可怜的物联网安全可以取消电网,警告研究员
弥补了物联网(物联网)的设备的安全性差可能使攻击者能够将它们用于向下电网,安全研究员和渗透测试仪已经警告。
Ken Munro,Pen Test Partners的合作伙伴,正在不断测试IoT设备的安全性,最近发现某些类型的互联网连接的恒温器容易攻击。
这意味着攻击者可以控制这些设备,并且可能触发同一区域中的数十万次加热或冷却系统。
“这将是电网上的巨大漏极,并且将电网推向过载情况,导致停机,”他在伦敦Excel的Ipexpo讲述代表们,这并没有太多。
这可能导致需要从关机中恢复“黑色开始”程序,但所有电站都需要启动一些电源。
在正常情况下,这种功率来自邻近的电站,但如果所有周围的电站都被攻击者关闭,则可能导致全天跳率。
“有些,但不是全部,英国的电力站有一个”黑色开始“电源,在现场带来电网备份,而这种辅助电源在美国非常罕见,”Munro说。“
“这就是为什么IOT吓到我。如果攻击者可以取下足够的电站,可能会导致可能需要几天的额外停电才能从中恢复。“
通过安全研究员呼应类似的警告詹姆斯·莱恩对网络安全构成了一个非常真正的威胁,蒙罗尔说攻击表面是“绝对巨大”。
他说,随着无线通信,移动应用程序和固件的漏洞,他说了许多妥协的不同机会。
“然而,厂家很少或根本没有理解安全就是这样,而且通过购买未经测试和无担保的设备,人们给供应商提供了巨大的机会,以便为其支出赚取大量资金,”Munro说。
他的研究揭示了普通的物联网失败包括:
使用常见的默认密码,包括IOT相关应用程序源代码中的加密密钥和密码,包括设备固件中的加密密钥和密码,在配对模式下永久地将蓝牙永久使用密码,以便蓝牙故障禁用实时设备上的诊断端口未能验证输入以防止SQL注入攻击Munro建议的组织,正在考虑使用或生产IOT设备和应用程序,以了解Open Web应用程序安全项目(OWASP)和IoT安全基金会的指导。
“在处理供应商时,将安全要求写入合同,然后测试以验证已满足这些要求,无论您使用的内容都非常安全,”他说。....................................
未能这样做可能会导致蒙罗德造成毁灭性对组织的客户和声誉的损害。他警告说,IOT是一个潜在的“训练安全”,并且在它变得更好之前,情况可能会“越来越糟糕”。