物聯網設備恐成網絡安全重災區

毛振華

2018年06月14日07:38  來源:經濟參考報
 
原標題:物聯網設備恐成網絡安全重災區

  隨著人工智能一路高歌猛進,萬物互聯的智慧生活新時代漸行漸近。當前,物聯網設備市場呈指數級增長態勢,傳統設備接入互聯網成為技術發展和產業應用大勢所趨。

  人們在享受萬物互聯帶來的便利同時,物聯網終端的安全問題卻逐漸暴露出來,甚至成為最薄弱環節。聯網的打印機、路由器,都可能成為被黑客利用的“后門”,借以竊取國家機密、商業機密、個人隱私。

  專家稱,隨著5G商用步伐加快,重視物聯網設備安全,並盡快升級防護措施,正在變得刻不容緩。

  物聯網為黑客入侵“敞開大門”

  不久前,國外發生了一起借由智能魚缸展開的黑客攻擊事件。盡管聽上去有些匪夷所思,但它卻將物聯網設備的安全問題暴露出來。

  據報道,被攻擊的是一家位於北美的賭場,其物聯網設備——智能魚缸連接互聯網,可以實現自動喂食並保持環境、溫度、清潔度。不過,就是這樣一個看似不起眼的物聯網設備,卻成了黑客攻擊的目標。因為它稱得上是整個賭場內部網絡的“后門”——最薄弱環節,黑客先是入侵智能魚缸,進入賭場內部網絡,然后進行掃描,發現漏洞后進入網絡中的其他地方,最終神不知鬼不覺地將賭場數據竊取。

  業內透露,物聯網設備成為黑客攻擊的捷徑並非危言聳聽。2014年1月發生的針對物聯網設備的一起攻擊行為,攻陷了10多萬個聯網設備,包括電視機、路由器和至少一台智能電冰箱,每天發送30萬封垃圾郵件。攻擊者從任何一個設備發送的消息也就10條,因而很難阻止或查明攻擊源頭。

  “智能魚缸成為‘后門’並非偶然事件。”在科技專欄作家金智淵看來,聯網的咖啡機、電冰箱、智能畫板、電動窗帘、路由器等都有可能成為被攻擊目標。隨著物聯網設備的激增,黑客有著越來越多的渠道進入內網竊取數據。

  當前,以大數據、人工智能為代表的新一輪科技革命正在孕育興起,並以前所未有的速度和方式影響和改變著世界。社會正在邁向一個萬物互聯、萬象更新的智能時代。與之相伴相生的是,萬物互聯正悄然進入人們的生活,越來越多的個體將被接入萬物互聯的體系,未來甚至垃圾箱也可能會聯網。

  借由一個物聯網設備,黑客攻擊行為通過蝴蝶效應擴展到物聯網更多節點,影響范圍將被迅速放大。物聯網環境下,個體間的聯系越緊密,那麼任何一個針對個體的網絡攻擊都有可能蔓延到更廣的范圍,攻擊帶來的損害程度也將遠比對單獨個人電腦端、移動端的攻擊大得多,物聯網時代的網絡安全維護正在成為一盤需要統籌全局的“大棋”。

  相關數據也佐証了這一點。國家互聯網應急中心發布的《2017年我國互聯網網絡安全態勢綜述》顯示,物聯網正在加速融入人們的生產生活,傳統的網絡攻擊和風險正在向物聯網和智能設備蔓延。

  數據顯示,2017年國家信息安全漏洞共享平台收錄的安全漏洞中,聯網智能設備安全漏洞多達2440個,同比增長118.4%,每日活躍的受控物聯網設備IP地址達2.7萬個,涉及的設備類型主要有家用路由器、網絡攝像頭、會議系統等。

  在國家互聯網應急中心副主任雲曉春看來,與電腦有所不同,路由器、交換機和網絡攝像頭等聯網智能設備一般是全天候在線,並且被控后用戶不易發現,往往被黑客控制后作為DDoS攻擊(分布式拒絕服務攻擊)的“穩定”攻擊源。

