近日,阿里安全猎户座实验室三位安全专家五达、蒸米、白小龙分别受邀在安全行业国际顶会HITB、Black Hat Europe进行四个议题的分享,从物联网设备入侵检测、智能音箱传感器缺陷到iOS系统防御新型攻击的方法等,全面展现阿里安全用技术解决社会问题的理念。
五达在HITB上进行了两个议题的演讲,分享他对于物联网安全碎片化以及智能音箱隐私保护的解决方案。这也是自2015年以来,五达第四次代表阿里登上安全行业顶会,持续发掘并解决物联网安全问题。
约束应用协议(CoAP)是一种主要为物联网设备而设计的协议,然而其被滥用的现象正日益严重。据安全研究人员称,CoAP现在被网络犯罪分子用来执行大规模DDoS攻击。CoAP的正式名称为RFC 7252,但开发人员可能不太了解它,因为它在2014年才获得批准,直到最近才被广泛使用。
CoAP所谓何物?两大漏洞影响
CoAP属于机器对机器(M2M)协议的范畴,这些M2M协议被用于在低计算能力和内存稀缺的设备上运行。
发布时间:
2018-12-06 18:45 |
阅读:224895 | 评论:0 |
标签:
IoT安全 ddos
五月,西里西亚理工大学的波兰研究员BłażejAdamczyk告诉D-Link公司,他发现了三个重要的安全漏洞,影响了其八个型号的Wi-Fi路由器。
根据Adamczyk的说法,D-Link在两周后回复说将在适当的时候修补其中两款产品,但剩下的六种产品因停产不会修补。
上周五,Adamczyk公开了这些漏洞,其中包括一个概念验证视频,展示了如何将这些漏洞结合起来破坏易受攻击的路由器。
发布时间:
2018-10-22 18:45 |
阅读:120134 | 评论:0 |
标签:
IoT安全 技术控 漏洞
物联网是新一代信息技术的重要组成部分,也是“信息化”时代的重要发展阶段。其英文名称是:“Internet of things(IoT)”。顾名思义,物联网就是物物相连的互联网。这有两层意思:其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;其二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信,也就是物物相息。
一.物联网初探
1.发展历程
物联网的实践最早可以追溯到1990年施乐公司的网络可乐贩售机,1999年美国麻省理工学院(MIT)的Kevin Ash-ton教授首次提出物联网的概念。
发布时间:
2018-09-05 01:45 |
阅读:124045 | 评论:0 |
标签:
IoT安全
智能灯泡是新的灯泡产品形式,采用嵌入式物联网核心技术,将互通核心模块嵌入到节能灯泡。智能灯泡时代人们可以根据自身个体照明需要(如颜色、温度、亮度和方向等)来设定自己喜欢的场景情景照明效果,便捷的智能手机也提供了更人性化的智能控制渠道,营造不同的室内智能照明效果。然而,就像电网、水网、以及其他各种家用物联网设备一样,智能灯泡也被网络犯罪分子列为了攻击目标。
早在2016年,美国《纽约时报》发布的一篇题为《IoT Goes Nuclear》的报道中,达尔豪斯大学魏茨曼科学研究所的研究团队进行了一项关于智能灯泡实验。
发布时间:
2018-08-28 18:45 |
阅读:139879 | 评论:0 |
标签:
IoT安全 技术控
导读:以色列研究人员警告称,需要高度防范针对城市供水服务系统的潜在分布式攻击,
近期,以色列本内盖夫本-古里安大学(BGU)的网络安全研究人员警告说,针对使用的是智能模拟灌溉的城市供水服务系统,将遭遇僵尸网络的攻击。僵尸网络是由被命令和控制的计算机或其他设备构成的大型网络,而这些设备的用户完全不知情。
