道路千萬條,安全第一條;行車不規(guī)范,親人兩行淚。
這一魔性洗腦的廣告語從電影火到網(wǎng)絡(luò),又從網(wǎng)絡(luò)火到現(xiàn)實中。
IDC預(yù)估,今年全球圍繞物聯(lián)網(wǎng)衍生的商機逼近1萬億美元,Counterpoint的IoT服務(wù)項目也作出預(yù)測,到2019年底,全球物聯(lián)網(wǎng)蜂窩連接將達到16億。萬億級消費市場、連接數(shù)量猛增,面對如此情形,耳邊響起了那句提示語:
聯(lián)網(wǎng)千萬條,安全第一條;“姿勢”不規(guī)范,用戶兩行淚。
回顧2018年發(fā)生在物聯(lián)網(wǎng)領(lǐng)域內(nèi)的安全事件,你會覺得,物聯(lián)網(wǎng)脫掉“安全”的外衣,整個人形同“裸奔”。
全球最大CPU制造商英特爾遭遇“史詩級別”漏洞的沖擊
2018年1月3日,Google Project Zero(GPZ)團隊安全研究員Jann Horn在其團隊博客中爆出CPU芯片的兩組漏洞,分別是Meltdown(幽靈)與Spectre(熔斷)。
Meltdown漏洞影響幾乎所有的Intel CPU和部分ARM CPU,而Spectre則影響所有的Intel CPU和AMD CPU,以及主流的ARM CPU。從個人電腦、服務(wù)器、云計算機服務(wù)器到移動端的智能手機,都受到這兩組硬件漏洞的影響。
IoT僵尸網(wǎng)絡(luò)陰魂不散
Bitdefender的安全研究人員于2018年1月10日發(fā)現(xiàn)一個名為Hide ‘N Seek (HNS)的僵尸網(wǎng)絡(luò),短短10天時間感染了20000個僵尸主機。研究者發(fā)現(xiàn),HNS不僅具備高度自定義的特征,會對開放Telnet設(shè)備發(fā)起暴力破解攻擊,還能夠保持“在設(shè)備重啟之后惡意軟件仍舊存在”。
物聯(lián)網(wǎng)安全漏洞導(dǎo)致4.96億設(shè)備易受攻擊
2018年7月20日,物聯(lián)網(wǎng)(IoT)安全供應(yīng)商Armis發(fā)布研究報告,稱約4.96億企業(yè)設(shè)備面臨DNS重綁定攻擊風(fēng)險。DNS重綁定攻擊可令攻擊者通過操縱DNS(域名服務(wù))工作機制獲得局域網(wǎng)訪問權(quán)。
Armis公司表示,物聯(lián)網(wǎng)以及其他智能設(shè)備正是攻擊者通過DNS重綁定漏洞進行攻擊的完美目標(biāo),主要由于其在企業(yè)網(wǎng)絡(luò)中分布較廣,在情報收集和數(shù)據(jù)竊取方面可以發(fā)揮驚人的作用。
“毀”掉智慧城市的漏洞達17個之多
2018年8月,IBM研究團隊發(fā)現(xiàn),Libelium、Echelon、Battelle三種智慧城市只要系統(tǒng)中存在包括默認密碼、可繞過身份驗證、數(shù)據(jù)隱碼等安全漏洞達17個之多。利用這些漏洞,攻擊者可以控制報警系統(tǒng)、隨意篡改傳感器數(shù)據(jù),甚至連城市交通,都可以受其擺布。
“學(xué)院派”黑客盜走特拉斯
比利時KU Leuven大學(xué)研究人員發(fā)現(xiàn),通過設(shè)備截獲讀取特拉斯Model S用戶遙控鑰匙發(fā)出的信號,不到兩秒鐘的時間,遙控鑰匙的秘鑰就能夠被復(fù)制。要做到這些,開走特拉斯,只需要600美元的無線電和樹莓派等設(shè)備。
亞馬遜修復(fù)物聯(lián)網(wǎng)操作系統(tǒng)13個安全漏洞