  國家互聯網應急中心對部分惡意程序發動的DDoS攻擊抽樣監測發現,DDoS攻擊的控制端IP地址和被攻擊IP地址均主要位於我國境外,但被利用發起DDoS攻擊的資源卻主要是我國境內大量被入侵控制的聯網智能設備。這也使得發現及查處這些物聯網攻擊事件並不容易。

  從綠盟科技發布的《2017網絡安全年報》看,就全球分布來說,路由器暴露的數量超過4900萬台,遠高於其他物聯網設備暴露數量﹔視頻監控設備的暴露數量超過1100萬台,高於防火牆、交換機等傳統網絡設備﹔打印機的暴露情況更令人意外,暴露數量達到了89萬台之多。惠普曾對外表示,數以億計的商務打印機中隻有不到2%真正安全。

  中國工程院院士鄔賀銓在第二屆世界智能大會“窄帶物聯網發展論壇”上尖銳地指出,物聯網、工業物聯網的發展帶來了新的安全問題,其一旦受影響,情況將會更嚴重。“工業互聯網的物聯網不是簡單影響個人的設備,而是會影響到生產管理系統、控制系統,蔓延到更大范圍。”

  360技術總裁、首席安全官譚曉生也指出,萬物互聯時代,原有的安全威脅從單一的信息安全擴展到民生安全、經濟安全、關鍵基礎設施安全、城市安全、社會安全乃至國家安全的“大安全”。

  不只是辦公設備,在家庭日益普及的智能攝像頭,也存在個人隱私泄露的隱患。智能攝像頭本應作為防范家中安全的利器,但殊不知,可能有成百上千雙陌生的眼睛在偷窺你的家。2017年6月18日,媒體曝光了家用攝像頭存在安全隱患,不法分子通過一款掃描APP,可以破解用戶家中智能攝像頭的IP地址,從而遠程操作攝像頭,盜取或截取攝像頭中的畫面。而破解的攝像頭IP地址也被公開叫賣,用戶的隱私如同裸奔於網絡之中。物聯網設備被破解后引發的危害,令人不寒而栗。

  廉價物聯網設備缺失安全保護

  智慧生活越便利,物聯網設備的漏洞就越大。以無人售貨機為例,其工作原理是通過物聯網技術將用戶與商品之間建立聯系,用戶隻需通過移動支付即可完成購買流程,但這種在現代生活中看似十分平常的便捷操作背后,卻潛藏極大的安全風險。

  2017年7月,美國自動售貨機供應商Avanti Markets遭遇黑客入侵內網,攻擊者在終端支付設備中植入惡意軟件,並竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息。

  對於物聯網設備的安全漏洞,各界並非毫無察覺。美國弗雷斯特研究公司在其2018年物聯網預測中就指出,安全漏洞是部署物聯網解決方案的公司深為擔憂的一大問題,而這也是在考慮部署物聯網解決方案的企業最關注的問題。然而,大多數公司並沒有始終如一地應對物聯網安全威脅,業務壓力壓倒了技術安全問題。

  這一判斷一語道破了物聯網設備安全漏洞看似難以解決背后的真相。

  物聯網設備為何頻頻成為被黑客攻擊和利用的對象?互聯網資訊平台極客公園總結認為,首先是出於成本考慮。部分物聯網設備生產商為了節省成本,使用通用、開源的操作系統,或未經安全檢測的第三方組件,這很可能會引入漏洞。同樣是基於成本考慮,大多數物聯網設備不會保護調試接口,這給了攻擊者乘虛而入的機會。

  “在大量價格低廉的物聯網設備上,幾乎不可能使用復雜又耗電的現有安全系統。”一位互聯網安全專家無奈地說。

  很多廠商缺乏安全意識和安全能力。在開發物聯網智能設備時,沒有做好安全考慮,導致出現軟硬件安全漏洞。而且,很多設備也缺乏軟件安全更新機制或機制不安全,導致漏洞無法被修復,帶來惡劣的后果。

  而且,身份認証和授權機制薄弱。物聯網智能終端設備規模很大,相互協同工作的設備可能屬於不同供應商,這導致終端之間的身份認証很難實現。大量的設備還在使用弱密碼,這讓黑客可以很容易地控制設備。

