去年10月,美國發生了一起全國性的網絡癱瘓事件,這導致 Twitter、Amazon 和 Paypal 在內的多家網站無法登陸,兩個半小時后,這些網站才開始陸續恢復。
安全專家認為,這起事件主要來自于物聯網設備。一款叫做 Mirai 的惡意軟件感染了大量存在漏洞的物聯網設備,包括智能攝像頭、智能網關、智能家電等等。被感染后,這些本來為人們服務的設備瞬間變成了僵尸網絡中的肉雞設備,并被用于大規模 DDos 攻擊。
讓你的設備做一些可怕的事
DDos,全稱“Distributed Denial of Service”,中文名叫分布式拒絕服務,其原理是將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動 DDos 攻擊,從而成倍地提高拒絕服務攻擊的威力。
簡單解釋起來就是控制大量計算機,然后用虛假的訪問來耗光攻擊目標的全部服務器資源,導致正常用戶無法訪問。這就相當于一個惡霸帶著一群小混混擠滿了一家飯店,但不在這里進行任何消費,卻令真正的消費者無法進入飯店。
“肉雞”、“僵尸”都是指這些被控制的計算機。過去,會成為肉雞的一般都是個人電腦以及少量智能手機。但隨著網絡安全技術的發展和人們防范意識的提升,這種攻擊的成本越來越高了,所以人們相對沒那么在意的物聯網設備成了新的攻擊目標。
2013年,美國知名黑客薩米·卡姆爾在 Youtube 發布了一段視頻,展示他如何使用一項名為 Skyjack 的技術,使一架基本款民用無人機能夠定位并控制在其附近飛行的其他無人機。看起來好像沒什么危害,但如果這種事情發生在機場呢?雖然現在的無人機都設置了限飛區域,但這種限制對黑客來說,只是一道肥皂泡一樣的屏障。
2015年2月2日,德國汽車協會 ADAC 在一份報告中稱,勞斯萊斯幻影、MINI 掀背車和寶馬 i3 電動車在內的絕大部分寶馬品牌車型存在設計缺陷,大約有220萬輛配備 ConnectedDrive 數字服務系統的汽車存在安全漏洞,黑客可以利用這些漏洞遠程打開車門。想象一下,在高速公路上,一輛疾馳的汽車車門突然打開,這可能會引起怎樣的連鎖反應?
多米諾般的跳板效應
對個人來說,物聯網攻擊的目的主要集中于危害生命財產安全、竊取信息,以及惡意敲詐等。理論上來說,使用的物聯網設備越多,遭到這種攻擊時的損失就會越大。
一個木桶的容量由最短的那一塊來決定,而一個物聯網系統的安全性,也由最薄弱的那個環節來決定,這在網絡安全領域叫做“跳板效應”,既物聯網中的任何一個設備被攻擊后,都會成為入侵其他設備的跳板。
現在假設你的鄰居老王送給你一個動過手腳的智能插座,你高興地接過來開始使用。
老王回到家,發現你把空調插到了插座上,現在他可以控制你空調的開關了,不過他對這個并沒有什么興趣,畢竟在晚上關了空調最多只是讓你出出汗而已。
第二天下班,你拿出了這個插座的說明書,按照指示把它接入了家里的 WiFi 網絡中,你發現你現在可以在回家之前就用手機 App 遙控打開空調了,然后你還拿到老婆面前炫耀了一番。
老王在隔壁默默抽著煙,屏幕上顯示插座接入網絡的那一刻,他輕哼了一聲,然后把煙頭狠狠地按熄在煙灰缸里,夕陽下,還留著點余溫的煙蒂上飄出了最后一縷薄煙。
智能冰箱、智能洗衣機、電腦、智能攝像頭、智能鏡子,現在你的全部物聯網設備在老王面前都如裸體一般。
一個星期后,你接到一個奇怪的電話,電話里的人說他們掌握了你的大量個人信息和數據資料,如果你不在明天之前轉一筆錢到固定的賬戶上,就會把它們賣到網絡黑市。你以為是詐騙電話,直接掛掉了。
又過了兩個小時,你收到了一封名為“最后通牒”的郵件,你下意識地點開它,眼前的東西瞬間就讓你的呼吸變得急促,那是浴室里智能鏡子拍攝到的你和你老婆洗澡時的視頻影像,按理來說,那個攝像頭只有你主動開啟時才會啟動,是用來和房間里的人臨時通話的。
一塊跳板,讓你家里的網絡安全系統轟然倒塌。
先把路走穩再說
預計到2020年,全球物聯網設備將達到200億臺,而這些設備都有可能會被黑客所利用。
目前對于物聯網設備,可以采取的安全措施大概可以分為四類。一是前端,即用戶的設備端,通過增加設備本身的可靠性來降低風險,比如提高生物識別模塊的準確度;二是網絡,即防范數據傳輸過程中可能出現的安全風險;三是系統和數據庫,即防范操作系統、通用應用平臺系統方面存在的風險以及威脅到信息數據庫的安全風險;四是應用、管理、終端,即防范實現業務應用自身及應用交互過程中的安全風險,防范網絡和系統管理不善產生的風險,防范控制終端及其操作系統面臨的風險。
不過放眼整個智能家居行業,很少有企業能在上述所有方面都做到保證,畢竟涉及的領域太廣泛了。比較靠譜的解決方案是企業間的合作,而這種方式涉及到很多利益關系,導致在整個物聯網系統中,很容易出現薄弱環節。通過建立物聯網安全標準,可以比較有效地解決這一問題,但國內至今還沒有一套完整的物聯網安全標準。
所以還是先學會走穩再想著跑吧,沒有安全作為前提,或許人們更希望物聯網的“元年”、“爆發”永遠都不要到來。
京公網安備 11010502049343號