廉價(jià)物聯(lián)網(wǎng)設(shè)備缺失安全保護(hù)
智慧生活越便利��,物聯(lián)網(wǎng)設(shè)備的漏洞就越大�。以無(wú)人售貨機(jī)為例,其工作原理是通過(guò)物聯(lián)網(wǎng)技術(shù)將用戶與商品之間建立聯(lián)系���,用戶只需通過(guò)移動(dòng)支付即可完成購(gòu)買流程���,但這種在現(xiàn)代生活中看似十分平常的便捷操作背后,卻潛藏極大的安全風(fēng)險(xiǎn)��。
2017年7月��,美國(guó)自動(dòng)售貨機(jī)供應(yīng)商Avanti
Markets遭遇黑客入侵內(nèi)網(wǎng)����,攻擊者在終端支付設(shè)備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識(shí)別數(shù)據(jù)等個(gè)人信息����。
對(duì)于物聯(lián)網(wǎng)設(shè)備的安全漏洞,各界并非毫無(wú)察覺(jué)����。美國(guó)弗雷斯特研究公司在其2018年物聯(lián)網(wǎng)預(yù)測(cè)中就指出�����,安全漏洞是部署物聯(lián)網(wǎng)解決方案的公司深為擔(dān)憂的一大問(wèn)題�,而這也是在考慮部署物聯(lián)網(wǎng)解決方案的企業(yè)最關(guān)注的問(wèn)題���。然而�,大多數(shù)公司并沒(méi)有始終如一地應(yīng)對(duì)物聯(lián)網(wǎng)安全威脅�,業(yè)務(wù)壓力壓倒了技術(shù)安全問(wèn)題。
這一判斷一語(yǔ)道破了物聯(lián)網(wǎng)設(shè)備安全漏洞看似難以解決背后的真相�����。
物聯(lián)網(wǎng)設(shè)備為何頻頻成為被黑客攻擊和利用的對(duì)象?互聯(lián)網(wǎng)資訊平臺(tái)極客公園總結(jié)認(rèn)為�,首先是出于成本考慮。部分物聯(lián)網(wǎng)設(shè)備生產(chǎn)商為了節(jié)省成本�����,使用通用���、開(kāi)源的操作系統(tǒng),或未經(jīng)安全檢測(cè)的第三方組件�����,這很可能會(huì)引入漏洞。同樣是基于成本考慮����,大多數(shù)物聯(lián)網(wǎng)設(shè)備不會(huì)保護(hù)調(diào)試接口,這給了攻擊者乘虛而入的機(jī)會(huì)�。
“在大量?jī)r(jià)格低廉的物聯(lián)網(wǎng)設(shè)備上,幾乎不可能使用復(fù)雜又耗電的現(xiàn)有安全系統(tǒng)�����?!币晃换ヂ?lián)網(wǎng)安全專家無(wú)奈地說(shuō)。
很多廠商缺乏安全意識(shí)和安全能力���。在開(kāi)發(fā)物聯(lián)網(wǎng)智能設(shè)備時(shí)�����,沒(méi)有做好安全考慮�,導(dǎo)致出現(xiàn)軟硬件安全漏洞��。而且���,很多設(shè)備也缺乏軟件安全更新機(jī)制或機(jī)制不安全�,導(dǎo)致漏洞無(wú)法被修復(fù),帶來(lái)惡劣的后果���。
而且���,身份認(rèn)證和授權(quán)機(jī)制薄弱����。物聯(lián)網(wǎng)智能終端設(shè)備規(guī)模很大���,相互協(xié)同工作的設(shè)備可能屬于不同供應(yīng)商,這導(dǎo)致終端之間的身份認(rèn)證很難實(shí)現(xiàn)�����。大量的設(shè)備還在使用弱密碼��,這讓黑客可以很容易地控制設(shè)備��。
