这种新型网络安全风险,三道题测试你是否过于乐观,专家还提供了四个防范建议

文章正文
发布时间:2024-07-22 12:52

事实可能没有那么乐观

 

“万物互联”的大潮正席卷而来。

 

即便像智能汽车、智能家居之类的设备尚未普及,但现如今,谁身边没有个智能手环、智能手表之类的小东西呢?据统计,以可穿戴设备、智能家居为代表的新型物联网设备数量,在2017年或将达到84亿,联网设备迎来了井喷式发展。

 

不过,裹挟而来的,还有意想不到的安全威胁。

 

“风险?离我远着呢!开玩笑,那么多有价值的目标,我怎么会成为黑客的攻击对象?”

 

“安全问题?厂商会考虑的吧,我只管用就好了!”

 

如果你有过以上念头,要小心了!事实可能没有你想的那么乐观。

 

无人机被劫持、POS机被盗刷、使用中的汽车被操控、智能手表泄露用户隐私,甚至“当你在看电视的时候,有人可能在透过电视看你”这样令人后背发凉的情景,都不是骇人听闻,而是真实发生过的案例,或已被演示曝光的预警。

 

CNVD(国家信息安全漏洞共享平台)的统计显示,2016年全球物联网设备共出现1117个漏洞,涉及思科、华为、谷歌、Moxa、西门子等企业,这些受到攻击的设备类型,包括了网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。

 

我们身边,究竟潜伏着多大的安全风险?它们是可以被防范的吗?

 

在2017国家网络安全宣传周高端智库论坛上,一份《智能物联网安全风险报告》正式公布。该报告由上海社会科学院互联网研究中心、关注智能生活的安全极客赛事平台GeekPwn联手发布,上海社会科学院互联网研究中心执行主任惠志斌作了主题报告。

 

利用漏洞,

守护神秒变“凶器”

 

报告首先指出,与传统互联网、移动互联网相比,智能物联网的安全风险更特殊性、更复杂。

 

我们知道,连接到网络中的联网设备数量庞大、类型和技术千差万别,每一台设备运用的基础系统和通讯协议也不尽相同,当它们为攻击者充当入口时,几乎找不到一把针对它们的“万能保护伞”。因此,智能物联网终端一旦被入侵,可能发生功能变化。比如说,家用网络摄像头,原本是方便使用者远程了解家中情况,但是一旦被攻击者入侵,攻击者就可以利用摄像头存在的漏洞,远程控制摄像头并获取实时视频、音频信息,可能会导致人身威胁。类似的例子还有智能门锁,本来,用户不需要钥匙、门禁卡,就可以直接使用密码或指纹打开家门,可如果攻击者利用门锁安全漏洞,获取门锁密码开了门,后果不堪设想。此时的智能门锁,不再是家庭的守护者,而成了攻击者的“凶器”。

 

涉及隐私,“细思恐极”

 

市面上几乎所有的智能设备,都在用各自的方式获取并记录着用户的信息。在这里,用户说的每一句话、在摄像头前面的每一个动作,以及上下班路线、购物消费信息等等,被以一种数字化的方式保存下来。

 

由于涉及大量用户隐私数据,一旦失守,其风险后果可能远不止经济损失。比如,婴儿智能设备会获取孩子的成长信息,医疗智能设备需要用户的健康数据。假如用户的行为数据不仅为产品厂商获取,就有可能因泄露而遭滥用。

 

数量增多,

从攻击目标到“敲门砖”

 

报告称,目前,针对物联网的攻击活动正在增多,一个固件漏洞,可能影响着成千上万的设备。过分简单的默认用户名、密码、登录入口,或者不加密的通讯传输,都可能让攻击者能够更加轻松地“拥有”目标设备。

 

传统网络安全关注的只是某个阶段的安全问题,如系统漏洞、软件漏洞等,但是物联网中的每一个节点,都是无比重要的一环。小到一个传感器、配适器、陀螺仪,大到加密、通讯协议,设备的每一个功能,都可能成为攻击者的突破口。

物联网面临的复杂网络安全威胁,主要集中在“端”设备。

 

2016年,研究者发现,利用 ZigBee 协议中的漏洞能够感染并传播智能灯泡“蠕虫”。仅仅通过感染一个智能灯泡,可以在短短“几分钟内迅速造成一个城市的大面积灾难性破坏”。2017 年,研究人员又发现,博通 Wi-Fi 芯片存在可以远程执行任意程序的漏洞,可以影响全球 15 亿智能手机。当家电、汽车、医疗甚至工业设备都进入网络之后,攻击者可以突破的攻击面就更大了。更要命的是,越来越多的智能产品通过无线网相连,通常保持在线,这使得它们一直暴露在攻击威胁之下。于是,任何一个环节的智能设备可能并非攻击者眼中的最终目标,而是更致命攻击的一块“敲门砖”。

 

厂商的安全意识

还停留在十五年前”

 

面对这些潜在的安全风险我们能做些什么?智能物联网的下一步,要如何发展,才能不至于“因噎废食”?

