物聯網改變生活?現在這麼說還太早
近年來,網際網路技術飛速發展,隨之衍生出的物聯網、人工智慧技術也迎來了春天。曾有專家預測,到了2020年,全球物聯網市場規模將達17000億美元,大約會有204億臺左右的物聯網裝置供人們使用,2025年,這一數字將達到754億。可見,未來IoT將會全方位的支撐著人們的生活。
看到這條訊息不禁讓小編淚流滿面,想當年剛上大學的時候,學長告訴我們:你們這屆是我們學校第一批物聯網學生,也是全國第二批。嗯,就是這麼苦逼,連個參考物件都沒有。
“這個技術以後肯定有用,但是這個以後是多久以後那就不知道了。”
在學習過程中這句話幾乎聽到耳朵長繭,懷著提心吊膽的心情伴隨著偶爾罵孃的態度結束了大學生涯,在這期間的物聯網的應用也可以說是從無到有,改變了很多,作為物聯網專業的學子,不禁有一種守得雲開見月明的感覺。一邊看著物聯網蓬勃的現狀一便露出老母親一般的微笑。
扯遠了,迴歸正題。
物聯網帶來的改變
也許到現在,還是有人搞不明白,到底什麼是物聯網。物聯網,也就是我們常說的IoT(Internet of things),顧名思義,物物相連的網路,能夠實現物品與物品之間的資訊交換和通訊。簡而言之,就是以網際網路為核心,在應用層面進行的實物拓展,與其說是網路,也許它更接近於服務。
環顧一下我們的生活,買東西可以用手機支付,汽車可以通過手機啟動,甚至可以實現對家電的控制:一句簡單的指令就能開關空調、風扇、燈光、掃地機器人……等等等等。
物聯網的出現,讓人們與生活中的裝置接觸越來越頻繁,聯絡也更加緊密。
同時,由於物聯網裝置的防護難度以及對安全性的忽視,也使得物聯網裝置異常脆弱,不論是家庭、政府或企業,多數物聯網裝置都很容易被攻擊者發現漏洞並加以利用。據統計,在全球範圍內,物聯網裝置已暴露7100多萬臺,其中不乏攝像頭、印表機以及路由器等型別的裝置。
以往來說,我們的電腦、手機中毒,會導致檔案丟失、被加密,帶來一定的金錢損失。而類似的問題出現在物聯網上時,則有很大可能會“要命”。
2007年,時任美國副總統理查德·布魯斯·切尼(Richard Bruce Cheney)心臟病發作,被懷疑是他心臟除顫器的無線連線功能被他人所利用。這也被視為物聯網可造成人身傷害的第一個案例。 2008年,波蘭一名14歲少年使用一個改裝過的電視遙控器控制了羅茲市有軌電車系統,造成了多列電車脫軌以及人員傷亡。 2010年,美國德州奧斯汀市汽車經銷商電腦系統被前僱員入侵,導致大量客戶車輛故障,包括無法啟動、半夜無故鳴笛等。 2011年,伊朗俘獲美國RQ-170“哨兵”無人偵察機,據稱是伊朗網路專家遠端取得了該無人機作業系統的控制權。 2013年,美國知名黑客薩米·卡姆卡爾(Samy Kamkar)通過使用SkyJack技術,將一架基本款民用五人家定位並控制其附近的其他無人機,為自己打造了一個可由手機操控的無人機“殭屍軍團”。 2014年,Tesla Model S汽車被發現應用程式存在設計漏洞,該漏洞可導致遠端攻擊者控制車輛,包括解鎖、鳴笛、閃燈等操作。 2015年,HackPWN專家又演示了利用比亞迪雲服務漏洞,成功做到了開啟車門、發動汽車等一系列動作。 2017年,Spiral Toys旗下CloudPet系列動物玩具資料洩露,可直接導致黑客獲取玩具所在家庭的全部成員資料;部分華為手機因基帶漏洞可使攻擊者對手機進行監聽、撥打電話、傳送簡訊;三星用於智慧電視、手錶、Z系列手機的Tizen作業系統出現漏洞,可使黑客直接取得這些裝置的遠端控制權;成都雙流機場多次出現“黑飛”事件,破解了活動區域的無人機的出現,造成了百餘家航班被迫備降或返航,超過萬名旅客受阻或滯留。 2018年,目標為安全攝像頭和監控裝置的“Peekaboo”漏洞出現,攻擊者可隨意瀏覽、篡改監控資料,以及竊取其他裝置、使監控裝置失靈;Check Point研究人員發現LG智慧家居裝置漏洞,黑客可遠端劫持包括冰箱、洗衣機、洗碗機、吸塵器等搭載LG SmartThinQ系統的裝置並獲得完全控制權,一個家用電器秒變成了“間諜”。
