隨著人工智能一路高歌猛進(jìn),萬(wàn)物互聯(lián)的智慧生活新時(shí)代漸行漸近。當(dāng)前,物聯(lián)網(wǎng)設(shè)備市場(chǎng)呈指數(shù)級(jí)增長(zhǎng)態(tài)勢(shì),傳統(tǒng)設(shè)備接入互聯(lián)網(wǎng)成為技術(shù)發(fā)展和產(chǎn)業(yè)應(yīng)用大勢(shì)所趨。
人們?cè)谙硎苋f(wàn)物互聯(lián)帶來(lái)的便利同時(shí),物聯(lián)網(wǎng)終端的安全問題卻逐漸暴露出來(lái),甚至成為最薄弱環(huán)節(jié)。聯(lián)網(wǎng)的打印機(jī)、路由器,都可能成為被黑客利用的“后門”,借以竊取國(guó)家機(jī)密、商業(yè)機(jī)密、個(gè)人隱私。
專家稱,隨著5G商用步伐加快,重視物聯(lián)網(wǎng)設(shè)備安全,并盡快升級(jí)防護(hù)措施,正在變得刻不容緩。
物聯(lián)網(wǎng)為黑客入侵“敞開大門”
不久前,國(guó)外發(fā)生了一起借由智能魚缸展開的黑客攻擊事件。盡管聽上去有些匪夷所思,但它卻將物聯(lián)網(wǎng)設(shè)備的安全問題暴露出來(lái)。
據(jù)報(bào)道,被攻擊的是一家位于北美的賭場(chǎng),其物聯(lián)網(wǎng)設(shè)備——智能魚缸連接互聯(lián)網(wǎng),可以實(shí)現(xiàn)自動(dòng)喂食并保持環(huán)境、溫度、清潔度。不過,就是這樣一個(gè)看似不起眼的物聯(lián)網(wǎng)設(shè)備,卻成了黑客攻擊的目標(biāo)。因?yàn)樗Q得上是整個(gè)賭場(chǎng)內(nèi)部網(wǎng)絡(luò)的“后門”——最薄弱環(huán)節(jié),黑客先是入侵智能魚缸,進(jìn)入賭場(chǎng)內(nèi)部網(wǎng)絡(luò),然后進(jìn)行掃描,發(fā)現(xiàn)漏洞后進(jìn)入網(wǎng)絡(luò)中的其他地方,最終神不知鬼不覺地將賭場(chǎng)數(shù)據(jù)竊取。
業(yè)內(nèi)透露,物聯(lián)網(wǎng)設(shè)備成為黑客攻擊的捷徑并非危言聳聽。2014年1月發(fā)生的針對(duì)物聯(lián)網(wǎng)設(shè)備的一起攻擊行為,攻陷了10多萬(wàn)個(gè)聯(lián)網(wǎng)設(shè)備,包括電視機(jī)、路由器和至少一臺(tái)智能電冰箱,每天發(fā)送30萬(wàn)封垃圾郵件。攻擊者從任何一個(gè)設(shè)備發(fā)送的消息也就10條,因而很難阻止或查明攻擊源頭。
“智能魚缸成為‘后門’并非偶然事件。”在科技專欄作家金智淵看來(lái),聯(lián)網(wǎng)的咖啡機(jī)、電冰箱、智能畫板、電動(dòng)窗簾、路由器等都有可能成為被攻擊目標(biāo)。隨著物聯(lián)網(wǎng)設(shè)備的激增,黑客有著越來(lái)越多的渠道進(jìn)入內(nèi)網(wǎng)竊取數(shù)據(jù)。
當(dāng)前,以大數(shù)據(jù)、人工智能為代表的新一輪科技革命正在孕育興起,并以前所未有的速度和方式影響和改變著世界。社會(huì)正在邁向一個(gè)萬(wàn)物互聯(lián)、萬(wàn)象更新的智能時(shí)代。與之相伴相生的是,萬(wàn)物互聯(lián)正悄然進(jìn)入人們的生活,越來(lái)越多的個(gè)體將被接入萬(wàn)物互聯(lián)的體系,未來(lái)甚至垃圾箱也可能會(huì)聯(lián)網(wǎng)。