 

这份报告也给出了四条建议。

 

首先是重视产品设计、开发中的安全考虑。

 

物联网设备的安全风险曾一度被忽视,设备通常都默认联网,较多端口处于开放状态,不乏使用开源软件,极易暴露安全问题。

在传统互联网时代,电脑、手机、软件上的漏洞和分析技术已经相对成熟。随着云计算和物联网设备的普及,情况发生了变化,安全威胁正变得多样而且复杂。

 

它导致的教训是惨痛的。2016 年 10 月 21 日,物联网恶意病毒 Mirai 感染摄像头、路由器等数十万智能设备,将其作为“肉鸡”,形成僵尸网络,对美国网络域名服务器供应商 Dyn进行 DDoS 攻击,造成包括亚马逊、 推特等数十个美国知名网站瘫痪长达 11个小时。仅仅半年后, GeekPwn 选手再次发现,相同品牌的智能摄像头存在相似的安全问题,依旧可能“发动”大规模网络攻击,造成巨大破坏。

 

GeekPwn方面发现,从 2014 年至今几年过去,智能硬件越来越常见,但是智厂商的安全意识似乎并没有显著提升,“还停留在十五年前的电脑制造商”阶段。一些生产商通常为了降低成本、快速推出产品、抢占市场,在产品设计和实现阶段就忽视安全的重要作用。为了满足消费群体的偏好,甚至为了形态美观、轻便简易而牺牲安全防护。

 

报告因此呼吁,如果智能联网产品厂商能够将安全因素放在相对重要的地位,投入必要的资源,遵循一些基本的安全最佳实践,相信可以有效降低产品弱点、提升安全性。

 

健全升级,统一标准

 

其次,是建立健全智能终端设备升级机制。

 

现在智能手机都会不定期进行固件升级来完善性能,尤其是当发现系统漏洞时,更是会通过 OTA(over the air)来修补漏洞。但是,在其他智能物联网设备中,固件升级机制还没有完全覆盖,多数设备还需要手动下载固件版本后再更新至产品中,有些产品甚至处于“无人值守”的状态,完全不提供升级功能。报告提出,智能物联网设备厂商在产品设计时,应充分考虑后续产品升级的需求和机制,降低产品销售后的升级难度,实现快速安全补丁更新。


三是要逐步统一规范和标准。

 

目前为止,我国的智能物联网设备产业的发展,还基本上处于一种自发状态,部门之间、地区之间、行业之间的分割较为普遍。为了实现智能设备间的统一协调互动,一些平台厂商如京东智能、阿里巴巴、海尔都已发布了各自的智能平台和连接标准,部分解决设备联网场景化的使用需求。工信部正式发布《全面推进移动物联网(NB-IoT)建设发展的通知》,为未来设备互联明确了联网基础技术和商业化方向。国际上也有很多组织,正在积极推进智能联网的标准化。
 

对照一下,你中了几条?

 

最后,作为用户,我们也需要提升自己的安全意识。

 

报告总结了一般用户对于安全威胁的3条反应:


(1)不愿意为安全买单。不认为安全是智能产品的一个功能属性,并为此付出额外的费用。

(2)安全问题离我很远。有那么多有价值的目标,我不会成为黑客的攻击对象。

(3)产品厂商会保证安全的。产品制造商会考虑安全问题的,我只管用就好。

 

赶快对照一下,你中了几条?

 

事实上,通过加强用户安全意识,很多安全问题是可以避免的。根据 verizon的“2016 数据泄露报告”(2016 Data Breach Investigation Report)显示,在2260 起数据泄露事件中,有63%都涉及到弱口令、默认口令。在著名的Mirai病毒通过入侵感染网络摄像头等智能设备进而实施对特定目标的DDoS攻击中,分析表明,Mirai利用了这些设备中某些组件密码强度不高进行的弱点。而事实上,该组件厂商早在1年前就发布了更新版本,并在说明书中要求用户在使用之前更改默认口令,但是很多用户并没有修改密码。

 

惠志斌表示,用户养成良好的设备安全使用习惯,可以在很大程度上增加实施攻击的难度,提高攻击成本。