物联网连接的还是互联网,但是连接的设备发生了变化,各种穿戴设备、家电甚至汽车都可以连接互联网。物联网使得万物互联,众多生活中离不开的“物”都连接到了互联网。对绝大多数人来说,互联网的安全风险最多只是钱的损失,而物联网的安全风险远超于此,你身边的“物”随时可能变成定时炸弹。
物联网影响人们生活的方方面面,物联网安全问题直接关系到人们的吃穿住行。物联网安全问题涉及到很多专业知识,普通用户绝大部分都不懂,所以物联网安全问题的解决,很难寄希望于靠提升用户的防范意识和重视程度,更多要靠相关智能硬件设备厂商建立充分的安全防范意识。同时,国家对于物联网应当制定一些具体的安全标准
□本报记者杜晓
□本报实习生韩婕
物联网,最近频频出现在公众视野。
物联网,这一曾经比较陌生的概念,随着技术发展,有了更简单的理解将各种物理设备与互联网连接,成为网络的一个终端,这个设备可能是你的电脑摄像头,也可能是你的路由器,还有可能是心脏病患者的起搏器。
近日,2016物联网开发者大会在北京举行。在此前不久,普华永道也发布了《2017年全球信息安全状况调查报告》,这份报告称,随着物联网的快速发展、对物联网产品安全意识的缺失,导致消费者技术,包括网络摄像头、家庭自动化,成为极易受到攻击的对象。
根据业内人士的分析,物联网在给人们带来全新智能体验、新型生活方式的同时,也面临着越来越多的安全风险。如何放心使用物联网?《法制日报》记者采访了业内专家。
多个层面存在安全隐患
目前,物联网安全形势究竟如何?
近日,360董事长周鸿在接受媒体采访时称,“今年最关心的是互联网安全问题。IOT(物联网)会是下一个风口,但从互联网到IOT时代,网络安全形势将更加严峻”。
“物联网有很多层次。之所以称为物联网,就是因为能把物理设备与互联网相连接。比如说感知器械。由于很多感知器械很容易被控制,所以对其在安全方面的要求比较多也比较重要。这是物联网安全最为显性的一个方面。除此之外,因为物联网的设备比较多,还面临认证问题。现在的物联网投入应用后,设备特别多、数量特别大,导致管理起来比较困难,尤其是在身份认证等方面。物联网分为很多层次,涉及到感知层、网络层、系统层、应用层,还有管理层。我们通常提到物联网,主要是在感知层谈得比较多,因为这是物联网的特色。但是,物联网还有其他层次,比如说把信息感知到网络当中,还要传输、处理,之后还要应用。”中国科学院信息工程研究所信息安全国家重点实验室主任林东岱说,感知层获取数据、网络层传输数据、应用层或服务层使用数据。
阿里云安全专家易鑫告诉记者,从物联网的一般架构来看,物联网的安全会涉及到物联网架构的每个层面,包括设备端、网络通讯、服务端应用和移动APP。
据易鑫介绍,设备端的安全问题包括,设备暴露硬件调试接口,可以被“黑客”利用了解设备运行机制和更新固件;固件中固化存储密码、密钥等敏感信息,导致设备可能被远程控制;固件升级更新机制实现不安全,可能被劫持和升级恶意固件;固件中保留的调试命令接口,导致设备可以被远程访问和调试。网络通讯层面也有安全隐患。如设备和云端以及移动应用端通信传输时,控制命令和采集的数据没有加密,攻击者通过监听获取敏感数据甚至劫持控制设备端;设备没有在整个通信会话过程使用验证凭据或者唯一标识符,允许攻击者未授权访问;存在重放攻击,设备没有重放保护,允许攻击者重用之前截获的消息,实现未授权访问以及执行恶意操作。
“服务端应用存在的安全问题主要有,云端服务网络层可能被DDoS攻击,导致物联网服务不可用;云端服务应用层可能存在漏洞,导致被‘黑客’入侵,威胁业务数据安全。”易鑫说,除此之外,移动APP也可能有安全问题,如APP本身没有进行加固,导致APP可以被逆向查看源代码,从而使得APP的业务逻辑暴露;APP中可能存储加密密钥,被逆向后结合源代码可以直接修改和伪造控制指令或数据,导致设备和服务端被攻击;APP在手机本地存储和遗留了敏感信息,可能被手机上的其他恶意程序所利用。
在物联网可能面临的网络攻击中,DDoS攻击即分布式拒绝服务攻击,百度百科将其形容为,“一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重”。
物联网安全事关重大
如果物联网安全问题解决不好,会造成怎样的影响呢?
