物联网僵尸潜伏已久

随着物联网（IoT）设备的普及，网络安全问题日益凸显。近期，一款多年未更新的安全摄像头成为了僵尸网络的目标。这起事件再次凸显了物联网（IoT）设备面临的安全风险，以及及时更新和修补漏洞的重要性。对此，昆明亭长朗然科技有限公司网络安全研究人员James Dong表示：通常来讲，软件是由人开发的，因此软件中的安全漏洞难以避免，只要漏洞能够得到及时的发现和修复，风险就是可控的。但是这一事件再次提醒我们，在很多技术方面的安全漏洞得不到及时修复的情况下，提升网络安全防范意识尤为重要。

僵尸网络的威胁不断扩大 僵尸网络，即由大量被入侵的设备组成的恶意网络，已经成为网络世界的重大威胁。这些网络可以用来发起分布式拒绝服务（DDoS）攻击、传播恶意软件和窃取敏感数据。Mirai Corona僵尸网络利用AVM1203相机中的已知漏洞，证明了即使看似无害的设备也可以被武器化。

补丁和更新的挑战 物联网设备安全漏洞的一个主要原因是缺乏及时更新和修补。AVM1203相机自2017年以来就没有发布新的固件，尽管该设备已经停产。这种延迟提供关键安全修复的现象，使得设备容易受到恶意攻击者的利用。

忽视物联网安全的后果 忽视物联网安全可能带来严重后果。被入侵的物联网设备可以成为攻击者进入更大网络和系统的入口。这可能导致数据泄露、服务中断和经济损失。此外，用于关键基础设施（如交通或医疗保健）的物联网设备如果被入侵，可能会对公共安全造成重大风险。

缓解物联网安全风险 为了应对物联网安全漏洞的威胁，组织和个人必须采取积极措施。以下是一些关键策略：

1. 优先更新和修补: 定期更新物联网设备的固件，确保它们拥有最新的安全修复。这可以通过云端管理平台或设备设置自动完成。
2. 实施强大的访问控制: 使用强壮、独特的密码，并避免使用默认设置。尽可能启用双因素身份验证，增加额外的安全层。
3. 隔离物联网网络: 将物联网设备与主企业网络隔离，以限制其被入侵时造成的潜在损害。可以使用虚拟专用网络（VPN）或专用物联网网络实现这一点。
4. 监控异常: 定期监控物联网设备是否有异常活动，例如过多的数据使用或意外的网络流量。这有助于检测和响应潜在的安全事件。
5. 考虑供应商声誉: 在购买物联网设备时，研究供应商的安全声誉。选择信誉良好的供应商，其产品具有及时更新和修补的记录。
6. 教育用户: 为员工和消费者提供有关物联网安全最佳实践的培训。这包括使用强密码、避免网络钓鱼诈骗和报告可疑活动的重要性。

呼吁合作 物联网安全面临的挑战需要制造商、安全研究人员和政策制定者的共同努力。制造商必须在产品开发过程中优先考虑安全，并提供及时更新和修补。安全研究人员可以在识别漏洞和开发缓解策略方面发挥重要作用。政策制定者可以制定法规和标准，以促进安全的物联网实践。

物联网设备安全的挑战

物联网设备的安全问题一直是网络安全领域的一个重要挑战。由于物联网设备的种类繁多、厂商众多，许多设备在设计和生产过程中并未充分考虑安全性。此外，许多物联网设备的固件更新机制不完善，导致漏洞长期得不到修复。对此，James补充说：不要以为大厂的设备的安全性就好一些，很多OEM贴牌的，稍稍改一改系统，关键是物联网设备依赖的很多部件也存在安全问题，特别是某些控件和云存储，几年前，数百T字节的网络订单和取件录像数据从云端失窃的案件，至今仍让人心惊胆战。

厂商的责任

物联网设备的厂商在设备的安全性上负有重要责任。他们应当在设计和生产过程中充分考虑安全性，并提供及时的固件更新和安全补丁。然而，现实情况是，许多厂商在设备停产后，往往不再提供安全更新，导致设备长期处于不安全状态。