该大学的研究员Ben Nassi 于8月11日在拉斯维加斯举行的着名的Def Con 26会议上展示了如何攻击 智能灌溉系统。
研究人员发现了许多商业智能灌溉系统中的漏洞,这使得攻击者能够利用僵尸网络随意远程打开和关闭供水系统。
发布时间:
2018-08-17 18:45 |
阅读:132201 | 评论:0 |
标签:
IoT安全
阅读: 14物联网安全 仍然是本届2018 RSA的热点之一,许多安全公司都推出了自己的物联网安全解决方案,其中不乏许多专业物联网安全公司。如ARMIS,一家来自硅谷的企业,致力于消除物联网安全盲点,让企业能够安全的使用物联网设备。其解决方案是提供一个无代理的物联网安全平台,使得企业可以查看和控制任何物联网设备或网络风险。
阅读: 33随着物联网(IOT)日益增长,面向IOT硬件的新一波恶意软件如期而至,不过对于安全人员来说,这些恶意软件所面向的系统架构貌似有点生疏:MIPS架构。为了帮助读者熟悉这一架构,本文将详细介绍如何编译、分析和调试基于MIPS的二进制文件。文章目录简介在x86系统上交叉编译MIPS ELF文件在x86系统上运行MIPS ELF程序QEMU的用户模式QEMU的系统仿真模式在x86机器上调试MIPS的ELF程序技巧与陷阱小结简介MIPS是一种精简指令集计算机(RISC),问世于二十世纪八十年代初期,常用于家用网关路由器和交换机等设备。
阅读: 2摄像头使用广泛,围绕摄像头所引起的安全事件不在少数。一方面,大量摄像头组成的网络被黑客入侵;另一方面;摄像头采集视频,被攻击者控制后,容易发生隐私泄漏的事件。本文即从这两方面着手,回顾安全事件,管中窥豹,总结出物联网安全需求。2017年12月,BBC记者约翰·苏德沃斯在贵阳挑战中国的“天网工程”。手机拍下记者的面部照片后,苏德沃斯“潜逃”,七分钟就被中国警方抓获。摄像头使用广泛。城市监控无死角,减少犯罪违法行为,人们才能安居乐业。幼儿园里安装视频监控,家长们可以远程看到小朋友在幼儿园里的活动。家用IP摄像头让人们随时可以看到家里的情况。
阅读: 3上一期【物联网安全】系列之一: 隐藏在摄像头下的罪恶,我们对两类摄像头安全事件(僵尸网络和视频外泄)的梳理,归纳出物联网的安全需求,即在传统IT的CIA需求,加上了隐私保护、人身安全和可靠性三个新需求。一言以蔽之,物理网安全是Security+Safety的组合。摄像头安全让我们对物联网的安全需求有一个感性认识。这一期物联网安全,我们介绍物联网相关的概念,进一步了解物联网和物联网安全。
阅读: 0针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。【物联网安全】系列之一: 隐藏在摄像头下的罪恶【物联网安全】系列之二: 物联网安全基础知识101物联网发展迅猛,正加速渗透到生产、消费和社会管理等各领域, 物联网设备规模呈现爆发性增长趋势,自 2015 年至 2020 年,物联网终端年均复合增长率为 33%,安装基数将达到 204 亿台,其中三分之二为消费者应用。在联网的消费者和企业设备的投资为 2.9 万亿美元,年均复合增长率高达 20%,将超过非联网设备的投资。
企业接入点制造商Ruckus又补上了一堆指令注入漏洞,这些漏洞可致ZoneDirector控制器和Unleashed AP虚拟控制器被黑客完全掌控。其中一个漏洞,与去年被披露的Ruckus Web-GUI问题极端相似。虽说任何足够复杂的软件都难免出现漏洞,但仍有几个缓解方法可以大幅减小成功漏洞利用的影响。2017年,没理由让某些设计缺陷在一个又一个产品中不断复现。安全人员是时候开始对供应商期待更多了。
