物聯(lián)網(wǎng)并非一個新概念,早在很多年前它就已經(jīng)出現(xiàn)了,只不過那時候不叫物聯(lián)網(wǎng)叫傳感器。近些年,隨著物聯(lián)網(wǎng)技術的迅猛發(fā)展,它已逐漸被應用到各個領域,例如醫(yī)療、教育、購物、金融等多個領域,物聯(lián)網(wǎng)正在為我們的生活帶來翻天覆地變化。
近年來,互聯(lián)網(wǎng)技術飛速發(fā)展,隨之衍生出的物聯(lián)網(wǎng)、人工智能技術也迎來了春天。曾有專家預測,到了2020年,全球物聯(lián)網(wǎng)市場規(guī)模將達17000億美元,大約會有204億臺左右的物聯(lián)網(wǎng)設備供人們使用,2025年,這一數(shù)字將達到754億??梢?,未來IoT將會全方位的支撐著人們的生活。
看到這條消息不禁讓小編淚流滿面,想當年剛上大學的時候,學長告訴我們:你們這屆是我們學校第一批物聯(lián)網(wǎng)學生,也是全國第二批。嗯,就是這么苦逼,連個參考對象都沒有。
“這個技術以后肯定有用,但是這個以后是多久以后那就不知道了。”
在學習過程中這句話幾乎聽到耳朵長繭,懷著提心吊膽的心情伴隨著偶爾罵娘的態(tài)度結(jié)束了大學生涯,在這期間的物聯(lián)網(wǎng)的應用也可以說是從無到有,改變了很多,作為物聯(lián)網(wǎng)專業(yè)的學子,不禁有一種守得云開見月明的感覺。一邊看著物聯(lián)網(wǎng)蓬勃的現(xiàn)狀一便露出老母親一般的微笑。
扯遠了,回歸正題。
物聯(lián)網(wǎng)帶來的改變
也許到現(xiàn)在,還是有人搞不明白,到底什么是物聯(lián)網(wǎng)。物聯(lián)網(wǎng),也就是我們常說的IoT(Internet of things),顧名思義,物物相連的網(wǎng)絡,能夠?qū)崿F(xiàn)物品與物品之間的信息交換和通信。簡而言之,就是以互聯(lián)網(wǎng)為核心,在應用層面進行的實物拓展,與其說是網(wǎng)絡,也許它更接近于服務。
環(huán)顧一下我們的生活,買東西可以用手機支付,汽車可以通過手機啟動,甚至可以實現(xiàn)對家電的控制:一句簡單的指令就能開關空調(diào)、風扇、燈光、掃地機器人……等等等等。
物聯(lián)網(wǎng)的出現(xiàn),讓人們與生活中的設備接觸越來越頻繁,聯(lián)系也更加緊密。
同時,由于物聯(lián)網(wǎng)設備的防護難度以及對安全性的忽視,也使得物聯(lián)網(wǎng)設備異常脆弱,不論是家庭、政府或企業(yè),多數(shù)物聯(lián)網(wǎng)設備都很容易被攻擊者發(fā)現(xiàn)漏洞并加以利用。據(jù)統(tǒng)計,在全球范圍內(nèi),物聯(lián)網(wǎng)設備已暴露7100多萬臺,其中不乏攝像頭、打印機以及路由器等類型的設備。
以往來說,我們的電腦、手機中毒,會導致文件丟失、被加密,帶來一定的金錢損失。而類似的問題出現(xiàn)在物聯(lián)網(wǎng)上時,則有很大可能會“要命”。
2007年,時任美國副總統(tǒng)理查德·布魯斯·切尼(Richard Bruce Cheney)心臟病發(fā)作,被懷疑是他心臟除顫器的無線連接功能被他人所利用。這也被視為物聯(lián)網(wǎng)可造成人身傷害的第一個案例。
2008年,波蘭一名14歲少年使用一個改裝過的電視遙控器控制了羅茲市有軌電車系統(tǒng),造成了多列電車脫軌以及人員傷亡。
2010年,美國德州奧斯汀市汽車經(jīng)銷商電腦系統(tǒng)被前雇員入侵,導致大量客戶車輛故障,包括無法啟動、半夜無故鳴笛等。
2011年,伊朗俘獲美國RQ-170“哨兵”無人偵察機,據(jù)稱是伊朗網(wǎng)絡專家遠程取得了該無人機操作系統(tǒng)的控制權(quán)。
