小到街头巷尾的监控摄像头,大到汽车、变电站,在万物互联和智能化的时代,物联网似乎能将一切实体都连入其中。根据中国产业信息网的数据及预测,2019年全球物联网设备数量已达107亿台,预计到2025年物联网设备连接数将达到251亿台。 然而随着物联网的普及,其安全问题也引发了人们的重视。近日,美国网络安全公司派拓网上发言报告称,该公司在日本智能太阳能发电板生产商日本康泰克公司的产品固件中发现了一个严重的安全漏洞,可被黑客用于网络攻击。此次发现的漏洞和其他20多个漏洞一起构成了派拓网络所描述的Mirai(米拉伊)僵尸网络的变体。 相较于传统网络,物联网在安全方面存在哪些不足?从此次安全漏洞事件来看,物联网想要持续发展,还要如何提升其安全能力?带着这样一些问题,记者正常采访了物联网安全技术领域专家和物联网领域相关企业负责人。 2015年,两名白帽黑客远程入侵了一辆正在路上行驶的某品牌汽车,他们利用该车型车联网接入系统的漏洞,对车辆的方向、油门、刹车、雨刷等进行了远程控制。当年7月,该汽车生产厂商就宣布召回140万辆存在漏洞的汽车。 类似的事件并非孤例。2016年,腾讯安全科恩实验室也曾利用安全漏洞对某知名品牌电动汽车进行无物理接触远程攻击,实现了对车辆驻车状态和行驶状态下的远程控制。这一结果也得到了该品牌汽车厂家的确认。 这两起车联网安全漏洞事件,背后指向的是整个物联网终端与日俱增的安全问题。 2020年,有研究者经过调查发现,仅半个月的时间,针对特定漏洞的物联网恶意代码攻击事件数量就达到了6700万次,有单个组织对数十万个IP地址发起攻击尝试,超过25%的安全入侵与物联网设备相关。从路由器到闭路电视摄影机,再到太阳能电池板,各种物联网设备都存在安全隐患。 南京邮电大学物联网安全专家沙乐天教授表示,目前物联网安全漏洞带来隐患主要有用户敏感信息泄露和恶意代码植入。前者表现为个人账号密码、用户照片及视频、用户语音被窃等,后者则表现为在路由器、摄像头、智能音箱、智能电视、智能网联汽车中安装木马程序,控制用户设备。 近年来,电脑、手机等互联网终端的安全防护日趋完善,黑客对它们的攻击代价慢慢的变大。而由于实体化的物联网设备发展时间比较短,黑客攻击代价更小,因此针对它们的攻击逐渐增多。 沙乐天指出,物联网产业拥有产业链过长、设备多样性丰富等特征,如物联网产业链涉及物联网设备制造、传感器技术、通信网络、云平台、数据分析、应用开发和服务等所有的环节,物联网环境下物联网设备品牌多样,通信协议也很多,这就导致体系化的物联网安全建设难以实现。“物联网设备还有一个特点是需要持续供电、长时间运行,一般的情况下不会频繁开关或重启,因此出现安全问题后难以实时进行仔细的检测。”沙乐天说。 物联网不同设备和系统的安全性也存在比较大差异。南京中科智达物联网系统有限公司董事长许欣长期从事物联网通信设施研发,他表示,从连接方式来看,物联网设备分为蜂窝连接和非蜂窝连接两类,前者使用移动通信网络连入互联网,成本高、安全性也高,目前全球每年约新增4亿台终端,大多分布在在智能网联汽车、电力等领域;而后者通过WiFi、蓝牙、Zigbee等连入互联网,使用开放频谱资源,成本低、安全性也差,全球约有110亿台终端,大多为智能家居设备。 同时,在物联网的云端、设备端和用户操作端之间,也缺乏统一的接入标准,这也带来了黑客攻击、数据泄露和隐私侵犯等潜在安全风险。 沙乐天表示,目前安全问题对于物联网产业高质量发展的影响非常大。隐私数据的泄露或窃取降低了用户对物联网设备的信任,影响物联网设备的家用化普及。同时,针对物联网设备的僵尸网络远程攻击愈演愈烈,导致关键基础设施中的物联网设备使用率下降,极大影响物联网设备的工业化应用。 其实,物联网设备的安全防护并非不堪一击,但是新型攻击手段也层出不穷。与此同时,许欣表示,物联网发展正处于万马奔腾的阶段,各厂家提供的安全防护套餐也是丰俭由人,大多数只是针对通信端口的安全防护,属于基础防护,物联网整体的协同防御体系并不完善。 目前,针对物联网产品采取的安全保障主要通过“设备端+手机端+云端”的托管模式部署,这样既能够保证用户对设备的远程控制,比如在手机端查看家中的摄像头视频图像;又可以将设备访问权限的安全问题统一交托给远程的云控服务器,比如阿里云、华为云等平台。但从最新的安全漏洞及攻击事件来看,依然存在仿冒云端或手机端与物联网设备通信,以此来实现对物联网设备非法远程控制的安全风险。 沙乐天认为,物联网要想持续健康发展,就应大力提升网络安全能力,从根本上解决设备端的安全风险。如在设备生产的全部过程中加入入侵检测或漏洞预警功能模块,实时检测设备安全风险,并在发生安全风险时与远程的云端及用户手机端进行联动处置。同时,把物联网设备的安全管理模式同化到个人电脑终端,尽可能地解决网络安全的预警、检测及处置问题。 许欣和记者说,可采取“主动出击”的方式提升物联网设备安全性。安全防控不应该是被动的,相关企业、高校和科研院所应展开合作,利用互联网靶场的方式寻找漏洞,研发更安全的产品。(记者 张 晔) 与传统个人电脑终端相比,物联网设备具备了许多特性,其面对的安全威胁和自身的安全性设计都与个人电脑终端有很大不同。针对于此,相关科研人员设计出了一些独特的安全机制。 例如,轻量级加密算法。由于物联网设备通常都暴露在不安全的物理环境中,且高度依赖于无线方式来进行通信,因此加密算法对于物联网设备来说是一项“刚需”。然而,个人电脑终端等计算设备上常见的密码学算法在确保高安全性的同时,常常需要消耗数量可观的算力和能源。轻量级加密算法一方面可确保物联网设备的安全性,另一方面可降低其对算力的要求。 又如,设备指纹。设备指纹是设备的硬件和软件属性组成的一串信息。物联网设备的物理元件并非百分百相同,这导致物联网设备之间也存在着细微的物理差异,而这种差异恰恰可当作一种特殊的“指纹”来使用。设备指纹具有唯一性,能用来识别和跟踪设备的行为和活动,是安全风控的底层核心技术保障。