在互聯(lián)網(wǎng)上，安全行業(yè)通過促進和實現(xiàn)安全實踐來保護我們免受傷害。這些“內(nèi)置”安全實踐包括相互認證，加密，安全協(xié)議和信任。但現(xiàn)實世界呢？事物互聯(lián)網(wǎng)（IoT）在大多數(shù)情況下都沒有使用類似的內(nèi)置安全架構(gòu)來創(chuàng)建。這是因為人們在連接和/或智能化之前很久才擁有許多事情。只有在2014年，賽門鐵克通過定義內(nèi)置和螺栓安全組件之間的區(qū)別，在物聯(lián)網(wǎng)空間中對此術(shù)語進行了結(jié)構(gòu)化。

　　

　　使用內(nèi)置組件，安全性是設(shè)備的重要組成部分，而螺栓組件則會在事件后添加這些安全功能。由于物聯(lián)網(wǎng)通過設(shè)備的人機界面影響物理世界，因此對互聯(lián)網(wǎng)連接的物聯(lián)網(wǎng)設(shè)備的攻擊不太穩(wěn)定，安全性較低，不僅容易，而且更危險。

　　

　　存在Shutterstock

　　

　　在建筑物中，我們信任智能傳感器來管理關(guān)鍵的日常任務(wù)，如開燈，檢測空氣和水質(zhì)的威脅，以及管理熱量和通風(fēng)。從螺栓角度來看，添加一個具有因特網(wǎng)功能的網(wǎng)絡(luò)架構(gòu)似乎是一個無害和有用的功能，以實現(xiàn)更高的連接性。

　　

　　不幸的是，這些傳感器和控制器不是設(shè)計為暴露在建筑物的控制系統(tǒng)連接到互聯(lián)網(wǎng)時出現(xiàn)的威脅。如果沒有所需的基礎(chǔ)安全架構(gòu)，這些安全架構(gòu)在互聯(lián)網(wǎng)上安全地運行，就會增加潛在的攻擊源并使其多樣化。

　　

　　傳統(tǒng)互聯(lián)網(wǎng)安全對于物聯(lián)網(wǎng)來說仍然很重要，但還不夠遠。設(shè)計正確的身份驗證，授權(quán)，計費，加密，入侵檢測，軟件簽名和信任模型可促進在線設(shè)備之間的交互。但是，在智能烤箱，智能鎖，連接鞋和鍛煉服裝等相關(guān)事宜中，鏡像和增強這些機制需要非常小心。安全漏洞可能對用戶造成即將來臨的身體威脅。

　　

　　例如，2017年，研究人員在購物廣場中使用聯(lián)網(wǎng)的低分辨率相機來收集用于解鎖Android手機的滑動模式的數(shù)據(jù)，并發(fā)現(xiàn)一組可能的模式，可以在一半以上的測試用例中解鎖手機。

　　

　　最重要的是，這種攻擊并不是針對特殊的高端智能相機而開發(fā)的。它通過從許多常見的低分辨率，消費級攝像機獲得足夠的不同數(shù)據(jù)來實現(xiàn)。如果攻擊者可以訪問用戶的手機，并且僅通過滑動模式進行保護，則攻擊者可以訪問所有用戶的個人數(shù)據(jù)，其中IoT包括家庭自動化，車輛保護和健康監(jiān)控系統(tǒng)。

　　

　　在物聯(lián)網(wǎng)中，攻擊不僅僅是一個隱喻-它是物理世界中的一個實際的攻擊。這些也可以在沒有攻擊者甚至在線的情況下進行身體啟動，也不知道如何安裝合法且易于使用的數(shù)據(jù)包嗅探應(yīng)用程序。例如，想象一下，公共建筑中的一個連接有IoT的運動檢測器，其中有惡意意圖的人物理地進入建筑物，并有意地觸發(fā)傳感器，同時嗅探無線網(wǎng)絡(luò)以捕獲在檢測到運動時發(fā)生的加密的無線通信。

　　

　　這個人可以將這些數(shù)據(jù)存儲到移動設(shè)備中，并且收集足夠的數(shù)據(jù)來構(gòu)建加密通信的存儲庫。然后，他們可以創(chuàng)建比原來幾乎無限排列的加密密鑰更小的加密密鑰，與此同樣，AlanTuring利用可憐的謬誤，在第二次世界大戰(zhàn)期間利用一組縮寫或天氣評論來終止安全通信。

　　

　　能夠推斷特定數(shù)據(jù)包來自運動事件在某一時間是將良好加密的數(shù)據(jù)結(jié)構(gòu)降低到易用易讀的代碼中的關(guān)鍵。并且通過訪問數(shù)據(jù)包頭和結(jié)構(gòu)，對其他建筑系統(tǒng)（如電力和熱能）的惡意攻擊成為可能-所有這一切都是因為一個人下載了一個應(yīng)用程序并在運動傳感器前面前后擺放了幾分鐘。

　　

　　奧地利酒店最近的一個活動突出了另一種類型的具有IoT功能的黑客.鎖酒店門索要贖金而人里面，和有效的價格點設(shè)計，黑客利用一個商業(yè)系統(tǒng)，過分信任網(wǎng)絡(luò)的鑰匙，沒有物理按鍵的解決方法或旁路的方法。黑客以這種方式獲得了訪問脆弱系統(tǒng)的大量支出。

　　

　　在這種情況下，安全修復(fù)將是簡單的。防止這種攻擊涉及編程電子鎖禁用和默認的機械故障。這是一種低成本、低投入的預(yù)防措施，但它要求工程師認為安全先發(fā)制人和經(jīng)常在舊的方式，如，“我們怎么安全的東西才是相連的，”，“如何連接的東西是最高級別的安全我們新的網(wǎng)絡(luò)模型內(nèi)建的？”

　　

　　IBM最近展示了這些物理因素的重要性，通過執(zhí)行一個匿名的智能辦公樓的“道德黑客”。使用傳統(tǒng)的黑客技術(shù)，該公司無法獲得全面訪問樓宇的控制和自動化系統(tǒng)。但開車經(jīng)過大樓，并連接到該大樓的本地網(wǎng)絡(luò)，他們能夠完成這項工作。如果肉體被考慮，這個假設(shè)的黑客是不可能的。

　　

　　而不是抑制膨脹，內(nèi)置的物聯(lián)網(wǎng)安全模型表明，物理安全提供了更高層次的網(wǎng)絡(luò)保護的基礎(chǔ)。有了這個基礎(chǔ)，更安全和更廣泛的互動與互聯(lián)網(wǎng)連接的東西是可能的。