2013年,美國知名黑客薩米·卡姆卡爾(Samy Kamkar)通過使用SkyJack技術,將一架基本款民用五人家定位并控制其附近的其他無人機,為自己打造了一個可由手機操控的無人機“僵尸軍團”。
2014年,Tesla Model S汽車被發(fā)現(xiàn)應用程序存在設計漏洞,該漏洞可導致遠程攻擊者控制車輛,包括解鎖、鳴笛、閃燈等操作。
2015年,HackPWN專家又演示了利用比亞迪云服務漏洞,成功做到了開啟車門、發(fā)動汽車等一系列動作。
2017年,Spiral Toys旗下CloudPet系列動物玩具數(shù)據(jù)泄露,可直接導致黑客獲取玩具所在家庭的全部成員數(shù)據(jù);部分華為手機因基帶漏洞可使攻擊者對手機進行監(jiān)聽、撥打電話、發(fā)送短信;三星用于智能電視、手表、Z系列手機的Tizen操作系統(tǒng)出現(xiàn)漏洞,可使黑客直接取得這些設備的遠程控制權(quán);成都雙流機場多次出現(xiàn)“黑飛”事件,破解了活動區(qū)域的無人機的出現(xiàn),造成了百余家航班被迫備降或返航,超過萬名旅客受阻或滯留。
2018年,目標為安全攝像頭和監(jiān)控設備的“Peekaboo”漏洞出現(xiàn),攻擊者可隨意瀏覽、篡改監(jiān)控數(shù)據(jù),以及竊取其他設備、使監(jiān)控設備失靈;Check Point研究人員發(fā)現(xiàn)LG智能家居設備漏洞,黑客可遠程劫持包括冰箱、洗衣機、洗碗機、吸塵器等搭載LG SmartThinQ系統(tǒng)的設備并獲得完全控制權(quán),一個家用電器秒變成了“間諜”。
物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸,因此物聯(lián)網(wǎng)安全也是互聯(lián)網(wǎng)安全的延伸,二者相輔相成、密不可分。但是物聯(lián)網(wǎng)和互聯(lián)網(wǎng),在網(wǎng)絡的組織形態(tài)、網(wǎng)絡功能以及性能上的要求都是不同的。上述這么多問題,也僅僅是全部事件中的冰山一角,隱藏在背后的威脅仍然層出不窮。隨著物聯(lián)網(wǎng)逐漸走入千家萬戶的生活,物聯(lián)網(wǎng)設備也逐漸成了黑客們的新戰(zhàn)場。隨著黑客攻擊日益組織化、產(chǎn)業(yè)化,物聯(lián)網(wǎng)對安全的需求遠高于一般網(wǎng)絡。
物聯(lián)網(wǎng)的弱點
盡管現(xiàn)在的信息安全發(fā)展形勢一片大好,但是在網(wǎng)絡世界中仍然存在著一些低級且普遍的問題:弱口令和社會工程學。很巧,這兩個問題在物聯(lián)網(wǎng)上也有,而且遠不止這些。
眾所周知,物聯(lián)網(wǎng)的實現(xiàn)需要云端的支持,而通過云端也就代表著在使用過程中會產(chǎn)生非常大的數(shù)據(jù)流量,在這個過程中,潛藏了無數(shù)的不安全因素。就好比一所大房子,在某個陰暗的交流里存在著一扇破舊的門,雖然一般人都不會走,但這會成為不法分子的絕佳突破口。
也許是時下物聯(lián)網(wǎng)熱潮的原因,市面上可見的物聯(lián)網(wǎng)設備多數(shù)具備成本低廉、數(shù)量巨大、安全性較低的特點。而多數(shù)物聯(lián)網(wǎng)設備的防護能力不堪一擊,其自身配置是很重要的原因之一。
為了“追趕潮流”,市場對物聯(lián)網(wǎng)設備的需求空前巨大,也許很多你聞所未聞的公司、廠商,某一天突然就開始賣“智能產(chǎn)品”了,而且乍一看還挺高端。事實上,也基本都是這類產(chǎn)品拉低了整個物聯(lián)網(wǎng)市場的安全系數(shù)。為了增大產(chǎn)量、降低成本、提高市場競爭力,同時也為了能更容易的讓用戶上手,多數(shù)并不具備研發(fā)能力的企業(yè)會采用非常老且舊的硬件產(chǎn)品,強行往“人工智能”上面湊,結(jié)果也就是多數(shù)產(chǎn)品成了人工智障。