  鄔賀銓也認為,目前物聯網的加密往往比較簡單,而要實現相對安全的加密,投入精力就會比較大。以工業物聯網為例,其設備花樣繁多,傳感器、接口標准,通信協議都相當復雜,實現安全並不容易。同時,個人電腦和手機也可能被木馬控制,它們並非長期處於工作狀態,而物聯網節點是永遠在線的。盡管不都與外網相連,但即便物理隔離后也可能因管理疏漏而感染外網病毒。

  路由器高危漏洞致德國百萬用戶斷網、黑客入侵15萬台打印機、智能泰迪熊玩具泄露200多萬條親子聊天記錄……與物聯網設備漏洞相關的黑客攻擊一再發生,使得國外對物聯網設備的安全風險有所警覺。美國聯邦調查局曾警告家長,互聯網玩具有泄露隱私的風險,黑客可以通過攻擊互聯網玩具來獲得孩子的姓名、地點等個人信息。

  針對物聯網設備攻擊的危害遠不止於數據失竊那麼簡單。安全研究人員演示了如何將勒索軟件安裝到家庭的智能恆溫器上。他們甚至可以將溫度調高到95攝氏度,拒絕調回到正常溫度,除非受害者同意支付用比特幣支付的贖金。他們還能對聯網的車庫門、車輛甚至家電發動類似的攻擊。隨著無人駕駛日益普及,黑客可以控制車輛,換廣播電台、開啟雨刷器、逼停車輛乃至引發交通事故。更令人擔心的是,黑客有可能攻擊植入人體且具有無線功能的醫療器械,借以危害人體健康。

  國際權威咨詢公司高德納預測,2020年全球物聯網設備數量將高達260億件,解決物聯網設備的安全防護問題已是刻不容緩。

  提升物聯網設備防護能力迫在眉睫

  “當今社會越來越需要‘大安全’。”360集團董事長兼CEO周鴻祎在第二屆世界智能大會上指出,萬物互聯時代,網絡攻擊已經開始威脅智能經濟的健康發展。

  他為此提出了“安全大腦”的概念,希望建立超大的分布式智能安全系統,綜合利用人工智能、大數據、雲計算、區塊鏈等新技術,保護基礎設施、社會、城市及個人等網絡安全,其智能安全防護的能力進一步延伸到工業互聯網、車聯網、物聯網、城市安防等領域。

  對於我國而言,解決物聯網設備的安全問題同樣緊迫。近期,我國密集出台了推進IPv6、5G、工業互聯網等發展的政策,力爭今年開展商用試點,這在助推物聯網更快普及和物聯網設備數量快速增長的同時,由於設備制造商安全能力不足和行業監管未完善,物聯網設備的安全威脅將加劇。屆時,政府機關、工商企業乃至個人家庭,都將有較大概率暴露在黑客的視野之下。

  專家認為,當務之急,具有公共屬性的政府機關及企事業單位,應盡快強化對內部物聯網設備的安全排查及日常監控。在排查中可重點關注是否存在漏洞、過往被攻擊情況、被攻擊IP地址來源等。同時,關閉不必要的遠程服務端口,修復弱口令,定期開展網絡安全風險評估以提高防護水平。

  同時,國內物聯網設備生產商提升安全等級不可或缺。“物聯網設備常見的脆弱點有硬件接口暴露、未授權訪問等,這些安全問題技術水平並不高,完全可以防患於未然。”綠盟科技首席架構師楊傳安建議,生產商應做好設備全生命周期的安全保障工作,具備完善的網絡安全應急處置預案,包括設備出廠時做好設備安全風險評估,並不使用統一的默認密碼等。

  此外,還要警惕傳統互聯網攻擊手段在物聯網“戰場”變種。在物聯網的“戰場”上,很多傳統的攻擊手段找到了新的發揮空間。例如網絡嗅探、遠程代碼執行、雲端服務器攻陷而導致被控設備失陷等,都是傳統攻擊手段在物聯網技術中新的應用場景。這些傳統攻擊手段也不應被各個環節輕易忽視。

  最后,相關部門在智能聯網設備採購時也要有所警覺,防范其成為“后門”。一旦發現故意留“后門”,應依據法律法規,果斷採取嚴厲懲戒措施,以儆效尤。

(責編:易瀟、楊虞波羅)

推薦閱讀