物聯網是網際網路的延伸,因此物聯網安全也是網際網路安全的延伸,二者相輔相成、密不可分。但是物聯網和網際網路,在網路的組織形態、網路功能以及效能上的要求都是不同的。上述這麼多問題,也僅僅是全部事件中的冰山一角,隱藏在背後的威脅仍然層出不窮。隨著物聯網逐漸走入千家萬戶的生活,物聯網裝置也逐漸成了黑客們的新戰場。隨著黑客攻擊日益組織化、產業化,物聯網對安全的需求遠高於一般網路。
物聯網的弱點
儘管現在的資訊保安發展形勢一片大好,但是在網路世界中仍然存在著一些低階且普遍的問題:弱口令和社會工程學。很巧,這兩個問題在物聯網上也有,而且遠不止這些。
眾所周知,物聯網的實現需要雲端的支援,而通過雲端也就代表著在使用過程中會產生非常大的資料流量,在這個過程中,潛藏了無數的不安全因素。就好比一所大房子,在某個陰暗的交流裡存在著一扇破舊的門,雖然一般人都不會走,但這會成為不法分子的絕佳突破口。
也許是時下物聯網熱潮的原因,市面上可見的物聯網裝置多數具備成本低廉、數量巨大、安全性較低的特點。而 多數物聯網裝置的防護能力不堪一擊,其自身配置是很重要的原因之一。
為了“追趕潮流”,市場對物聯網裝置的需求空前巨大,也許很多你聞所未聞的公司、廠商,某一天突然就開始賣“智慧產品”了,而且乍一看還挺高階。事實上,也基本都是這類產品拉低了整個物聯網市場的安全係數。 為了增大產量、降低成本、提高市場競爭力,同時也為了能更容易的讓使用者上手,多數並不具備研發能力的企業會採用非常老且舊的硬體產品,強行往“人工智慧”上面湊,結果也就是多數產品成了人工智障。
物聯網安全問題何解
物聯網與傳統網路不同,物聯網的終端裝置種類繁多:晶片、攝像頭、智慧可穿戴裝置、無人機、智慧家電、汽車……體積從小到大,功能由簡至繁,狀態或聯網或斷開,領域跨度極大。唯一的共同點也就是它們天生都處於白盒攻擊的環境中。對於物聯網來說,每個智慧裝置都是網路的一個點,點動成線,線動成面,這些點極小又極多,且脫離了傳統安全防護的範疇。雖然說多數物聯網的主機都會得到很好的保護,但真正處於應用層的裝置則會大量的暴露在網路之中,這就需要做到對點的防護做到極致,想要通過安裝傳統軟體或架設硬體的方式提供安全防護,明顯行不通,物聯網的安全要複雜的多。
計算機時代,人們面臨的威脅還是各類病毒,多數時間防毒軟體、防火牆就能提供充足的防護;而到了網路時代,威脅數量劇增,木馬、間諜軟體、釣魚、勒索攻擊層出不窮,除了防毒軟體,在網路邊界架設防火牆、過濾機制等眾多方法也應運而生。
但物聯網時代,終端、網路的形式都發生了一定的變化,多數智慧裝置、終端的儲存、計算能力十分有限,多數裝置甚至不具備部署、載入安全軟體或加密演算法的能力,移動化的出現更是使得傳統網路邊界消失,原本依託於網路邊界的安全軟硬體也都進入了冬天。
通過一些對物聯網的攻擊案例我們可以發現,不論時代怎麼變,攻擊者最終的目標(或者說實現的方式)還是終端中的“大腦”,也就是程式碼層面。黑客在入侵了相應的軟硬體之後,就會對其核心程式碼進行攻擊,試圖破解或更改,已達到操控裝置的目的。
目前來說,考慮到物聯網的特殊性,以及其面臨的惡意環境,安全防護需要與其終端更緊密的結合,儘可能的深入,即在軟硬體裝置架構設計階段就開始考慮安全問題,而不是在裝置完備之後。
未來可期?
專家曾預言,未來AI將會是解決安全問題的關鍵,因為AI能夠通過建立神經網路的形式,準確的識別處於網路中的每一個裝置的每一種狀態,同時具有人工所不具備的高效和續航能力。並且以“阿爾法狗”為例,其出眾的學習能力也保證了AI在網路安全層面能夠更快的對網路世界的變化做出反應:儘管黑客攻擊手段變化多端,但再快也快不過人工智慧吧。
這種方法可以說是一種很美好的願景,也許它確實可行,畢竟提高了技術的同時還降低了成本。但是以目前人工智慧技術發展的情況來看…貌似它還處於自身難保的狀態,也許還是找到一些基於網路的靠譜的防護機制更現實一些。
不過,有一點還是可以肯定的,目前的物聯網、智慧裝置,還與我們在科幻電影裡看到的有很大差距(是啊,現在你可以通過口令來操作家裡的電器了,但沒準你鄰居也可以)。雖然這些裝置從一定程度上改變了我們的生活,而且未來還會有更多新玩意兒出現,隨之而來的安全威脅也必定讓人應接不暇。所以,這些科技得以實現,永遠少不了安全從業者背後的努力。
*本文作者:Karunesh91,轉載請註明來自FreeBuf.COM