借由一個(gè)物聯(lián)網(wǎng)設(shè)備,黑客攻擊行為通過蝴蝶效應(yīng)擴(kuò)展到物聯(lián)網(wǎng)更多節(jié)點(diǎn),影響范圍將被迅速放大。物聯(lián)網(wǎng)環(huán)境下,個(gè)體間的聯(lián)系越緊密,那么任何一個(gè)針對(duì)個(gè)體的網(wǎng)絡(luò)攻擊都有可能蔓延到更廣的范圍,攻擊帶來(lái)的損害程度也將遠(yuǎn)比對(duì)單獨(dú)個(gè)人電腦端、移動(dòng)端的攻擊大得多,物聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)安全維護(hù)正在成為一盤需要統(tǒng)籌全局的“大棋”。
相關(guān)數(shù)據(jù)也佐證了這一點(diǎn)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2017年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示,物聯(lián)網(wǎng)正在加速融入人們的生產(chǎn)生活,傳統(tǒng)的網(wǎng)絡(luò)攻擊和風(fēng)險(xiǎn)正在向物聯(lián)網(wǎng)和智能設(shè)備蔓延。
數(shù)據(jù)顯示,2017年國(guó)家信息安全漏洞共享平臺(tái)收錄的安全漏洞中,聯(lián)網(wǎng)智能設(shè)備安全漏洞多達(dá)2440個(gè),同比增長(zhǎng)118.4%,每日活躍的受控物聯(lián)網(wǎng)設(shè)備IP地址達(dá)2.7萬(wàn)個(gè),涉及的設(shè)備類型主要有家用路由器、網(wǎng)絡(luò)攝像頭、會(huì)議系統(tǒng)等。
在國(guó)家互聯(lián)網(wǎng)應(yīng)急中心副主任云曉春看來(lái),與電腦有所不同,路由器、交換機(jī)和網(wǎng)絡(luò)攝像頭等聯(lián)網(wǎng)智能設(shè)備一般是全天候在線,并且被控后用戶不易發(fā)現(xiàn),往往被黑客控制后作為DDoS攻擊(分布式拒絕服務(wù)攻擊)的“穩(wěn)定”攻擊源。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心對(duì)部分惡意程序發(fā)動(dòng)的DDoS攻擊抽樣監(jiān)測(cè)發(fā)現(xiàn),DDoS攻擊的控制端IP地址和被攻擊IP地址均主要位于我國(guó)境外,但被利用發(fā)起DDoS攻擊的資源卻主要是我國(guó)境內(nèi)大量被入侵控制的聯(lián)網(wǎng)智能設(shè)備。這也使得發(fā)現(xiàn)及查處這些物聯(lián)網(wǎng)攻擊事件并不容易。
從綠盟科技發(fā)布的《2017網(wǎng)絡(luò)安全年報(bào)》看,就全球分布來(lái)說(shuō),路由器暴露的數(shù)量超過4900萬(wàn)臺(tái),遠(yuǎn)高于其他物聯(lián)網(wǎng)設(shè)備暴露數(shù)量;視頻監(jiān)控設(shè)備的暴露數(shù)量超過1100萬(wàn)臺(tái),高于防火墻、交換機(jī)等傳統(tǒng)網(wǎng)絡(luò)設(shè)備;打印機(jī)的暴露情況更令人意外,暴露數(shù)量達(dá)到了89萬(wàn)臺(tái)之多?;萜赵鴮?duì)外表示,數(shù)以億計(jì)的商務(wù)打印機(jī)中只有不到2%真正安全。