鄔賀銓也認(rèn)為����,目前物聯(lián)網(wǎng)的加密往往比較簡(jiǎn)單,而要實(shí)現(xiàn)相對(duì)安全的加密���,投入精力就會(huì)比較大�����。以工業(yè)物聯(lián)網(wǎng)為例��,其設(shè)備花樣繁多���,傳感器、接口標(biāo)準(zhǔn)����,通信協(xié)議都相當(dāng)復(fù)雜,實(shí)現(xiàn)安全并不容易���。同時(shí)��,個(gè)人電腦和手機(jī)也可能被木馬控制����,它們并非長(zhǎng)期處于工作狀態(tài)�,而物聯(lián)網(wǎng)節(jié)點(diǎn)是永遠(yuǎn)在線的����。盡管不都與外網(wǎng)相連�,但即便物理隔離后也可能因管理疏漏而感染外網(wǎng)病毒。
路由器高危漏洞致德國(guó)百萬(wàn)用戶斷網(wǎng)���、黑客入侵15萬(wàn)臺(tái)打印機(jī)���、智能泰迪熊玩具泄露200多萬(wàn)條親子聊天記錄……與物聯(lián)網(wǎng)設(shè)備漏洞相關(guān)的黑客攻擊一再發(fā)生,使得國(guó)外對(duì)物聯(lián)網(wǎng)設(shè)備的安全風(fēng)險(xiǎn)有所警覺(jué)�����。美國(guó)聯(lián)邦調(diào)查局曾警告家長(zhǎng)��,互聯(lián)網(wǎng)玩具有泄露隱私的風(fēng)險(xiǎn)����,黑客可以通過(guò)攻擊互聯(lián)網(wǎng)玩具來(lái)獲得孩子的姓名、地點(diǎn)等個(gè)人信息�����。
針對(duì)物聯(lián)網(wǎng)設(shè)備攻擊的危害遠(yuǎn)不止于數(shù)據(jù)失竊那么簡(jiǎn)單。安全研究人員演示了如何將勒索軟件安裝到家庭的智能恒溫器上�����。他們甚至可以將溫度調(diào)高到95攝氏度�����,拒絕調(diào)回到正常溫度����,除非受害者同意支付用比特幣支付的贖金�。他們還能對(duì)聯(lián)網(wǎng)的車庫(kù)門、車輛甚至家電發(fā)動(dòng)類似的攻擊�����。隨著無(wú)人駕駛?cè)找嫫占?,黑客可以控制車輛,換廣播電臺(tái)����、開(kāi)啟雨刷器、逼停車輛乃至引發(fā)交通事故����。更令人擔(dān)心的是���,黑客有可能攻擊植入人體且具有無(wú)線功能的醫(yī)療器械,借以危害人體健康���。
國(guó)際權(quán)威咨詢公司高德納預(yù)測(cè)���,2020年全球物聯(lián)網(wǎng)設(shè)備數(shù)量將高達(dá)260億件,解決物聯(lián)網(wǎng)設(shè)備的安全防護(hù)問(wèn)題已是刻不容緩���。
提升物聯(lián)網(wǎng)設(shè)備防護(hù)能力迫在眉睫
“當(dāng)今社會(huì)越來(lái)越需要‘大安全’��?����!?60集團(tuán)董事長(zhǎng)兼CEO周鴻祎在第二屆世界智能大會(huì)上指出�����,萬(wàn)物互聯(lián)時(shí)代���,網(wǎng)絡(luò)攻擊已經(jīng)開(kāi)始威脅智能經(jīng)濟(jì)的健康發(fā)展。
他為此提出了“安全大腦”的概念,希望建立超大的分布式智能安全系統(tǒng)��,綜合利用人工智能���、大數(shù)據(jù)�、云計(jì)算�����、區(qū)塊鏈等新技術(shù)��,保護(hù)基礎(chǔ)設(shè)施��、社會(huì)�、城市及個(gè)人等網(wǎng)絡(luò)安全����,其智能安全防護(hù)的能力進(jìn)一步延伸到工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)���、物聯(lián)網(wǎng)����、城市安防等領(lǐng)域。
