随着人(rén)工智能(néng)一(yī)路(lù)高歌(gē)猛進,萬物互聯的智慧生(shēng)活新(xīn)時代漸行漸近。當前,物聯網設備市(shì)場呈指數級增長态勢,傳統設備接入互聯網成爲技術發展和産業應用大勢所趨。
人(rén)們在享受萬物互聯帶來的便利同時,物聯網終端的安全問題卻逐漸暴露出來,甚至成爲最薄弱環節。聯網的打印機、路(lù)由器(qì),都可能(néng)成爲被黑客利用的“後門”,借以竊取國家機密、商(shāng)業機密、個人(rén)隐私。
專家稱,随着5G商(shāng)用步伐加快(kuài),重視物聯網設備安全,并盡快(kuài)升級防護措施,正在變得刻不容緩。
物聯網爲黑客入侵“敞開大門”
不久前,國外發生(shēng)了(le)一(yī)起借由智能(néng)魚缸展開的黑客攻擊事(shì)件。盡管聽上(shàng)去有些(xiē)匪夷所思,但(dàn)它卻将物聯網設備的安全問題暴露出來。
據報道,被攻擊的是一(yī)家位于北美的賭場,其物聯網設備——智能(néng)魚缸連接互聯網,可以實現自動喂食并保持環境、溫度、清潔度。不過,就(jiù)是這樣一(yī)個看似不起眼的物聯網設備,卻成了(le)黑客攻擊的目标。因爲它稱得上(shàng)是整個賭場内部網絡的“後門”——最薄弱環節,黑客先是入侵智能(néng)魚缸,進入賭場内部網絡,然後進行掃描,發現漏洞後進入網絡中的其他地方,最終神不知鬼不覺地将賭場數據竊取。
業内透露,物聯網設備成爲黑客攻擊的捷徑并非危言聳聽。2014年1月(yuè)(yuè)發生(shēng)的針對物聯網設備的一(yī)起攻擊行爲,攻陷了(le)10多萬個聯網設備,包括電視機、路(lù)由器(qì)和至少一(yī)台智能(néng)電冰箱,每天發送30萬封垃圾郵件。攻擊者從任何一(yī)個設備發送的消息也(yě)就(jiù)10條,因而很難阻止或查明攻擊源頭。
“智能(néng)魚缸成爲‘後門’并非偶然事(shì)件。”在科技專欄作(zuò)家金(jīn)智淵看來,聯網的咖啡機、電冰箱、智能(néng)畫闆、電動窗簾、路(lù)由器(qì)等都有可能(néng)成爲被攻擊目标。随着物聯網設備的激增,黑客有着越來越多的渠道進入内網竊取數據。
當前,以大數據、人(rén)工智能(néng)爲代表的新(xīn)一(yī)輪科技革命正在孕育興起,并以前所未有的速度和方式影響和改變着世界。社會正在邁向一(yī)個萬物互聯、萬象更新(xīn)的智能(néng)時代。與之相伴相生(shēng)的是,萬物互聯正悄然進入人(rén)們的生(shēng)活,越來越多的個體将被接入萬物互聯的體系,未來甚至垃圾箱也(yě)可能(néng)會聯網。
借由一(yī)個物聯網設備,黑客攻擊行爲通過蝴蝶效應擴展到物聯網更多節點,影響範圍将被迅速放(fàng)大。物聯網環境下(xià),個體間的聯系越緊密,那麽任何一(yī)個針對個體的網絡攻擊都有可能(néng)蔓延到更廣的範圍,攻擊帶來的損害程度也(yě)将遠比對單獨個人(rén)電腦端、移動端的攻擊大得多,物聯網時代的網絡安全維護正在成爲一(yī)盤需要統籌全局的“大棋”。
相關數據也(yě)佐證了(le)這一(yī)點。國家互聯網應急中心發布的《2017年我國互聯網網絡安全态勢綜述》顯示,物聯網正在加速融入人(rén)們的生(shēng)産生(shēng)活,傳統的網絡攻擊和風險正在向物聯網和智能(néng)設備蔓延。
數據顯示,2017年國家信息安全漏洞共享平台收錄的安全漏洞中,聯網智能(néng)設備安全漏洞多達2440個,同比增長118.4%,每日活躍的受控物聯網設備IP地址達2.7萬個,涉及的設備類型主要有家用路(lù)由器(qì)、網絡攝像頭、會議系統等。
在國家互聯網應急中心副主任雲曉春看來,與電腦有所不同,路(lù)由器(qì)、交換機和網絡攝像頭等聯網智能(néng)設備一(yī)般是全天候在線,并且被控後用戶不易發現,往往被黑客控制後作(zuò)爲DDoS攻擊(分(fēn)布式拒絕服務攻擊)的“穩定”攻擊源。
國家互聯網應急中心對部分(fēn)惡意程序發動的DDoS攻擊抽樣監測發現,DDoS攻擊的控制端IP地址和被攻擊IP地址均主要位于我國境外,但(dàn)被利用發起DDoS攻擊的資源卻主要是我國境内大量被入侵控制的聯網智能(néng)設備。這也(yě)使得發現及查處這些(xiē)物聯網攻擊事(shì)件并不容易。
