2016年6月24日、25日,由国内领先的老牌IT技术网站51CTO主办的【WOT2016企业安全技术峰会】在北京如期举行,这是WOT的首场网络安全主题峰会。大会旨在分享前瞻性安全技术趋势、创新的企业应用实践和完整的解决方案,帮助企业建立在每一处微小边界,展开有效安全对抗技术与保护的技术体系。大会聚集了52名安全行业优异专家发表演讲,近800名企业安全管理人员、运维工程师、一线安全技术人员参与会。
大会现场图片
长亭科技联合创始人、首席安全研究员杨坤受邀在【WOT2016企业安全技术峰会】进行物联网安全相关议题分享——《智能设备攻防案例分析与思考》。议题总结了杨坤带领的长亭科技安全研究实验室对智能设备的安全研究成果。
杨坤的议题简介
市面上的智能设备层出不穷,功能越来越全面,也给人们的生活带来越来越多的便利。但从研究结果来看,大部分智能设备都缺乏对安全的考虑,这与越来越丰富功能有着巨大的反差。
杨坤讲到,智能设备中常见的安全问题包括ini配置文件注入、栈溢出、命令注入、验证不够严格、(内存)信息泄漏、由sql注入导致的栈溢出等。这些问题可能导致攻击者控制有漏洞的智能设备,甚至造成一些物理危害。
作为智能设备的厂家,做好以下几点能就能使得设备的安全性有着质的飞跃。
1、没有必要给智能设备留下默认的登录接口、后门等,这些功能很有很可能被攻击者找到并利用,进而给用户带来威胁。
2、在代码中有执行shell命令相关的代码时要注意避免命令注入的出现。
3、完全杜绝内存破坏漏洞比较困难,但是我们可以在这方便尽量努力的去避免,例如
1)在代码中完全杜绝strcpy,sprintf这种危险函数,以及要小心使用snprintf返回值(snprintf的返回值的含义并不是操作成功的字符个数);
2)让懂得内存破坏漏洞攻防的人来帮忙重新审计一下代码;
3)用AFL fuzzer等模糊测试工具对代码做模糊测试。
4、避免代码中出现sql注入漏洞。客户端的sql注入看起来好像无所谓,但也有一些内存破坏等其他漏洞可能随着客户端sql注入的出现而出现。
5、使用的安全的传输方式,在数据传输时尽量使用https,以及使用证书认证身份等安全的传输或认证方式。
最后,杨坤表示,长亭科技的主营业务是网站安全检测与安全解决方案。之所以选择智能设备安全这个看起来和主营业务没太大关系的研究点,是因为随着智能设备的普及,智能设备能做的事越来越多,这也就意味着一旦智能设备存在安全漏洞,造成的影响也越来越大。杨坤希望通过这些研究能够提高智能设备厂商的安全意识,增加对智能设备的安全投入,让人们的未来生活充满智能,远离网络安全威胁。