在过去一年中,网络罪犯不断提升他们的专业技术,突破网络防御,在全球造成了多起重大的服务中断事件。在2018年,赛门铁克预计,由于攻击者或将使用机器学习和人工智能技术来发动更有力的攻击,我们将看到该趋势会愈发明显。因此,我们要提前为来年做好准备。今年5月,全球有超过20万台电脑受到WannaCry勒索软件的攻击,而此类事件只是未来新一轮更加恶劣的恶意软件和DDoS攻击的前戏。与此同时,网络罪犯也瞄准办公室和家庭中的数百万台联网及物联网设备,准备发动更强的攻击。
明年,5个不同威胁将造成同一效果:安全事件率上升,程度更严重。这一结论是上万名安全专业人士参与的信息安全论坛(ISF)得出的。这5个主要的网络安全威胁是:犯罪即服务的持续进化不受控的IoT风险监管复杂性供应链安全董事会期待值与安全能力的不匹配犯罪即服务影响的增长,是最大的担忧,这是有组织网络犯罪越来越专业化的结果。事实上,犯罪即服务已臻成熟,犯罪组织为初级罪犯提供了唾手可得的渠道。明年我们将看到攻击变得更加复杂和有针对性。其中一个问题是,网络罪犯变得精于共享信息,可以做一些“好人”不太擅长的事情,比如情报共享。网络犯罪就是个巨大的伞式组织。
首届小米IoT开发者大会于11月28日召开,小米创始人、董事长兼CEO雷军现身主会场,亲口诉说发展历程并力推AI音箱“小爱同学”,作为“神秘嘉宾”出场的百度COO陆奇则宣布了和小米的合作。而对安全圈来说,下午的安全峰会才是重头戏。以IoT安全为核心,下午的安全分会场共设置了八个议程,小米AI、云与安全副总裁崔宝秋等演讲者从厂商、攻防等各方面展示了物联网安全的难点与热点。本文挑选了其中四个精华议题,记录并分享如下。小米是一家设备公司,我们不能像一些互联网公司那样肆意使用用户数据。
背景介绍
购物热季来临了,今天我们谈一下物联网设备的安全问题。
各大供应商们陆续推出了许多令人兴奋的物联网设备,并承诺这些设备会让我们的生活变得更简单、更快乐、更舒适。作为一个安全人员,除了跃跃欲试各种新品之外,尤其关注这些设备的安全性能,毕竟谁也不想在购买了一台智能咖啡机的同时,也为黑客预留了一扇后门;谁也不希望在购买了一台安全监控摄像头的同时,地球人都可以看到你的家庭现场直播……
*本文翻译自卡巴斯基实验室发布的安全报告
总所周知,目前物联网的安全状态并不理想。
SecTor安全大会的主题演讲上,IBM Resilient Systems的首席技术官,安全大师布鲁斯·施奈尔,阐明了为什么要对软件和物联网(IoT)设立更多监管。施奈尔在11月15号发布的主题演讲时说,时至今日,每样东西基本上都是一台计算机,无论是一辆汽车、一块手表、一部手机,还是一台电视机。IoT由很多部分组成,包括收集数据的传感器,算出该对数据做什么的计算能力,还有影响现实世界的制动器。施奈尔说:“传感器就是眼睛和耳朵,致动器是手和脚,中间的就是大脑了。我们正在创建的,是可以感知、思考并行动的互联网——这基本上就是机器人的经典定义了。
背景介绍
大量的观察表明,整个网络空间威胁领域中物联网安全威胁是当下发展最快的,攻击方式从简单的密码猜测,逐渐演进到更为先进的漏洞利用,例如最近广受关注的IoTroop/Reaper僵尸网络。随着物联网的快速普及,各种物联网产品和系统的安全漏洞也相继被披露,越来越多的脚本小子、业务黑客企图利用复制/粘贴等方式,跳上了物联网漏洞利用的快车,在各种地下论坛中,能看到越来越多的关于物联网漏洞利用工具的分享和出售。
根据对地下论坛的观察,网络犯罪分子们进来似乎很热衷于利用有漏洞的GoAhead版本(*GoAhead是一个开源、简易的、功能强大且能在多个平台运行的嵌入式Web服务器)。
