你有沒有為混合型的流氓軟件涌現做好準備?物聯網僵尸網絡要是參與加密數字貨幣的挖礦會怎樣?物聯網研究機構 IoT Institute 采訪了多位物聯網安全專家,發現明年行業內可能出現的相關趨勢。在下文中,IoT Institute 探討了這些趨勢,同時,考慮到人工智能、量子計算、安全和網絡自動化工具等相關技術飛速發展,明年還可能有什么新現象。
1、物聯網勒索軟件和“綜合性流氓軟件”越來越普遍
今年,惡意勒索軟件還在繼續“擴大聲勢”。 李嵩是物聯網安全領域初創公司青天科技的聯合創始人兼首席技術官。他預計,雖然大多數傳統勒索軟件還在使用加密技術將用戶困在計算平臺之外,但一些黑客可能會開始發動多種多樣的勒索軟件攻擊。李嵩說道:“基于物聯網的勒索軟件攻擊可能集中在竊取數據上,或者是讓目標設備無法發揮應有的功能。”
網絡攝像機(IP camera)可以從大量地點、多個位置四處搜尋(比如工廠內部、私人房屋住宅等),捕捉一些用戶敏感的視頻片段。 李嵩 表示:
“黑客可能會說:‘除非你給我比特幣,否則我會到處散布這段視頻。’”
還有一種可能是,黑客利用網絡攝像頭這樣的物聯網設備,將流量導入一個攜帶流氓軟件的網址。Ofer Amitai 是軟件解決方案供應商 Portnox 的聯合創始人兼首席執行官,他指出:“那樣一來,那種網址可以從訪問的端點提取數據,命令軟件勒索用戶,讓用戶贖回加密后的數據。”
黑客還有可能威脅物聯網廠商,如果不支付贖金,就讓物聯網的設備失靈,包括一些智能門鎖或者市內溫控器。當然,我們根本無法保證黑客在自己的條件得到滿足后說話算話,放過受害用戶。Ofer Amitai 繼續說道:
“我們預計,黑客會用一種勒索軟件攻擊個人電腦,讓用戶無法操縱自己的電腦,最后還會找回來,說‘我們想要更多數字貨幣。’”
未來一年,我們可能目睹一系列進一步融合多種攻擊的流氓軟件,將 DDoS(分布式拒絕服務)攻擊、勒索軟件和其他攻擊類型集于一身。Peter Tran 是加密技術公司 RSA 的高級網絡防御部門總經理兼高級總監,他表示:“我更愿意把它們稱作為‘綜合性流氓軟件’,現在這種軟件增長速度很快。由于物聯網設備激增,我們將無法預測花樣繁多的各式攻擊組合。”
2、物聯網僵尸網絡將目標瞄準加密數字貨幣
最近,加密數字貨幣的市值不斷飆升,隨之而來的就是加密數字貨幣挖礦業的激烈競爭。因此,黑客企圖利用這股加密數字貨幣的狂熱撈金趨勢,也再自然不過了。Amitai 這樣預測表示道:
“很多人相信區塊鏈是不會被黑客攻破的。但我們已經發現,基于區塊鏈技術的應用遭到的攻擊數量越來越多。”這其中最脆弱的環節倒不是區塊鏈本身,而是依托這種技術運行的應用。“(黑客)將更頻繁地動用社交工程獲取密碼和私人密鑰,從而攻入這些應用。”
Ankit Anubhav 是青天科技的首席安全研究員,他提到,僅在開源加密數字貨幣 Monero上,就已經發現物聯網僵尸網絡的挖礦劇增,導致黑客甚至還會利用視頻攝像頭進行比特幣挖礦。
Tran說道:
“和傳統的貨幣價值和波動結構一樣,(這么做的)風險是通過物聯網僵尸網絡礦工讓公開市場充斥(數字貨幣),破壞區塊鏈和數據完整,操縱或是直接搶劫大批加密數字貨幣。”
3、當我們迎來了量子計算時代,軟件供應商也需要更加重視安全問題
今年全球軟件企業的量子計算競賽更趨白熱化。短短幾個月內,英特爾公司就造出了包含 17 個量子位的全新芯片,而且已經交付測試;微軟公司也詳細展示了用于開發量子程序的新型編程語言;IBM 公司則發布了50個量子位的量子電腦原型。Louis Parks是物聯網安全軟件公司 SecureRF 的首席執行官,他認為,在這些科技進步影響下,量子計算可能會在十年內實現商業化,化解量子計算可能存在的安全威脅顯得更為緊迫。