物聯(lián)網(wǎng)安全問題何解
物聯(lián)網(wǎng)與傳統(tǒng)網(wǎng)絡不同,物聯(lián)網(wǎng)的終端設備種類繁多:芯片、攝像頭、智能可穿戴設備、無人機、智能家電、汽車……體積從小到大,功能由簡至繁,狀態(tài)或聯(lián)網(wǎng)或斷開,領域跨度極大。唯一的共同點也就是它們天生都處于白盒攻擊的環(huán)境中。對于物聯(lián)網(wǎng)來說,每個智能設備都是網(wǎng)絡的一個點,點動成線,線動成面,這些點極小又極多,且脫離了傳統(tǒng)安全防護的范疇。雖然說多數(shù)物聯(lián)網(wǎng)的主機都會得到很好的保護,但真正處于應用層的設備則會大量的暴露在網(wǎng)絡之中,這就需要做到對點的防護做到極致,想要通過安裝傳統(tǒng)軟件或架設硬件的方式提供安全防護,明顯行不通,物聯(lián)網(wǎng)的安全要復雜的多。
計算機時代,人們面臨的威脅還是各類病毒,多數(shù)時間殺毒軟件、防火墻就能提供充足的防護;而到了網(wǎng)絡時代,威脅數(shù)量劇增,木馬、間諜軟件、釣魚、勒索攻擊層出不窮,除了殺毒軟件,在網(wǎng)絡邊界架設防火墻、過濾機制等眾多方法也應運而生。
但物聯(lián)網(wǎng)時代,終端、網(wǎng)絡的形式都發(fā)生了一定的變化,多數(shù)智能設備、終端的存儲、計算能力十分有限,多數(shù)設備甚至不具備部署、加載安全軟件或加密算法的能力,移動化的出現(xiàn)更是使得傳統(tǒng)網(wǎng)絡邊界消失,原本依托于網(wǎng)絡邊界的安全軟硬件也都進入了冬天。
通過一些對物聯(lián)網(wǎng)的攻擊案例我們可以發(fā)現(xiàn),不論時代怎么變,攻擊者最終的目標(或者說實現(xiàn)的方式)還是終端中的“大腦”,也就是代碼層面。黑客在入侵了相應的軟硬件之后,就會對其核心代碼進行攻擊,試圖破解或更改,已達到操控設備的目的。
目前來說,考慮到物聯(lián)網(wǎng)的特殊性,以及其面臨的惡意環(huán)境,安全防護需要與其終端更緊密的結(jié)合,盡可能的深入,即在軟硬件設備架構(gòu)設計階段就開始考慮安全問題,而不是在設備完備之后。
未來可期?
專家曾預言,未來AI將會是解決安全問題的關鍵,因為AI能夠通過建立神經(jīng)網(wǎng)絡的形式,準確的識別處于網(wǎng)絡中的每一個設備的每一種狀態(tài),同時具有人工所不具備的高效和續(xù)航能力。并且以“阿爾法狗”為例,其出眾的學習能力也保證了AI在網(wǎng)絡安全層面能夠更快的對網(wǎng)絡世界的變化做出反應:盡管黑客攻擊手段變化多端,但再快也快不過人工智能吧。
這種方法可以說是一種很美好的愿景,也許它確實可行,畢竟提高了技術的同時還降低了成本。但是以目前人工智能技術發(fā)展的情況來看…貌似它還處于自身難保的狀態(tài),也許還是找到一些基于網(wǎng)絡的靠譜的防護機制更現(xiàn)實一些。
不過,有一點還是可以肯定的,目前的物聯(lián)網(wǎng)、智能設備,還與我們在科幻電影里看到的有很大差距(是啊,現(xiàn)在你可以通過口令來操作家里的電器了,但沒準你鄰居也可以)。雖然這些設備從一定程度上改變了我們的生活,而且未來還會有更多新玩意兒出現(xiàn),隨之而來的安全威脅也必定讓人應接不暇。所以,這些科技得以實現(xiàn),永遠少不了安全從業(yè)者背后的努力。
(原標題:物聯(lián)網(wǎng)改變生活?現(xiàn)在這么說還太早)