中國(guó)工程院院士鄔賀銓在第二屆世界智能大會(huì)“窄帶物聯(lián)網(wǎng)發(fā)展論壇”上尖銳地指出,物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)的發(fā)展帶來(lái)了新的安全問題,其一旦受影響,情況將會(huì)更嚴(yán)重。“工業(yè)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)不是簡(jiǎn)單影響個(gè)人的設(shè)備,而是會(huì)影響到生產(chǎn)管理系統(tǒng)、控制系統(tǒng),蔓延到更大范圍。”
360技術(shù)總裁、首席安全官譚曉生也指出,萬(wàn)物互聯(lián)時(shí)代,原有的安全威脅從單一的信息安全擴(kuò)展到民生安全、經(jīng)濟(jì)安全、關(guān)鍵基礎(chǔ)設(shè)施安全、城市安全、社會(huì)安全乃至國(guó)家安全的“大安全”。
不只是辦公設(shè)備,在家庭日益普及的智能攝像頭,也存在個(gè)人隱私泄露的隱患。智能攝像頭本應(yīng)作為防范家中安全的利器,但殊不知,可能有成百上千雙陌生的眼睛在偷窺你的家。2017年6月18日,媒體曝光了家用攝像頭存在安全隱患,不法分子通過一款掃描APP,可以破解用戶家中智能攝像頭的IP地址,從而遠(yuǎn)程操作攝像頭,盜取或截取攝像頭中的畫面。而破解的攝像頭IP地址也被公開叫賣,用戶的隱私如同裸奔于網(wǎng)絡(luò)之中。物聯(lián)網(wǎng)設(shè)備被破解后引發(fā)的危害,令人不寒而栗。
廉價(jià)物聯(lián)網(wǎng)設(shè)備缺失安全保護(hù)
智慧生活越便利,物聯(lián)網(wǎng)設(shè)備的漏洞就越大。以無(wú)人售貨機(jī)為例,其工作原理是通過物聯(lián)網(wǎng)技術(shù)將用戶與商品之間建立聯(lián)系,用戶只需通過移動(dòng)支付即可完成購(gòu)買流程,但這種在現(xiàn)代生活中看似十分平常的便捷操作背后,卻潛藏極大的安全風(fēng)險(xiǎn)。
2017年7月,美國(guó)自動(dòng)售貨機(jī)供應(yīng)商Avanti Markets遭遇黑客入侵內(nèi)網(wǎng),攻擊者在終端支付設(shè)備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識(shí)別數(shù)據(jù)等個(gè)人信息。
對(duì)于物聯(lián)網(wǎng)設(shè)備的安全漏洞,各界并非毫無(wú)察覺。美國(guó)弗雷斯特研究公司在其2018年物聯(lián)網(wǎng)預(yù)測(cè)中就指出,安全漏洞是部署物聯(lián)網(wǎng)解決方案的公司深為擔(dān)憂的一大問題,而這也是在考慮部署物聯(lián)網(wǎng)解決方案的企業(yè)最關(guān)注的問題。然而,大多數(shù)公司并沒有始終如一地應(yīng)對(duì)物聯(lián)網(wǎng)安全威脅,業(yè)務(wù)壓力壓倒了技術(shù)安全問題。
這一判斷一語(yǔ)道破了物聯(lián)網(wǎng)設(shè)備安全漏洞看似難以解決背后的真相。
物聯(lián)網(wǎng)設(shè)備為何頻頻成為被黑客攻擊和利用的對(duì)象?互聯(lián)網(wǎng)資訊平臺(tái)極客公園總結(jié)認(rèn)為,首先是出于成本考慮。部分物聯(lián)網(wǎng)設(shè)備生產(chǎn)商為了節(jié)省成本,使用通用、開源的操作系統(tǒng),或未經(jīng)安全檢測(cè)的第三方組件,這很可能會(huì)引入漏洞。同樣是基于成本考慮,大多數(shù)物聯(lián)網(wǎng)設(shè)備不會(huì)保護(hù)調(diào)試接口,這給了攻擊者乘虛而入的機(jī)會(huì)。
“在大量?jī)r(jià)格低廉的物聯(lián)網(wǎng)設(shè)備上,幾乎不可能使用復(fù)雜又耗電的現(xiàn)有安全系統(tǒng)。”一位互聯(lián)網(wǎng)安全專家無(wú)奈地說(shuō)。