“据估算,目前在互联网上存在安全问题的摄像头、家用路由器等设备可能有数百万,且未修改默认密码并且可以远程访问。这些设备被‘黑客’远程植入‘后门’后,就可以被控制进而发起海量DDoS攻击,足以对全球任何一个国家和企业的互联网应用造成瘫痪。最近发生在美国和德国的断网事件,其根本原因就在于此。”易鑫说。
据相关媒体报道,今年10月21日,一起“黑客”攻击事件震惊全美。一时间,美国东海岸从波士顿到纽约、费城、华盛顿出现大面积互联网断网,推特、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务陷入瘫痪。事后追查原因时发现,“黑客”入侵、控制了全世界十多万台摄像头等智能硬件设备,组成了Mirai僵尸网络,对美国互联网域名解析服务商Dyn公司进行攻击,堵塞了网民正常浏览网页的请求,进而造成了网站的瘫痪。媒体将此次事件形容为“史上最严重DDoS攻击”,不仅规模惊人,而且对人们生活产生了严重影响。
另据相关媒体报道,美国断网事件余波未平,德国再次遭遇断网事件。
“摄像头、路由器只是海量物联网设备很少的一部分,而DDoS攻击也只是物联网安全的冰山一角。2013年,新西兰的安全研究人员巴纳比杰克曝光了一项‘黑客’绝技,在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,从而令‘遥控杀人’成为现实;2015年美国黑帽大会上,两名安全研究人员成功演示了他们可以不需要任何物理连接,远程‘黑’掉一辆正在行驶的切诺基Jeep,操控了方向盘、刹车、发动机、汽车信号、挡风玻璃雨刷。更可怕的是,任何一辆连入网络的切诺基Jeep都可以被‘黑’掉。”易鑫说。
“如果硬件被别人攻破了,很多安全措施就会失效,最直接的后果就是导致认证失效。举个例子,比如我们做一个监控摄像头,如果没有认证好的话,监控到的东西可能不是我们想要的。还有,我们在采集数据时,如果设备被别人控制,采集到的数据就不准确。物联网的一个很大特点就是感知世界,从世界中采集数据。要确保采集的数据真实,设备的身份就必须真实,如果设备的身份不真实,就无所谓来源了,真实性就会受到侵害。总体来看,物联网安全漏洞产生的危害主要包括:身份认证问题、数据真实性问题、隐私保护问题。”林东岱说。
“在未来,随着更多的设备连网,如果不重视安全,越来越多的‘物’都可能危及人身安全。”易鑫说。
物联网安全标准待出台
近年来,随着信息技术的发展,物联网安全问题愈发突出。
“物联网正在以飞快的速度改变这个世界,据研究机构JuniperResearch预计,2020年物联网设备将达385亿个,比2015年的134亿个猛增285%,万物互联的世界正在一步步变成现实。与此同时,越来越多的安全‘白帽子’开始关注和研究物联网,但产业界对安全的投入和重视力度,以及物联网安全标准的制定还是远远滞后,绝大部分物联网设备和系统在安全上考虑很少。地下‘黑客’也逐渐看到了物联网蕴含的巨大破坏力量,最终引发了近期的美国和德国断网事件。”易鑫说。
“白帽子”,按照百度百科的解释,描述的是正面的“黑客”,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是向社会公布漏洞。
应对物联网安全问题,要纳入网络安全总体框架予以考虑。
“从本质上说,物联网连接的还是互联网,但是连接的设备发生了变化。以前互联网连接的是电脑,后来有了手机,现在是各种穿戴设备、家电甚至还有汽车等。物联网使得万物互联,众多生活中离不开的‘物’都连接到了互联网。对绝大多数人来说,互联网的安全风险最多在于钱的损失,而物联网的安全风险远超于此,你身边的‘物’随时可能变成定时炸弹。”易鑫说,“在不久的将来,我们每一个人可能都会面临一个抉择,我到底要不要选择将这个设备联网?联网带来的可能是智能和便捷,而与此同时,安全和风险也如影随形。”
“原来主要提网络安全,后来因为更多的‘物’接入到网络当中,就相当于物理世界和网络世界结合得比较紧密,与此同时,网络世界中的安全问题也直接反映到物理世界中去了。随着接入的‘物’越来越多,网络安全问题对物理世界的影响会越来越大。由于网络世界而导致物理世界产生的问题,就成为物联网的安全问题,直接影响现实世界的安全,所以越来越受到关注。”林东岱说。
IT律师赵占领认为,物联网影响人们生活的方方面面,物联网安全问题直接关系到人们的吃穿住行。物联网安全问题涉及到很多专业知识,普通用户绝大部分都不懂,所以物联网安全问题的解决,很难寄希望于靠提升用户的防范意识和重视程度,更多要靠相关智能硬件设备厂商建立充分的安全防范意识。同时,国家对于物联网应当制定一些具体的安全标准。
“在推动物联网发展的同时要确保安全。一方面是与物联网相关的企业,要充分重视安全问题,加大人力、财力和技术的投入;另一方面,从政府层面来说,不仅是物联网安全标准需要完善与细化,也要强化对物联网企业在安全问题上的监管。”赵占领说。
易鑫认为,物联网安全需要全社会和全行业一起重视。“国家有关部门应该加速制定和出台相关物联网相关的安全标准,鼓励并强制落地;对于物联网产业上游的开发和制造厂商,一定要把安全放在与业务同等的地位来规划和设计,从物联网的整体架构上考虑系统的安全性;企业和个人消费者在选用物联网方案和硬件时,应该尽量考虑方案是否提供相对可靠的安全手段,同时应当认同和接受安全所带来的成本提升。对于一些较为敏感的领域,比如在国家关键基础设施、重要工业环境和其他关键应用领域,应当充分考虑和评估联网范围和隔离措施”。