im电竞竞猜注册网址:小心!MQTT安全漏洞影响能源行业及物联网设备安全
发布时间:2022-10-01 07:55:45 来源:im电竞平台iOS 作者:im电竞盘口

im电竞竞猜注册网址

  物联网设备近两年面临的安全挑战严峻,但它们却依然大规模暴露在互联网上。MQTT这个被遗忘的90年代通信协议现如今却在物联网领域日益流行,然而该协议的安全性令人堪忧,攻击者能通过公共互联网操纵该协议,从而窥探,甚至破坏发电厂设备、ATM机和其它联网设备。

  物联网设备近两年面临的安全挑战严峻,但它们却依然大规模暴露在互联网上。这次,物联网设备通过MQTT通信协议暴露在网上,研究人员将会在美国黑帽大会(Black Hat USA)上公开更多详情。

  MQTT这个被遗忘的90年代通信协议现如今却在物联网领域日益流行,然而该协议的安全性令人堪忧,攻击者能通过公共互联网操纵该协议,从而窥探,甚至破坏发电厂设备、ATM机和其它联网设备。

  去年,安全研究人员卢卡斯伦德格伦通过互联网扫描发现全球约有6.5万台使用MQTT(消息列队遥测传输)的物联网服务器均暴露在公共互联网上,无需验证,也没有加密通信,极易遭受攻击。伦德格伦在去年八月举办的黑客大会(DEF CON)上披露了该发现。伦德格伦计划在本月底举办的美国黑帽大会上演示攻击者如何攻击暴露的MQTT服务器,并发布伪造命令,从而修改物联网连接设备的运作与结果。

  伦德格伦还将在黑帽大会上发布一款暴力(Brute-Force)黑客工具。这款工具由伦德格伦的朋友编写,可用来破解使用推荐用户名和密码保护的MQTT服务器。据伦德格伦介绍,当时在他首次扫描的几万台服务器中,只有两台服务器使用了验证保护,能订阅所谓的标签(Hashtag)信息流(Feeds),这些算是它们的通信渠道。

  MQTT是1999年创建的轻量级机器对机器通信协议,该协议作为低带宽的通信方式(例如卫星),现如今已经成为不频繁或间歇性联网物联网设备的主要协议。

  伦德格伦发现了“新大陆”,即他发现中东一个石油管道服务器暴露在网上,之后发现一台服务器的开放端口,之后发现数万台开放的MQTT服务器(包括飞机坐标、监狱门禁、联网汽车、电表、医疗设备、移动手机和家用自动化系统)。伦德格伦能读取这些物联网设备与服务器之间传送的明文数据。伦德格伦表示,他可以看到监狱门的打开与关闭状态。

  他指出,无需身份验证、暴露的MQTT服务器还易遭受服务器端攻击,例如跨站脚本(XSS)和SQL注入,可以允许攻击者将恶意信息注入到物联网设备。除此之外,不仅可以写信给消息代理,还能修改数据,例如重写核电厂辐射检测仪上的传感器。

  伦德格伦的发现还包括暴露的MQ Web物联网。他表示,用户控制的数据安全性不佳,因为攻击者可以发送来自联网汽车或查看演示的任何人的伪造信息。IBM正在调查该问题。

  在另一起发现中,伦德格伦能将命令发送至大型技术厂商网络中暴露的MQTT服务器。伦德格伦称,暴露的MQTT服务器允许他将原始命令发送到服务器,他当时拒绝提及厂商的具体名称。

  伦德格伦发现的中东石油管道服务器暴露了油流(衡量一口油井生产能力的标准),以及PLC设备的用户名和密码。攻击者无需借助震网病毒(Stuxnet: 又作超级工厂,是一种Windows平台上的计算机蠕虫,这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。)或任何复杂的恶意软件就能变更管道中的油流,或通过弱配置MQTT服务器暴露的其它工业系统。

  中国不仅是制造大国,也是农业大国。农业强国梦的实现,必须抓住当前智能化与物联网快速发展的机遇,全面融入现代科技应用潮流,打造“智慧”农业、“智能”农业。作为一个深耕农业的中国物联网界“新星”,徐珍玉正用他的实际行动,通过农业物联网助力中国农业实现跨越发展。

  工业物联网作为智能制造的路径之一,正如火如荼地延展开来。Lux Research在2016年的报告中预测,2020年全球工业物联网产值将达到1510亿美元。然而,面对庞大的市场前景,如何找准发展方向却难如破冰。

上一篇:EMQX +阿里云计算巢一站式构建云上物联网平台 下一篇:张玲说法给4S店的忠告:金融服务费的税务风险现在注意还来得及

im电竞竞猜注册网址