2018年10月,亞馬遜修復(fù)了物聯(lián)網(wǎng)操作系統(tǒng)FreeRTO及AWS連接模塊的13個安全漏洞。入侵者可以利用這些漏洞破壞設(shè)備,獲取內(nèi)存中的內(nèi)容和遠程運行代碼,從而完全控制設(shè)備。
前不久有媒體發(fā)布2019年物聯(lián)網(wǎng)發(fā)展十大預(yù)測,其中包括安全狀況堪憂預(yù)測,內(nèi)容表示物聯(lián)網(wǎng)安全事故同比增長近6倍。物聯(lián)網(wǎng)所面臨的安全問題,主要表現(xiàn)在:
1. 安全隱私:舉個栗子,當(dāng)射頻識別技術(shù)被用于物聯(lián)網(wǎng)系統(tǒng)時,RFID標(biāo)簽可以被嵌入任何物品中,日常生活中,人們不會格外注意到這些物品,從而導(dǎo)致物品擁有者在不知情的情況下不受控制地被掃描、定位和追蹤。
2. 假冒攻擊:相對于傳統(tǒng)TCP/IP網(wǎng)絡(luò),智能傳感終端、RFID電子標(biāo)簽的屬性更加“暴露”,傳輸平臺在一定范圍內(nèi)也是“暴露”在空中,“竄擾”在傳感網(wǎng)絡(luò)領(lǐng)域顯得非常頻繁、并且容易。所以,傳感器網(wǎng)絡(luò)中的假冒攻擊是一種主動攻擊形式,它極大地威脅著傳感器節(jié)點間的協(xié)同工作。
3. 物聯(lián)網(wǎng)機器/感知節(jié)點的本地安全問題:物聯(lián)網(wǎng)機器/感知節(jié)點多數(shù)部署在無人監(jiān)控的場景中,攻擊者就可以輕易地接觸到這些設(shè)備,從而對它們造成破壞,甚至通過本地操作更換機器的軟硬件。
4. 惡意代碼攻擊:惡意程序在無線網(wǎng)絡(luò)環(huán)境和傳感網(wǎng)絡(luò)環(huán)境中存在大量入口,其具備傳播性、隱蔽性、破壞性,遠比TCP/IP網(wǎng)絡(luò)更加難以防范。
5. 傳輸層和應(yīng)用層的安全隱患:由于物聯(lián)網(wǎng)在感知層所采集的數(shù)據(jù)格式多樣、海量感知節(jié)點數(shù)據(jù)、多源異構(gòu)數(shù)據(jù),物聯(lián)網(wǎng)絡(luò)的傳輸層和應(yīng)用層不僅面臨現(xiàn)有TCP/IP網(wǎng)絡(luò)的所有安全問題,還將面臨更為復(fù)雜的網(wǎng)絡(luò)安全問題。
另外,在2019年,通過直接互聯(lián)網(wǎng)接口感染大量設(shè)備的攻擊、對數(shù)據(jù)中心和云服務(wù)或加密貨幣挖掘為目的進行的DDoS攻擊等針對物聯(lián)網(wǎng)的攻擊途徑將會快速增長,表現(xiàn)出來的特性為攻擊的復(fù)雜性增加,為了盡可能避免物聯(lián)網(wǎng)安全事故的發(fā)生,不僅在網(wǎng)絡(luò)中采取動作,也要增強設(shè)備安全的設(shè)計能力。
從全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會獲悉,有關(guān)物聯(lián)網(wǎng)(IOT)安全技術(shù)的27項國家標(biāo)準(zhǔn)近日正式發(fā)布,涉及物聯(lián)網(wǎng)安全的內(nèi)容包括相關(guān)的參考模型及通用要求、感知終端應(yīng)用安全、感知層網(wǎng)關(guān)安全、數(shù)據(jù)傳輸安全、感知層接入通信網(wǎng)安全等,自7月1日起實施。
物聯(lián)網(wǎng)距離我們越來越近,別讓安全姍姍來遲。
京公網(wǎng)安備 11010502049343號