很多廠商缺乏安全意識(shí)和安全能力。在開發(fā)物聯(lián)網(wǎng)智能設(shè)備時(shí),沒有做好安全考慮,導(dǎo)致出現(xiàn)軟硬件安全漏洞。而且,很多設(shè)備也缺乏軟件安全更新機(jī)制或機(jī)制不安全,導(dǎo)致漏洞無(wú)法被修復(fù),帶來(lái)惡劣的后果。
而且,身份認(rèn)證和授權(quán)機(jī)制薄弱。物聯(lián)網(wǎng)智能終端設(shè)備規(guī)模很大,相互協(xié)同工作的設(shè)備可能屬于不同供應(yīng)商,這導(dǎo)致終端之間的身份認(rèn)證很難實(shí)現(xiàn)。大量的設(shè)備還在使用弱密碼,這讓黑客可以很容易地控制設(shè)備。
鄔賀銓也認(rèn)為,目前物聯(lián)網(wǎng)的加密往往比較簡(jiǎn)單,而要實(shí)現(xiàn)相對(duì)安全的加密,投入精力就會(huì)比較大。以工業(yè)物聯(lián)網(wǎng)為例,其設(shè)備花樣繁多,傳感器、接口標(biāo)準(zhǔn),通信協(xié)議都相當(dāng)復(fù)雜,實(shí)現(xiàn)安全并不容易。同時(shí),個(gè)人電腦和手機(jī)也可能被木馬控制,它們并非長(zhǎng)期處于工作狀態(tài),而物聯(lián)網(wǎng)節(jié)點(diǎn)是永遠(yuǎn)在線的。盡管不都與外網(wǎng)相連,但即便物理隔離后也可能因管理疏漏而感染外網(wǎng)病毒。
路由器高危漏洞致德國(guó)百萬(wàn)用戶斷網(wǎng)、黑客入侵15萬(wàn)臺(tái)打印機(jī)、智能泰迪熊玩具泄露200多萬(wàn)條親子聊天記錄……與物聯(lián)網(wǎng)設(shè)備漏洞相關(guān)的黑客攻擊一再發(fā)生,使得國(guó)外對(duì)物聯(lián)網(wǎng)設(shè)備的安全風(fēng)險(xiǎn)有所警覺。美國(guó)聯(lián)邦調(diào)查局曾警告家長(zhǎng),互聯(lián)網(wǎng)玩具有泄露隱私的風(fēng)險(xiǎn),黑客可以通過攻擊互聯(lián)網(wǎng)玩具來(lái)獲得孩子的姓名、地點(diǎn)等個(gè)人信息。
針對(duì)物聯(lián)網(wǎng)設(shè)備攻擊的危害遠(yuǎn)不止于數(shù)據(jù)失竊那么簡(jiǎn)單。安全研究人員演示了如何將勒索軟件安裝到家庭的智能恒溫器上。他們甚至可以將溫度調(diào)高到95攝氏度,拒絕調(diào)回到正常溫度,除非受害者同意支付用比特幣支付的贖金。他們還能對(duì)聯(lián)網(wǎng)的車庫(kù)門、車輛甚至家電發(fā)動(dòng)類似的攻擊。隨著無(wú)人駕駛?cè)找嫫占埃诳涂梢钥刂栖囕v,換廣播電臺(tái)、開啟雨刷器、逼停車輛乃至引發(fā)交通事故。更令人擔(dān)心的是,黑客有可能攻擊植入人體且具有無(wú)線功能的醫(yī)療器械,借以危害人體健康。
國(guó)際權(quán)威咨詢公司高德納預(yù)測(cè),2020年全球物聯(lián)網(wǎng)設(shè)備數(shù)量將高達(dá)260億件,解決物聯(lián)網(wǎng)設(shè)備的安全防護(hù)問題已是刻不容緩。
提升物聯(lián)網(wǎng)設(shè)備防護(hù)能力迫在眉睫
“當(dāng)今社會(huì)越來(lái)越需要‘大安全’。”360集團(tuán)董事長(zhǎng)兼CEO周鴻祎在第二屆世界智能大會(huì)上指出,萬(wàn)物互聯(lián)時(shí)代,網(wǎng)絡(luò)攻擊已經(jīng)開始威脅智能經(jīng)濟(jì)的健康發(fā)展。
