廉價物聯網設備缺失安全保護
智慧生活越便利����,物聯網設備的漏洞就越大����。以無人售貨機為例,其工作原理是通過物聯網技術將用戶與商品之間建立聯系���,用戶只需通過移動支付即可完成購買流程,但這種在現代生活中看似十分平常的便捷操作背后��,卻潛藏極大的安全風險�。
2017年7月,美國自動售貨機供應商Avanti
Markets遭遇黑客入侵內網���,攻擊者在終端支付設備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息�����。
對于物聯網設備的安全漏洞�����,各界并非毫無察覺��。美國弗雷斯特研究公司在其2018年物聯網預測中就指出,安全漏洞是部署物聯網解決方案的公司深為擔憂的一大問題��,而這也是在考慮部署物聯網解決方案的企業最關注的問題�����。然而,大多數公司并沒有始終如一地應對物聯網安全威脅����,業務壓力壓倒了技術安全問題���。
這一判斷一語道破了物聯網設備安全漏洞看似難以解決背后的真相�����。
物聯網設備為何頻頻成為被黑客攻擊和利用的對象?互聯網資訊平臺極客公園總結認為,首先是出于成本考慮���。部分物聯網設備生產商為了節省成本,使用通用���、開源的操作系統,或未經安全檢測的第三方組件,這很可能會引入漏洞。同樣是基于成本考慮�,大多數物聯網設備不會保護調試接口�,這給了攻擊者乘虛而入的機會�����。
“在大量價格低廉的物聯網設備上�����,幾乎不可能使用復雜又耗電的現有安全系統?!币晃换ヂ摼W安全專家無奈地說�����。
很多廠商缺乏安全意識和安全能力。在開發物聯網智能設備時�,沒有做好安全考慮,導致出現軟硬件安全漏洞。而且����,很多設備也缺乏軟件安全更新機制或機制不安全�����,導致漏洞無法被修復,帶來惡劣的后果����。
而且����,身份認證和授權機制薄弱。物聯網智能終端設備規模很大,相互協同工作的設備可能屬于不同供應商���,這導致終端之間的身份認證很難實現。大量的設備還在使用弱密碼�����,這讓黑客可以很容易地控制設備���。
鄔賀銓也認為�,目前物聯網的加密往往比較簡單,而要實現相對安全的加密�����,投入精力就會比較大�����。以工業物聯網為例,其設備花樣繁多����,傳感器�、接口標準�����,通信協議都相當復雜����,實現安全并不容易��。同時��,個人電腦和手機也可能被木馬控制,它們并非長期處于工作狀態,而物聯網節點是永遠在線的���。盡管不都與外網相連,但即便物理隔離后也可能因管理疏漏而感染外網病毒。
路由器高危漏洞致德國百萬用戶斷網、黑客入侵15萬臺打印機、智能泰迪熊玩具泄露200多萬條親子聊天記錄……與物聯網設備漏洞相關的黑客攻擊一再發生��,使得國外對物聯網設備的安全風險有所警覺���。美國聯邦調查局曾警告家長���,互聯網玩具有泄露隱私的風險,黑客可以通過攻擊互聯網玩具來獲得孩子的姓名����、地點等個人信息����。
針對物聯網設備攻擊的危害遠不止于數據失竊那么簡單�����。安全研究人員演示了如何將勒索軟件安裝到家庭的智能恒溫器上。他們甚至可以將溫度調高到95攝氏度��,拒絕調回到正常溫度�����,除非受害者同意支付用比特幣支付的贖金���。他們還能對聯網的車庫門�、車輛甚至家電發動類似的攻擊�。隨著無人駕駛日益普及,黑客可以控制車輛�,換廣播電臺��、開啟雨刷器�����、逼停車輛乃至引發交通事故。更令人擔心的是��,黑客有可能攻擊植入人體且具有無線功能的醫療器械�����,借以危害人體健康�����。
國際權威咨詢公司高德納預測,2020年全球物聯網設備數量將高達260億件���,解決物聯網設備的安全防護問題已是刻不容緩。
提升物聯網設備防護能力迫在眉睫
“當今社會越來越需要‘大安全’��?��!?60集團董事長兼CEO周鴻祎在第二屆世界智能大會上指出��,萬物互聯時代,網絡攻擊已經開始威脅智能經濟的健康發展。
他為此提出了“安全大腦”的概念���,希望建立超大的分布式智能安全系統�,綜合利用人工智能�、大數據�、云計算��、區塊鏈等新技術�����,保護基礎設施�、社會����、城市及個人等網絡安全,其智能安全防護的能力進一步延伸到工業互聯網��、車聯網、物聯網����、城市安防等領域�。
對于我國而言���,解決物聯網設備的安全問題同樣緊迫����。近期,我國密集出臺了推進IPv6、5G�����、工業互聯網等發展的政策,力爭今年開展商用試點,這在助推物聯網更快普及和物聯網設備數量快速增長的同時����,由于設備制造商安全能力不足和行業監管未完善���,物聯網設備的安全威脅將加劇���。屆時�����,政府機關�、工商企業乃至個人家庭���,都將有較大概率暴露在黑客的視野之下���。
專家認為�����,當務之急�����,具有公共屬性的政府機關及企事業單位�����,應盡快強化對內部物聯網設備的安全排查及日常監控�����。在排查中可重點關注是否存在漏洞、過往被攻擊情況�、被攻擊IP地址來源等����。同時�����,關閉不必要的遠程服務端口����,修復弱口令����,定期開展網絡安全風險評估以提高防護水平。
同時�����,國內物聯網設備生產商提升安全等級不可或缺���?!拔锫摼W設備常見的脆弱點有硬件接口暴露���、未授權訪問等,這些安全問題技術水平并不高�����,完全可以防患于未然�����?���!本G盟科技首席架構師楊傳安建議�����,生產商應做好設備全生命周期的安全保障工作�����,具備完善的網絡安全應急處置預案,包括設備出廠時做好設備安全風險評估,并不使用統一的默認密碼等。
此外,還要警惕傳統互聯網攻擊手段在物聯網“戰場”變種���。在物聯網的“戰場”上����,很多傳統的攻擊手段找到了新的發揮空間����。例如網絡嗅探���、遠程代碼執行�����、云端服務器攻陷而導致被控設備失陷等�����,都是傳統攻擊手段在物聯網技術中新的應用場景。這些傳統攻擊手段也不應被各個環節輕易忽視���。
最后,相關部門在智能聯網設備采購時也要有所警覺���,防范其成為“后門”。一旦發現故意留“后門”,應依據法律法規�,果斷采取嚴厲懲戒措施����,以儆效尤��。
中研網 發現資訊的價值 
研究院 掌握產業最新情報 
物聯網+醫療將在這些方面體現出無限價值 
