智能锁并不安全

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟,研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”,该公司确认了这个安全漏洞,并称其准备发布一项“重要的安全补丁”。

据称,不需要什么技术或知识,任何拥有智能手机的用户,都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题,设备的解锁键很容易被发现,因为它是由锁的蓝牙低能量ID广播而生成的。

另外,安全锁可以通过智能手机进行管理,因此也可以被远程打开,让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间,以便其纠正这一安全问题,然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告,以便及时更新APP,修复安全漏洞。

这起事件之所以能够发生,原因并不意外。

粗心大意,不仔细,自由散漫,缺乏对安全威胁的敏感度。

为什么这么说呢?

高科技公司制造指纹安全锁,从名字上看,似乎是可以提升安全性的,但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞,这不是好笑么?为什么其他安全人员都能在45分钟内想到破解方法,而科技公司里大把人,很长时间却没有认识到呢?他们没有足够的发现安全问题的天赋?没有这么简单,别人一指出问题,他们就理解了,说明他们并不笨,而是他们不够尽心,不够尽职尽责!

从这起事件中,我们能得到什么安全教训呢?

及时修复安全漏洞(弱点),降低被他人恶意攻击和利用的机会。

看到这则新闻,国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾,同时也表示:纯民间的漏洞平台控管不够,对于国家安全是一项威胁,这是不争的事实。重点在于很多安全弱点需要被及时发现,并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放,而安全专家们也出于对自身的保护,不愿向官方提供自己的发现。这就让很多被国内安全人员们(及黑客们)探测出来的系统漏洞不能被及时通报、修复和公开,而被一波一波地私下利用。

最后,让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代,各种联网小玩艺儿越来越多,中国创制的ioT设备安全问题更是不容忽视。因为总体来说,比起英国来讲,我国工业化和信息化起步较晚,国民普遍的安全意识更为落后,中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性,并不仅仅是培训一些设计研发人员就可以搞定的,这是一项关系到全民安全素质的工程,需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升,欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机/微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

物联网设备的网络安全风险

人人都听说过物联网 (IoT) 以及其如何让我们的生活变得更轻松、联系更紧密。但是许多人没有意识到,我们设备的连接性增强也带来了新的网络安全风险。例如近年来,大量不安全的物联网设备被僵尸网络控制,在窃取用户隐私信息的同时,加入拒绝服务攻击肉鸡大军,成为互联网世界的一大危害。接下来,我们将探讨与物联网设备相关的一些最常见的网络安全风险以及如何缓解这些风险。

  • 缺乏安全功能:与物联网设备相关的最大网络安全风险之一是缺乏内置安全功能。许多物联网设备的设计成本低廉且易于使用,这意味着安全性往往是事后才想到的。这可能会使设备容易受到黑客入侵和其他网络攻击。要减轻这种风险,我们需要选择具有强大安全功能的物联网设备,例如拥有加密和安全固件更新的功能。
  • 设备配置不当:物联网设备的另一个常见网络安全风险是设备配置不当。许多物联网设备是由非技术人员进行安装设置的,这可能会导致默认密码、脆弱加密和其他安全漏洞。为了减轻这种风险,重要的是要让用户了解正确设备配置的重要性,并提供易于使用的工具来设置和保护物联网设备。
  • 缺乏补丁和更新:与所有其他设备一样,物联网设备需要定期更新补丁和安全修复程序以确保安全。然而,许多物联网设备在设计之初并没有接收和安装更新的特性,这意味着它们可能仍然容易受到已知安全漏洞的影响。为了减轻这种风险,选择可以接收更新的物联网设备并定期检查和安装安全补丁非常重要。
  • 网络安全性不足:物联网设备通常与其他设备(例如智能手机和笔记本电脑)连接到同一网络,这意味着如果网络没有得到适当的保护,物联网设备可能容易受到网络攻击。为了减轻这种风险,在可能的情况下,应该使用强大的网络安全措施(例如防火墙和入侵检测系统)来保护物联网设备及其连接的网络。
  • 缺乏用户意识:缺乏用户意识可能是物联网设备的重大网络安全风险。许多用户可能不了解与物联网设备相关的潜在风险,或者可能不知道如何正确保护其设备。为了减轻这种风险,就需要让用户了解与物联网设备相关的网络安全风险,并提供保护其设备的资源。

总之,物联网设备连接性的增强带来了必须解决的新网络安全风险。通过选择具有强大安全功能的物联网设备、正确配置设备、及时更新补丁和安全修复程序、使用强大的网络安全措施以及对用户进行教育,我们可以减轻这些风险并确保物联网设备的安全。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:要保障物联网设备的安全,行业厂商及主管单位也可以有所作为,那就是加强设备的安全标准和市场监管,要实现这一点,需要提升物联网设备厂商设计研发、市场营销、技术服务等专业人员们的物联网安全意识。当专业人员与普通用户的安全意识都提升之后,物联网设备本身的安全性、安装配置方面的安全性、以及操作使用方面的安全性就会得到质的飞跃。

不要以为专业人员和普通人员在安全意识方面有多大的差别,常识是人人需要具有的。当然,我们也应该根据用户的专业角色和工作内容进行不同深度的意识教育。对于组织机构来讲,最有效的安全培训方式是建立全面的安全意识计划,与现有的组织文化相结合。安全意识计划是网络安全管理策略的重要组成部分,旨在帮助用户识别和防止内部威胁,包括恶意内部人员和心怀不满的员工。虽然这从表面上看已经超出物联网安全的课题范围,不过安全意识计划的目标是教育员工了解所面临的潜在威胁,以及如何通过遵循安全最佳实践来减轻甚至消除这些威胁。在安全知识方面的广度得到拓宽,专业人员和普通人员都会在更高的角度看待物联网安全,毕竟物联网安全威胁会扩散并蔓延至更广阔的领域,如同文初关于物联网设备被不法分子遥控,窃取用户隐私并且僵尸网络带来的问题。

因此,对于企业级机构来讲,物联网安全意识应该纳入整体的网络安全意识教育计划,该计划通常通过如下多种方式提供:

  • 培训视频,提供有关安全威胁、漏洞和响应的信息的在线视频或动画。
  • 演示文稿,有关网络钓鱼诈骗或社会工程攻击等主题的演示文稿文档。
  • 宣传邮件,定期发送电子邮件,涵盖密码安全或网络钓鱼等重要主题。
  • 在线学习,使用交互式的电子学习课程,追踪学习进展衡量学习成效。
  • 模拟钓鱼,使用类似黑客的网络钓鱼的手法,主动检测钓鱼识别技能。

最后,昆明亭长朗然科技有限公司专注于助力各类型的组织机构建立和实施网络安全意识教育计划,我们创作和推出了大量的安全意识宣教内容资源,包括动画视频、电子图片和网络课程,当然内容也包括上述我们讨论的物联网安全。欢迎有兴趣的朋友联系我们,预览我们的产品作品,体验我们的在线系统。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com