去年干掉Dyn让全球多家大型网站无法访问的DDoS攻击始作俑者——Mirai僵尸网络,至今依然逍遥法外。据Dyn公司估测,2016年10月致其服务中断的DDoS攻击中,至少涉及了10万台被Mirai感染的设备。11月7号,安全评级公司SecurityScorecard发布一份研究结果,称即便在面世1年之后,Mirai僵尸网络感染依然广泛。2017年7月到9月间,SecurityScorecard在公网上发现34,062个IPv4地址,呈现出被Mirai物联网(IoT)恶意软件感染的嵌入式设备所表现出的症状。
近日,360安全研究人员发现一个新的IoT僵尸网络,并将其命名为“IoT_reaper”。据悉,该僵尸网络利用路由器、摄像头等设备的漏洞,将僵尸程序传播到互联网,感染并控制大批在线主机,从而形成具有规模的僵尸网络。截至目前,IoT_reaper感染量达到近200万台设备,且每天新增感染量达2300多次。 据了解,该恶意程序脱胎于此前曾导致美国断网的僵尸网络Mirai,但比Mirai的感染途径更广,如果照目前速度继续肆意扩张,其造成的后果将不堪设想。广大用户应及时为IOT设备升级版本,增强设备密码,关闭共享端口,避免被此类僵尸网络感染。
阅读: 45IoT(Internet Of Things)物联网,这个词最近在各种安全会议被频繁提及。物联网其实很早就有提及,但是由于传统行业转型的因素,此领域一直不温不火。直到近几年信息化普及,网络的提速以及人工智能的发展。使得物联网真正的进入了大家的生活。究竟什么是物联网?这个问题我其实也不是理解的很透彻的,大概就是说物联网是个很宏观的概念,狭义的理解就是物物都联网。所有的你看得到的东西都能联网。这个说法似乎熟悉it技术的人会联想到ipv6。确实ipv6实行的话所有东西都能获得到一个网络地址,但至今ipv6尚未普及。
日前,Radware推出了全面的网络层攻击防护解决方案,可抵御包括来自物联网(IoT)僵尸网络的威胁。Radware DefensePro系列中最新加入的产品提供了对快速发展、高容量、加密或持续时间非常短的威胁的自动化防护,包括:Mirai等基于IoT的攻击,脉冲式攻击、突发式攻击、DNS攻击、TLS/SSL攻击以及与永久拒绝服务(PDoS)和勒索拒绝服务(RDoS)等相关的攻击。Radware安全解决方案副总裁Carl Herberger表示:“Gartner预测,到2020年将出现260亿台联网设备。换言之,每天都会有成千上万的新的易受攻击设备上线,增加了威胁的覆盖范围。
隔空盗刷NFC信用卡 2017 HACKPWN最吸“金”的破解秀
具备NFC(闪付)功能的各种卡片越来越多,很多人享受“非接触”刷卡带来的便利。但是,能够“非接触”刷卡的不止商家,还有攻击者。9月11日至13日,亚太地区最大的安全盛会中国互联网安全大会(ISC2017)在国家会议中心召开。13日下午的2017 HACKPWN破解秀暨物联网安全论坛上,来自360 Unicorn Team的单好奇展示了一种对NFC闪付功能信用卡的攻击方法,在持卡人毫无察觉的情况下被攻击者近距离盗刷。
HACKPWN 2017盛大开幕 专注物联网安全主题
9月13日下午,2017HACKPWN破解秀暨物联网安全论坛在国家会议中心召开。作为ISC2017的重点特色活动,HACKPWN是由全球顶尖黑客团队与360集团旗下众多安全团队共同发起,在吸收国内外各安全峰会优点的基础上,融入最新颖最有趣的各类智能硬件破解秀与破解赛,重金打造的基于物联网安全的大型安全专题活动。
图1:360集团首席安全官谭晓生致辞
网络安全已经进入大安全时代。
前言
