TCP/IP为何成为物联网的威胁？

尽管物联网带来了新的数据收集、管理和应用的途径，但是也带来了大量的网络安全攻击。其中的一大隐患就在于TCP/IP架构中，包括了应用层、传输层、网络层和物理层。

其实从各种角度来看，TCP/IP架构本来就不是为物联网而设计的。虽然说工程师和开发者们都在努力试图修改或者为TCP/IP架构增加扩展，但是环境本身的复杂性，外加TCP/IP架构设计之初就没有考虑到安全性的原因，这一过程带来了许多安全层面的挑战——其中不乏有现实层面的问题。

加州的物联网咨询与应用公司Strategy of Things的高级合伙人Benson Chan认为，TCP/IP之所以成为一大隐患，是因为TCP/IP几乎是所有物联网设备的基础软件组成部分，因此涉及的数量极大。

TCP/IP为何成为物联网的威胁？

从最基础的层面来看，TCP/IP架构使得物联网设备能够和网路以及其他设备进行通信。这些架构都是开源的，而被大部分嵌入式设备以及物联网组件的厂商免费试用。

Chan补充道：“物联网设备厂商会购买已经内置好TCP/IP架构代码的芯片和组件，再用这些元件建造物联网产品。”

然而可惜的是，许多的物联网设备厂商并不知道他们的设备是否有隐患，因为他们对芯片和组件中使用的架构没有丝毫可视能力。另外，分析每一个设备，然后找出程序错误或者TCP/IP结构中的其他问题，显然不可行。

这导致的结果，就是所有设备都容易遭到攻击，产生信息泄露;会发生设备故障、数据丢失或者损坏，最终对品牌产生损害。同样的，这也会对网络安全成本造成上升。

Forescout的研究经理，Danile dos Santos，认为：“TCP/IP结构的脆弱性管理正在对安全社群而言，成为一个真正的挑战。”

究竟有哪些威胁？

就在去年，URGENT/11和RIPPLE20等一系列漏洞造成了极大影响。而今年，AMNESIA:33等33个其他漏洞影响了四个常用的开源TCP/IP架构——uIP、FNET、picoTCP、以及Nut/Net。这四个架构是包括医疗设备、工控系统、路由器、交换机、智能家居在内的百万物联网设备、工业设备、网络设备的基础组件。攻击者可以利用这些漏洞进行远程代码执习、DoS攻击，甚至强行占用设备。根据Forescout上个月的报告，超过150个厂商的设备带有风险。

这些漏洞可能存在于商业组件或者开源组件中。嵌入组件包括芯片级系统、连接组件、OEM主板等;物联网设备包括智能插件、智能手机、传感器、游戏手柄等;OT系统包括门禁、IP摄像头、协议网关、HVAC等;网络和IT设备则包括打印机、路由器、服务器等。

dos Santos指出，AMNESIA:33 之所以影响巨大，不仅因为大量存在该漏洞的设备，还有其他几个原因。其中一个原因，是硬件中对开源组件的广泛以及严重的依赖性。这些结构中的代码几乎和每个与设备进行交互的数据包都有接触，从而使得这些漏洞能对空闲的设备产生影响。由于源代码在88%的嵌入式项目中都会被重用，这会使得AMNESIA:33这类漏洞造成的影响数倍扩大。

Forescout的报告中提到，攻击者可以通过远程代码执行控制目标设备，然后DoS攻击影响其性能，最终损害业务。攻击者还能通过信息泄露的漏洞获取敏感信息，用DNS中毒的方式将目标设备导向恶意网站。

根据报告：“由于漏洞的广泛影响特性，全球许多组织可能都已经被AMNESIA:33所影响。”

组织如何能够解决TCP/IP结构中的漏洞？

专家指出，解决TCP/IP架构中的隐患可以分为三个基础步骤：识别网络上所有的设备并意识到哪些是有隐患的、评估这些设备带来的风险——包括业务关联性、严重性、以及互联网暴露程度、最后缓解评估到的风险。

dos Santos补充认为：“最后一点可以由多种方式达成：比如补丁修复、对网络进行划分并隔离关键设备、加强安全合规、以及监测网络中的恶意流量。”

而专门针对AMNESIA:33，他建议禁止并阻断IPv6流量，并在任何可能的时候依靠内部DNS服务器进行交互;因为在架构中的数个协议都受到了多个漏洞的影响。

同样，企业也可以依靠网络安全解决方案，自动化优化最佳实践。这包括了采取一些更主动的方式，比如对关键设备进行隔离——无论这些设备是否存在漏洞，从而减少风险暴露面以及限制攻击造成的影响。

另一方面，安全团队能回答问以下一些关键问题：代码是否正规？这些代码的贡献者是谁，是否还有人在维护这些代码？开源代码库确实简化了编程过程，但是这依然需要开发者了解代码库里存在什么——毕竟现在太多时候，开发者会在不了解代码内容的情况下轻易连入一个代码库。

对了，AMNESIA:33以及其他和TCP/IP相关的物联网漏洞暂时看来不大可能消失。

Chan表示：“大部分在AMNESIA:33中的漏洞是由糟糕的软件开发流程和管理行为导致的。升级软件可以解决一部分问题，但关键是要知道哪些设备存在受影响的架构。物联网设备厂商从供应商处购买芯片和组件，但他们本身却不知道其中到底有哪些软件。”
       责任编辑:pj

物联网芯片智能手机威胁

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。