從綠盟科技發布的《2017網絡安全年報》看,就(jiù)全球分(fēn)布來說,路(lù)由器(qì)暴露的數量超過4900萬台,遠高于其他物聯網設備暴露數量;視頻監控設備的暴露數量超過1100萬台,高于防火(huǒ)牆、交換機等傳統網絡設備;打印機的暴露情況更令人(rén)意外,暴露數量達到了(le)89萬台之多。惠普曾對外表示,數以億計的商(shāng)務打印機中隻有不到2%真正安全。
中國工程院院士邬賀铨在第二屆世界智能(néng)大會“窄帶物聯網發展論壇”上(shàng)尖銳地指出,物聯網、工業物聯網的發展帶來了(le)新(xīn)的安全問題,其一(yī)旦受影響,情況将會更嚴重。“工業互聯網的物聯網不是簡單影響個人(rén)的設備,而是會影響到生(shēng)産管理(lǐ)系統、控制系統,蔓延到更大範圍。”
360技術總裁、首席安全官譚曉生(shēng)也(yě)指出,萬物互聯時代,原有的安全威脅從單一(yī)的信息安全擴展到民(mín)生(shēng)安全、經濟安全、關鍵基礎設施安全、城市(shì)安全、社會安全乃至國家安全的“大安全”。
不隻是辦公設備,在家庭日益普及的智能(néng)攝像頭,也(yě)存在個人(rén)隐私洩露的隐患。智能(néng)攝像頭本應作(zuò)爲防範家中安全的利器(qì),但(dàn)殊不知,可能(néng)有成百上(shàng)千雙陌生(shēng)的眼睛在偷窺你的家。2017年6月(yuè)(yuè)18日,媒體曝光了(le)家用攝像頭存在安全隐患,不法分(fēn)子(zǐ)通過一(yī)款掃描APP,可以破解用戶家中智能(néng)攝像頭的IP地址,從而遠程操作(zuò)攝像頭,盜取或截取攝像頭中的畫面。而破解的攝像頭IP地址也(yě)被公開叫賣,用戶的隐私如(rú)同裸奔于網絡之中。物聯網設備被破解後引發的危害,令人(rén)不寒而栗。
廉價物聯網設備缺失安全保護
智慧生(shēng)活越便利,物聯網設備的漏洞就(jiù)越大。以無人(rén)售貨機爲例,其工作(zuò)原理(lǐ)是通過物聯網技術将用戶與商(shāng)品之間建立聯系,用戶隻需通過移動支付即可完成購買流程,但(dàn)這種在現代生(shēng)活中看似十分(fēn)平常的便捷操作(zuò)背後,卻潛藏極大的安全風險。
2017年7月(yuè)(yuè),美國自動售貨機供應商(shāng)Avanti Markets遭遇黑客入侵内網,攻擊者在終端支付設備中植入惡意軟件,并竊取了(le)用戶信用卡賬戶以及生(shēng)物特征識别數據等個人(rén)信息。
對于物聯網設備的安全漏洞,各界并非毫無察覺。美國弗雷斯特研究公司在其2018年物聯網預測中就(jiù)指出,安全漏洞是部署物聯網解決方案的公司深爲擔憂的一(yī)大問題,而這也(yě)是在考慮部署物聯網解決方案的企業最關注的問題。然而,大多數公司并沒有始終如(rú)一(yī)地應對物聯網安全威脅,業務壓力壓倒了(le)技術安全問題。
這一(yī)判斷一(yī)語道破了(le)物聯網設備安全漏洞看似難以解決背後的真相。
物聯網設備爲何頻頻成爲被黑客攻擊和利用的對象?互聯網資訊平台極客公園總結認爲,首先是出于成本考慮。部分(fēn)物聯網設備生(shēng)産商(shāng)爲了(le)節省成本,使用通用、開源的操作(zuò)系統,或未經安全檢測的第三方組件,這很可能(néng)會引入漏洞。同樣是基于成本考慮,大多數物聯網設備不會保護調試接口,這給了(le)攻擊者乘虛而入的機會。
“在大量價格低(dī)廉的物聯網設備上(shàng),幾乎不可能(néng)使用複雜又耗電的現有安全系統。”一(yī)位互聯網安全專家無奈地說。
很多廠商(shāng)缺乏安全意識和安全能(néng)力。在開發物聯網智能(néng)設備時,沒有做好(hǎo)(hǎo)安全考慮,導緻出現軟硬件安全漏洞。而且,很多設備也(yě)缺乏軟件安全更新(xīn)機制或機制不安全,導緻漏洞無法被修複,帶來惡劣的後果。
而且,身(shēn)份認證和授權機制薄弱。物聯網智能(néng)終端設備規模很大,相互協同工作(zuò)的設備可能(néng)屬于不同供應商(shāng),這導緻終端之間的身(shēn)份認證很難實現。大量的設備還在使用弱密碼,這讓黑客可以很容易地控制設備。