用户的责任

用户也需要提升网络安全防范意识，定期检查和更新设备的固件，确保设备处于最新的安全状态。此外，用户应当遵循安全最佳实践，如使用强密码、启用双因素认证等，减少设备被攻击的风险。

政府和监管机构的责任

政府和监管机构在物联网设备的安全上也发挥着重要作用。他们应当制定和实施相关法规和标准，确保物联网设备的安全性。此外，监管机构应当加强对物联网设备的监管，确保厂商履行其安全责任。

未来的展望

随着物联网设备的普及，网络安全问题将越来越突出。未来，我们需要在技术、法规和用户意识等多个方面共同努力，提升物联网设备的安全性。

技术创新

技术创新是提升物联网设备安全性的重要手段。我们需要开发更加安全的物联网设备，采用先进的加密技术和安全协议，确保设备的安全性。此外，我们需要开发更加智能的安全监控系统，及时发现和应对安全威胁。

法规和标准

政府和监管机构应当制定和实施更加严格的法规和标准，确保物联网设备的安全性。这些法规和标准应当涵盖设备的设计、生产、销售和使用等各个环节，确保设备在整个生命周期内都处于安全状态。

用户教育

用户教育是提升网络安全防范意识的重要手段。我们需要加强对用户的安全教育，提高用户的安全意识和技能，确保用户能够正确使用和管理物联网设备。

结论

物联网设备的安全问题是一个复杂而多层次的挑战。一次又一次的网络安全事件不断提醒我们，物联网设备存在固有的漏洞。通过采取积极的物联网安全措施，组织和个人可以缓解风险，保护其网络免受僵尸网络和其他恶意攻击的威胁。在很多技术方面的安全漏洞得不到及时修复的情况下，我们需要特别注意提升网络安全防范意识，采取多种措施，确保物联网设备的安全性。只有在技术、法规和用户意识等多个方面共同努力，我们才能有效应对物联网设备的安全威胁，构建一个更加安全的网络环境。

昆明亭长朗然科技有限公司帮助各类型的组织机构加强人员安全意识方面的教育培训，如果您需要相关的课程资源素材，如包括物联网安全在内的动画视频、电子课件等，欢迎不要客气地联系我们。您也可以在线体验我们的电子学习平台及参加相关免费课程。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟，研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”，该公司确认了这个安全漏洞，并称其准备发布一项“重要的安全补丁”。

据称，不需要什么技术或知识，任何拥有智能手机的用户，都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题，设备的解锁键很容易被发现，因为它是由锁的蓝牙低能量ID广播而生成的。

另外，安全锁可以通过智能手机进行管理，因此也可以被远程打开，让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间，以便其纠正这一安全问题，然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告，以便及时更新APP，修复安全漏洞。

这起事件之所以能够发生，原因并不意外。

粗心大意，不仔细，自由散漫，缺乏对安全威胁的敏感度。

为什么这么说呢？

高科技公司制造指纹安全锁，从名字上看，似乎是可以提升安全性的，但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞，这不是好笑么？为什么其他安全人员都能在45分钟内想到破解方法，而科技公司里大把人，很长时间却没有认识到呢？他们没有足够的发现安全问题的天赋？没有这么简单，别人一指出问题，他们就理解了，说明他们并不笨，而是他们不够尽心，不够尽职尽责！

从这起事件中，我们能得到什么安全教训呢？

及时修复安全漏洞（弱点），降低被他人恶意攻击和利用的机会。

看到这则新闻，国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾，同时也表示：纯民间的漏洞平台控管不够，对于国家安全是一项威胁，这是不争的事实。重点在于很多安全弱点需要被及时发现，并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放，而安全专家们也出于对自身的保护，不愿向官方提供自己的发现。这就让很多被国内安全人员们（及黑客们）探测出来的系统漏洞不能被及时通报、修复和公开，而被一波一波地私下利用。

最后，让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代，各种联网小玩艺儿越来越多，中国创制的ioT设备安全问题更是不容忽视。因为总体来说，比起英国来讲，我国工业化和信息化起步较晚，国民普遍的安全意识更为落后，中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性，并不仅仅是培训一些设计研发人员就可以搞定的，这是一项关系到全民安全素质的工程，需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升，欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机/微信：18206751343

邮箱：[email protected]

QQ：1767022898