聪明的城市是网络攻击者的诱人目标
一份报告警告说,为了使城市管理人员和城市规划者制造其公民的生命,即使是城市的基础设施易受网络攻击,易受网络攻击。
根据IDC的最新智能城市支出指南,据IDC的最新智能城市支出指南,全球对2018年预计达到达到80亿美元的技术的支出。
在纽约,超过600个传感器相机收集城市运输部的交通数据,主要用于信号时序和应急管理。由摄像机收集的数据也在普通车速和自行车使用情况下揭示了光线。
在巴塞罗那,该市的照明大师使用智能技术来提高灯柱的效率;当街道空空时,灯会自动暗淡以节省能量。灯柱还具有收集空气质量数据的传感器。
然而,智能城技术不仅改变了服务和基础设施的管理,而且还为网络攻击者创造了机会,根据IBM安全报告。
通过利用易于识别曝光设备的可用工具,以及智能城技术的相对不成熟的安全性,报告称攻击者可以控制这些系统。
这意味着网络攻击者可能会导致公民恐慌,将工人实施危险,并通过触发误报来将执法人员和其他事件响应者派遣野鹅追逐。报告警告说:“如果控制在错误的手中被置于错误的手中,攻击者可以滥用这种信任,以毁灭性的后果。”
2018年初,IBM X-Force Red和Threatscare在世界各地的智能城市传感器和控制中发现了17个零天漏洞。
报告称,剩下的报告称,这些漏洞可能允许黑客访问传感器并操纵数据,并补充说,即使是恶意黑客或其他方式生成的简单假传感器警报也很重要,可能会触发大规模恐慌。
报告警告说:“决心煽动大众混乱的演员可能会产生更大的努力,以极少的努力产生更大的影响。”报告警告说。
“决心煽动大众混乱的演员可以通过最小的努力产生更大的影响,如果传感器和控制的安全性没有加强”IBM Security Report“智能城市传感器和控件中发现的漏洞落入了各种类别,但最常见的是公共默认密码,身份验证旁路和SQL注入。
该报告称,许多设备可以在不需要用户创建安全密码的情况下进行操作,但默认密码 - 例如“管理员” - 允许最多的新手黑客容易地访问这些设备。
报告说,身份验证旁路漏洞,允许攻击者跳过登录页面并调用它们不应该访问的内部管理菜单页面,允许outsider获得与合法管理员相同的控制。
SQL注入,它是OWASP上十大列表中最常见的应用程序安全错误的长期入口,涉及发送看起来像应用程序和数据库之间的通信一部分的数据,将数据库困扰为执行操作,这不应该,例如披露用户名和密码。
根据该报告,研究人员发现它“痛苦地容易”,以了解智能城市设备的位置,其目的,以及它们所提供的最小安全保障。
一种方法用于发现这些系统的研究小组是搜索Shodan或Censys,两个搜索引擎,用于某种东西(物联网)和连接的设备,用于设备的特定位置和IP地址,然后将搜索数据与发布的供应商信息匹配确定该设备用于哪种设备,例如空气质量监测。
接下来,研究人员寻找供应商支持信息,如安装指南,概述密码保护,故障排除和其他安全功能。
该报告说,可以追踪和研究智能城市控件和传感器的攻击者可能缺乏漏洞漏洞漏洞,尤其是在使用默认密码和可以进行身份旁路的情况下实现默认密码。
该报告指出,智能城市技术存在,有时进一步复杂化,许多安全挑战在过去十年中面临着当地政府和工业控制系统(ICS)网络。
报告称,“这些挑战通常与设备/资产往往附在遗留操作系统上的传统设备上或已与互联网连接到互联网的情况下。
根据IBM的研究人员,没有简单的方法来修补一个城市,特别是由于这些责任在设备制造商和用户之间共享。
虽然制造商的工作是确保其产品安全地建立,但报告称,用户有责任使用良好的安全卫生。
此外,该报告称,制造商和用户之间存在共同责任,前者发出安全问题的软件更新,以及后者应用这些更新。