很多人对物联网安全比较感兴趣,但想要深入学习和研究却又感到无从下手,于是,我决定把自己对物联网安全的一些见解分享出来,希望能为想要进入物联网安全领域,从事物联网的渗透测试和开发的研究人员提供一些帮忙。当然,如果您仅仅是对物联网安全感兴趣,相信通过阅读本专题,也会让您有所收获。
我也是一名安全从业人员,我知道对于大多数安全研究人员来说,每接触到一项新的复杂技术都不知道该从何处着手:面临哪些攻击面?该如何进行安全测试?……面对这个问题,有一个共同的解决方案:首先将技术分解成小组件,然后逐个学习每个组件。这个过程熟练掌握每个组件,并根据您个人的兴趣进行深入的研究。
马拉松全长约42.195公里,国家一级男运动员跑完全程需要2小时30分钟,只有最强耐力的高手才能挑战。那么一场48小时的黑客挑战赛对于白帽黑客来说将会是一场怎样酸爽的体验?9月12-13日, 360 IoT安全守护计划黑客马拉松大奖赛将登陆中国互联网安全大会(ISC2017)现场,这是全国首个48小时不间断挑战赛,20位精英白帽将全程参战。
阅读: 22如今是一个物联网爆炸的时代。商业层面上有各种大型工业控制系统接入互联网,消费层面上有汽车、摄像头以及各类家用电器接入互联网。而在物联网愈演愈烈的同时,网络安全问题也甚嚣尘上:乌克兰电网屡遭攻击、家用摄像头轻易被黑、特斯拉被破解、Mirai 物联网DDoS攻击。如何保证物联网的安全是个亟待解决的难题。也许软件定义访问控制可以成为救命稻草。
前情提要:物联网安全成本攀升
一份来自marketsandmarkets.com的报告数据显示:到2021年,物联网安全市场的估值将达到369亿5000万美元。网络安全行业混乱的增长,又一波资本投资浪潮来袭。
2017年,专家预测,开放的物联网安全漏洞将导致关键基础设施被破坏,来自竞争对手的情报收集和知识产权盗窃事件将增加。与此同时,2017年DDOS攻击的威胁将进一步蔓延。
1.IoT安全五大噩梦
这部分首先列举CSO们面临的五大IoT安全噩梦
噩梦1号
每天新增近500万个物联网设备,等于每天有更多的新增安全漏洞。根据Gartner的统计报告,2016年全球新增了550万个物联网设备。
发布时间:
2017-06-05 08:50 |
阅读:136167 | 评论:0 |
标签:
IoT安全 物联网安全 黑客
这一漏洞利用采用了与Mirai相同的攻击载体,但危险性更高
Radware最新发布的Radware ERT预警中,最早揭露了PDoS攻击。这些攻击可以经由命令进行远程执行,最终可能会破坏存储、中断连接并导致设备无法正常运作。这些攻击针对的是连接至互联网的基于Linux/BusyBox的IoT设备。已发现的攻击利用了与Mirai相同的漏洞利用载体,可以强制破解远程登录方式。
发现该恶意软件的Radware EMEA地区安全专家及研究人员Pascal Geenens表示:“我们将其命名为‘BrickerBot’不是因为它可以像Mirai一样控制IoT设备,而是因为它的意图是摧毁或‘覆盖’这些设备。
Mirai,因其无人能及的物联网设备感染能力而声名狼藉,如今,它有了一个势均力敌的对手。
根据安全研究人员观测,一种新出现的恶意程序正在大肆感染防护弱的物联网设备,其感染能力甚至超越了Mirai。
BackConnect(一家提供反DDoS攻击服务的厂商)的首席技术官Marshal Webb表示:“它差不多可以看为Mirai的强化版。”
安全研究人员称这个物联网恶意软件新星为Hajime。Hajime已经持续扩散了六个多月,它至今仍在势头不减地缔造着僵尸网络。Webb估计全球已有大约十万台设备被感染。
这些被控电脑组成的僵尸网络隐藏着惊人的破坏力。