對(duì)于我國(guó)而言�,解決物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題同樣緊迫。近期��,我國(guó)密集出臺(tái)了推進(jìn)IPv6���、5G���、工業(yè)互聯(lián)網(wǎng)等發(fā)展的政策,力爭(zhēng)今年開(kāi)展商用試點(diǎn)����,這在助推物聯(lián)網(wǎng)更快普及和物聯(lián)網(wǎng)設(shè)備數(shù)量快速增長(zhǎng)的同時(shí),由于設(shè)備制造商安全能力不足和行業(yè)監(jiān)管未完善����,物聯(lián)網(wǎng)設(shè)備的安全威脅將加劇。屆時(shí)����,政府機(jī)關(guān)、工商企業(yè)乃至個(gè)人家庭��,都將有較大概率暴露在黑客的視野之下����。
專家認(rèn)為��,當(dāng)務(wù)之急��,具有公共屬性的政府機(jī)關(guān)及企事業(yè)單位���,應(yīng)盡快強(qiáng)化對(duì)內(nèi)部物聯(lián)網(wǎng)設(shè)備的安全排查及日常監(jiān)控。在排查中可重點(diǎn)關(guān)注是否存在漏洞���、過(guò)往被攻擊情況��、被攻擊IP地址來(lái)源等。同時(shí)����,關(guān)閉不必要的遠(yuǎn)程服務(wù)端口,修復(fù)弱口令��,定期開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以提高防護(hù)水平����。
同時(shí),國(guó)內(nèi)物聯(lián)網(wǎng)設(shè)備生產(chǎn)商提升安全等級(jí)不可或缺����?��!拔锫?lián)網(wǎng)設(shè)備常見(jiàn)的脆弱點(diǎn)有硬件接口暴露、未授權(quán)訪問(wèn)等���,這些安全問(wèn)題技術(shù)水平并不高�,完全可以防患于未然�。”綠盟科技首席架構(gòu)師楊傳安建議��,生產(chǎn)商應(yīng)做好設(shè)備全生命周期的安全保障工作����,具備完善的網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案,包括設(shè)備出廠時(shí)做好設(shè)備安全風(fēng)險(xiǎn)評(píng)估���,并不使用統(tǒng)一的默認(rèn)密碼等��。
此外����,還要警惕傳統(tǒng)互聯(lián)網(wǎng)攻擊手段在物聯(lián)網(wǎng)“戰(zhàn)場(chǎng)”變種����。在物聯(lián)網(wǎng)的“戰(zhàn)場(chǎng)”上���,很多傳統(tǒng)的攻擊手段找到了新的發(fā)揮空間。例如網(wǎng)絡(luò)嗅探����、遠(yuǎn)程代碼執(zhí)行、云端服務(wù)器攻陷而導(dǎo)致被控設(shè)備失陷等��,都是傳統(tǒng)攻擊手段在物聯(lián)網(wǎng)技術(shù)中新的應(yīng)用場(chǎng)景�����。這些傳統(tǒng)攻擊手段也不應(yīng)被各個(gè)環(huán)節(jié)輕易忽視�。
最后����,相關(guān)部門在智能聯(lián)網(wǎng)設(shè)備采購(gòu)時(shí)也要有所警覺(jué),防范其成為“后門”�����。一旦發(fā)現(xiàn)故意留“后門”����,應(yīng)依據(jù)法律法規(guī)���,果斷采取嚴(yán)厲懲戒措施,以儆效尤���。
中研網(wǎng) 發(fā)現(xiàn)資訊的價(jià)值 
研究院 掌握產(chǎn)業(yè)最新情報(bào) 
物聯(lián)網(wǎng)+醫(yī)療將在這些方面體現(xiàn)出無(wú)限價(jià)值 