盡管專家們對現實世界的量子計算看法不一,對它的興趣仍有增無減。正如美國國家安全局(NSA)所說,基于量子計算的網絡攻擊將淘汰過去普遍的公開密鑰加密,可能令無數物聯網產品面對攻擊不堪一擊。李嵩表示,面對量子計算,現代電腦可能變成西方科幻小說《銀河系漫游指南》(The Hitchhiker's Guide to the Galaxy)里的那種“袖珍計算器”。
“對一般的電腦來說,解密可能就像不斷換鑰匙嘗試打開一把鎖,直到試出對的那把要是為止。而一部量子電腦會同時試用多把鑰匙開一把鎖,一次性找出哪一把才是能打開鎖的鑰匙。”
“我們認為,2018年會是一個重大的轉折點,包括醫學、汽車、數據分析和航天在內,遍布多個行業的工程師將史上首次面對量子電腦帶來的挑戰,”Parks說,“如果未來十年或者更久以后希望立足量子計算領域,那些半導體生產商、物聯網平臺供應商,以及制造產品的電子產品廠商將在2018年懂得,他們必須控制量子計算產生的安全威脅。他們將優先處理面向未來的產品,因為量子計算革命即將到來,他們要為相關的安全挑戰未雨綢繆。”
李嵩同意量子計算將改變物聯網安全領域格局的看法。他表示:“那就是說,量子計算還有很長一段路要走。”當前的加密機制可能在一段時間內仍有效,而即便一部量子電腦能破解數學家開發的加密程序算法,可能也要花幾年時間。
用量子電腦武裝的黑客增加可能是即將出現的另一個趨勢。不過李嵩認為:“量子計算不僅會用于攻擊,也會用于防御。”
4、很多物聯網攻擊將無法探測,不為人知
去年,最臭名昭著的物聯網流氓軟件來自于僵尸網絡 Mirai,它造成全球多家大型網站癱瘓。而在今年,最令人難忘的一個物聯網僵尸網絡可能是 Reaper,它又稱 IoTroop。如果你和不同的人提起它,可能反應全然不同,有人認為它比 Mirai 危險得多,有人卻覺得它的威脅比 Mirai 小得多。時間會證明,Reaper究竟是不是極大的威脅,而明年物聯網安全的一些重大威脅可能是一些規模很小的網絡攻擊,它們會小得讓人難以檢測察覺。Tran說:
“我會稱之為‘微型入侵’,我們會看到越來越多這類入侵,它攻擊(物聯網的)弱點,卻規模較小,能逃過目前安全監控和監測技術的法網。很多安全工具在網絡里防范的是一堵堵紅線高墻,可很多物聯網的弱點就如同一本總賬里財會計算時四舍五入的小錯誤。從規模上看,它們不會引起人們注意,但它們可能非常危險。它們可能順應環境而變,重新組合,自成規模,攻擊速度遠超基于網絡且‘聲勢浩大’的傳統攻擊。”
李嵩也這么認為。他預計,逃過監測的小型物聯網攻擊會增多。他指出:
“如果黑客的目標是汽車,不是計算平臺,可能就像在油箱上戳了一個小洞。汽車會漏一小部分油,還算能正常行駛。不利之處在于:你(黑客)仍然在毒害整個環境。”
5、自動化將會登上舞臺中央
當企業物聯網的規模明顯擴大,覆蓋到了成千上萬臺設備這種級別,可能就難以做好網絡和收集數據的管理工作。自動化和人工智能工具可以推行規則,監測不規律的流量模式,由此可能幫助網絡管理者和網絡安全人員處理混亂的局面。Amitai 預計:
“到 2018 年,自動化可能占據核心地位,成為首屈一指的安全潮流。總體而言這是好消息,因為它能保證更多操作者有足夠安全的處理方式,對物聯網這類固件升級存在困難的模塊設備很有意義。”
Tran 認為,這種自動化得到大范圍應用的行業前景,其實蘊藏著不少風險。即使面對數以百萬計的交通、電力、醫療保健等龐大的基礎設施,物聯網領域的人工智能和基于機器學習的自動化也可能讓自動化系統自動做有關它們功能的決定。而且,支持這些系統的電腦程序算法可能還會存在偏見。
6、黑客將會定位到更多類型的互聯設備
