访问他们的智能微波炉,这可能会让客户受到伤害。这让我们讨论了所涉及的一些风险。
涉及的风险
对于广东的格兰仕而言,错误的网络安全系统会对安全产生重大影响。黑客可能能够拦截工厂中央系统与世界各地的格兰仕设备之间的通信。在这方面,他们有能力打开和关闭用户家中的设备 - 这是一种潜在的危险情况,因为机器过热的风险,设备的材料损坏,或者最后但并非最不重要的,火灾。查看以下可能的攻击情形示例,该示例描述了攻击者可能利用图1和图2中的IoT平台利用漏洞的方式:
此外,流氓黑客还能够操纵家庭互联网,然后入侵互联电视,笔记本电脑或智能手机。他们甚至可以在这些设备上传播勒索软件或使用它们运行僵尸网络,这些僵尸网络可用于执行DDoS攻击。例如,臭名昭着的Mirai,它是一个物联网僵尸网络,在2016年用于危害家用路由器和监控摄像头等设备时开始肆虐。根据Cloudflare的估计,Mirai在其峰值时感染了大约60万个物联网设备。
寻找入口点
intive和Galanz需要确切地弄清楚黑客如何获得对物联网设备的访问权限。为此,他们找到了以下切入点:
消费者使用的智能手机应用程序与设备进行远程通信
物联网服务提供商与管理设备的云基础设施之间的通信渠道
连接设备和云的API
设备本身,特别是设备和移动设备之间的通信信道,以及云。
使用这些入口点,他们开始确定平台的安全状态是否合理。他们还需要遵循安全深度规则。这意味着要研究用于设备到云和云到移动通信的协议,以确保黑客无法拦截或修改通信。
威胁建模和渗透测试
作为工程师和安全专家,他们计划采用系统的安全测试方法,该方法将分析安全环境以发现潜在的风险区域。执行的过程包括威胁建模和渗透测试 - 这一步总共需要两个月。
这两家公司首先参与了威胁建模的第一阶段。他们彻底审查了系统的架构设计,以便充分掌握设备的连接方式。而且,实际上,他们希望获得设备之间通信路径的鸟瞰图。一旦确定,团队就进行了第二阶段的威胁建模。这包括对威胁进行全面清查,并推断发现的通信路径,以寻找与架构相关的风险。
然后,是时候进行渗透测试了。为此,团队使用了专门的操作系统发行版,如Kali Linux和Burp Suite等软件框架。然后,他们用Python编写了自定义模糊脚本。它首先渗透了连接到物联网设备的门户网站和移动应用程序,消费者可以使用它来关闭和打开微波炉。这是为了确保未经授权的用户无法远程操作微波炉或破坏微波炉。还在物联网设备和它们所服务的设备的通信信道上进行了渗透测试。这是为了确保没有人可以连接到设备的网络并远程影响通信。
总的来说,所有威胁都得到了考虑,评估和解决。intive为格兰仕提供了一个全面的路线图,详细说明了未来如何避免威胁,确保现在可以保留客户数据。而且,现在,格兰仕相信他们的电器将对客户产生积极影响,而不是让他们处于危险之中。