他為此提出了“安全大腦”的概念,希望建立超大的分布式智能安全系統(tǒng),綜合利用人工智能、大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈等新技術(shù),保護(hù)基礎(chǔ)設(shè)施、社會(huì)、城市及個(gè)人等網(wǎng)絡(luò)安全,其智能安全防護(hù)的能力進(jìn)一步延伸到工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、城市安防等領(lǐng)域。
對(duì)于我國(guó)而言,解決物聯(lián)網(wǎng)設(shè)備的安全問題同樣緊迫。近期,我國(guó)密集出臺(tái)了推進(jìn)IPv6、5G、工業(yè)互聯(lián)網(wǎng)等發(fā)展的政策,力爭(zhēng)今年開展商用試點(diǎn),這在助推物聯(lián)網(wǎng)更快普及和物聯(lián)網(wǎng)設(shè)備數(shù)量快速增長(zhǎng)的同時(shí),由于設(shè)備制造商安全能力不足和行業(yè)監(jiān)管未完善,物聯(lián)網(wǎng)設(shè)備的安全威脅將加劇。屆時(shí),政府機(jī)關(guān)、工商企業(yè)乃至個(gè)人家庭,都將有較大概率暴露在黑客的視野之下。
專家認(rèn)為,當(dāng)務(wù)之急,具有公共屬性的政府機(jī)關(guān)及企事業(yè)單位,應(yīng)盡快強(qiáng)化對(duì)內(nèi)部物聯(lián)網(wǎng)設(shè)備的安全排查及日常監(jiān)控。在排查中可重點(diǎn)關(guān)注是否存在漏洞、過往被攻擊情況、被攻擊IP地址來(lái)源等。同時(shí),關(guān)閉不必要的遠(yuǎn)程服務(wù)端口,修復(fù)弱口令,定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以提高防護(hù)水平。
同時(shí),國(guó)內(nèi)物聯(lián)網(wǎng)設(shè)備生產(chǎn)商提升安全等級(jí)不可或缺。“物聯(lián)網(wǎng)設(shè)備常見的脆弱點(diǎn)有硬件接口暴露、未授權(quán)訪問等,這些安全問題技術(shù)水平并不高,完全可以防患于未然。”綠盟科技首席架構(gòu)師楊傳安建議,生產(chǎn)商應(yīng)做好設(shè)備全生命周期的安全保障工作,具備完善的網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案,包括設(shè)備出廠時(shí)做好設(shè)備安全風(fēng)險(xiǎn)評(píng)估,并不使用統(tǒng)一的默認(rèn)密碼等。
此外,還要警惕傳統(tǒng)互聯(lián)網(wǎng)攻擊手段在物聯(lián)網(wǎng)“戰(zhàn)場(chǎng)”變種。在物聯(lián)網(wǎng)的“戰(zhàn)場(chǎng)”上,很多傳統(tǒng)的攻擊手段找到了新的發(fā)揮空間。例如網(wǎng)絡(luò)嗅探、遠(yuǎn)程代碼執(zhí)行、云端服務(wù)器攻陷而導(dǎo)致被控設(shè)備失陷等,都是傳統(tǒng)攻擊手段在物聯(lián)網(wǎng)技術(shù)中新的應(yīng)用場(chǎng)景。這些傳統(tǒng)攻擊手段也不應(yīng)被各個(gè)環(huán)節(jié)輕易忽視。
最后,相關(guān)部門在智能聯(lián)網(wǎng)設(shè)備采購(gòu)時(shí)也要有所警覺,防范其成為“后門”。一旦發(fā)現(xiàn)故意留“后門”,應(yīng)依據(jù)法律法規(guī),果斷采取嚴(yán)厲懲戒措施,以儆效尤。(記者 毛振華)