邬賀铨也(yě)認爲,目前物聯網的加密往往比較簡單,而要實現相對安全的加密,投入精力就(jiù)會比較大。以工業物聯網爲例,其設備花樣繁多,傳感器(qì)、接口标準,通信協議都相當複雜,實現安全并不容易。同時,個人(rén)電腦和手機也(yě)可能(néng)被木馬控制,它們并非長期處于工作(zuò)狀态,而物聯網節點是永遠在線的。盡管不都與外網相連,但(dàn)即便物理(lǐ)隔離後也(yě)可能(néng)因管理(lǐ)疏漏而感染外網病毒。
路(lù)由器(qì)高危漏洞緻德國百萬用戶斷網、黑客入侵15萬台打印機、智能(néng)泰迪熊玩(wán)具洩露200多萬條親子(zǐ)聊天記錄……與物聯網設備漏洞相關的黑客攻擊一(yī)再發生(shēng),使得國外對物聯網設備的安全風險有所警覺。美國聯邦調查局曾警告家長,互聯網玩(wán)具有洩露隐私的風險,黑客可以通過攻擊互聯網玩(wán)具來獲得孩子(zǐ)的姓名、地點等個人(rén)信息。
針對物聯網設備攻擊的危害遠不止于數據失竊那麽簡單。安全研究人(rén)員演示了(le)如(rú)何将勒索軟件安裝到家庭的智能(néng)恒溫器(qì)上(shàng)。他們甚至可以将溫度調高到95攝氏度,拒絕調回到正常溫度,除非受害者同意支付用比特币支付的贖金(jīn)。他們還能(néng)對聯網的車庫門、車輛甚至家電發動類似的攻擊。随着無人(rén)駕駛日益普及,黑客可以控制車輛,換廣播電台、開啓雨刷器(qì)、逼停車輛乃至引發交通事(shì)故。更令人(rén)擔心的是,黑客有可能(néng)攻擊植入人(rén)體且具有無線功能(néng)的醫療器(qì)械,借以危害人(rén)體健康。
國際權威咨詢公司高德納預測,2020年全球物聯網設備數量将高達260億件,解決物聯網設備的安全防護問題已是刻不容緩。
提升物聯網設備防護能(néng)力迫在眉睫
“當今社會越來越需要‘大安全’。”360集團董事(shì)長兼CEO周鴻祎在第二屆世界智能(néng)大會上(shàng)指出,萬物互聯時代,網絡攻擊已經開始威脅智能(néng)經濟的健康發展。
他爲此提出了(le)“安全大腦”的概念,希望建立超大的分(fēn)布式智能(néng)安全系統,綜合利用人(rén)工智能(néng)、大數據、雲計算(suàn)、區塊鏈等新(xīn)技術,保護基礎設施、社會、城市(shì)及個人(rén)等網絡安全,其智能(néng)安全防護的能(néng)力進一(yī)步延伸到工業互聯網、車聯網、物聯網、城市(shì)安防等領域。
對于我國而言,解決物聯網設備的安全問題同樣緊迫。近期,我國密集出台了(le)推進IPv6、5G、工業互聯網等發展的政策,力争今年開展商(shāng)用試點,這在助推物聯網更快(kuài)普及和物聯網設備數量快(kuài)速增長的同時,由于設備制造商(shāng)安全能(néng)力不足和行業監管未完善,物聯網設備的安全威脅将加劇。屆時,政府機關、工商(shāng)企業乃至個人(rén)家庭,都将有較大概率暴露在黑客的視野之下(xià)。
專家認爲,當務之急,具有公共屬性的政府機關及企事(shì)業單位,應盡快(kuài)強化(huà)對内部物聯網設備的安全排查及日常監控。在排查中可重點關注是否存在漏洞、過往被攻擊情況、被攻擊IP地址來源等。同時,關閉不必要的遠程服務端口,修複弱口令,定期開展網絡安全風險評估以提高防護水平。
同時,國内物聯網設備生(shēng)産商(shāng)提升安全等級不可或缺。“物聯網設備常見的脆弱點有硬件接口暴露、未授權訪問等,這些(xiē)安全問題技術水平并不高,完全可以防患于未然。”綠盟科技首席架構師楊傳安建議,生(shēng)産商(shāng)應做好(hǎo)(hǎo)設備全生(shēng)命周期的安全保障工作(zuò),具備完善的網絡安全應急處置預案,包括設備出廠時做好(hǎo)(hǎo)設備安全風險評估,并不使用統一(yī)的默認密碼等。
此外,還要警惕傳統互聯網攻擊手段在物聯網“戰場”變種。在物聯網的“戰場”上(shàng),很多傳統的攻擊手段找到了(le)新(xīn)的發揮空間。例如(rú)網絡嗅探、遠程代碼執行、雲端服務器(qì)攻陷而導緻被控設備失陷等,都是傳統攻擊手段在物聯網技術中新(xīn)的應用場景。這些(xiē)傳統攻擊手段也(yě)不應被各個環節輕易忽視。
最後,相關部門在智能(néng)聯網設備采購時也(yě)要有所警覺,防範其成爲“後門”。一(yī)旦發現故意留“後門”,應依據法律法規,果斷采取嚴厲懲戒措施,以儆效尤。