雷鋒網了解到,去年,大量不安全的 IP 攝像頭為 Mirai 僵尸網絡提供了可乘之機,事實上,這是自有黑客歷史記錄以來規模最大的一次襲擊。不過,在即將到來的 2018 年,IP 攝像頭將會繼續成為一個重大威脅,因為很多攝像頭的密碼要么是默認的,要么干脆就沒有設置,而且不少黑客還通過IP攝像頭為僵尸網絡竊取到帶寬和算力。
李嵩說道:
“黑客會不斷尋求各種方法、利用更多類型的設備來構建僵尸網絡。比如,他們可能會利用一些沒有密碼、或是有弱密碼的網絡打印機,而在中國,黑客也正在攻擊智能門鎖設備。”
7、傳感器攻擊將會變得無處不在
實際上,物聯網算是傳感器網絡的一個衍生產品,因此互聯網傳感器本身就存在潛在安全漏洞,似乎也是合乎邏輯的。黑客可能會嘗試向傳感器發送一些人類無法感知的能量,來對傳感器設備進行攻擊。舉個例子,黑客能夠將基于超聲波的信號發送到語音控制系統,或者將紅外信號發送到攝像頭上。
8、隱私將會變成物聯網對話的重要組成部分
如今,企業會越來越多地安裝物聯網設備,比如互聯恒溫器和 HVAC 系統、在會議室中配置智能電視,互聯打印機、以及智能照明電燈,等等。與此同時,工業物聯網也在不斷發展,消費者也對諸如智能揚聲器這樣的互聯設備產生了濃厚的興趣。雖然目前物聯網設備的互聯性有所提高,但是在這種“超連接(hyper-connected)”環境下產生的隱私分歧等問題暫時還是無法確定。Don DeLoach是《物聯網的未來:利用數字化中心世界的轉型》(The Future of IoT: Leveraging the Shift to a Data Centric World)一書作者,他表示:“隱私將會變成房間里的大象。”
另一方面,大公司對敏感數據的追蹤已經引發了公眾對他們的不信任,DeLoach 繼續說道:
“最近在美國的不少知名社交媒體網站上,人們對這些問題都進行了激烈討論。不過,真正對這件事情重視起來的,還是歐盟——他們將會在明年五月正式生效《通用數據保護法規》。從本質上來說,這是為了保護所有個人信息,違反通用數據保護法規的企業,可能會面臨高達企業年收入4%的罰款。”
《通用數據保護法規》已經引起了美國、以及其他在歐洲開展業務的跨國企業關注。DeLoach解釋說:
“不僅如此,絕大多數企業認為,歐盟推出的《通用數據保護法規》很可能會成為一個行業信號,未來包括北美在內的其他地區也會相繼推出類似的法案。”
另一個引發業內關注的,是 2017 年美國三大征信機構之一的 Equifax 公司的數據泄露事件。這次事件波及到了全球 1.455 億人,很多身份信息(比如姓名、地址、社保號碼)都被泄露了。不過DeLoach表示,未來與隱私有關的討論主題可能會集中在其他類型的信息上,包括 IP 地址、地理位置、網頁瀏覽記錄、電話記錄、客戶忠誠度積分等等。他補充說:
“物聯網數據可能會被很多匿名信息所充斥。這可能需要更長一段時間才能引起人們重視。不幸的是,對于歐盟和涉案企業而言,他們的時間真的不多了。就像金融服務行業早期的巴塞爾協議和 DiFID 等監管要求,《通用數據保護法規》其實是給我們敲響了警鐘,呼吁各方盡早展開對物聯網隱私問題的討論。”
Tran 也表示,如果 Equifax 公司違規數據泄露事件算是足夠嚴重的話,那么未來物聯網潛在的數據泄露問題可能會更加復雜、也更加嚴重,因為相比于傳統個人征信數據,物聯網涉及到個人身份信息的數量是它的好幾倍。Tran最后說道:
“在2018年,我預計有越來越多的企業會使用區塊鏈和數據標記等技術來升級目前的個人身份信息數據結構。請記住,黑客在尋找攻擊目標的時候,往往會非常有針對性,比如他們會關注數據價值和數據質量,還有數據數量和易訪問程度等等。所以,企業可以‘拿掉’一個、或多個關鍵數據屬性,這樣的話,這些數據信息對網絡犯罪分子的價值可能就沒有那么高了。”
京公網安備 11010502049343號