取消
搜索历史
热搜词
视频
活动
创新2.0
I T
产业

欧喜投资IT总监姚凯:物联网安全不容小觑

作者:姚凯
摘要:在工业市场,作为智能制造的基础,工业物联网也在大干快上,一派繁忙景象。但是,在和厂商的交流过程中发现,众多厂商往往只关注功能,对于物联网的安全却考虑得很少,甚至完全没有考虑。

2018年的台积电勒索病毒事件,给物联网安全敲了个警钟。据报道,台积电主要是出于“新机台在安装软件的过程中操作失误”,导致病毒在新机台连接到台积电内部电脑网路时,发生病毒扩散。导致三个厂区停产三天,估计损失在18亿元人民币左右。严格来讲,这次攻击并不是黑客蓄意攻击台积电,只能说台积电受到了附带伤害。

那么,什么是对物联网的攻击呢?简单来说,就是直接针对物联网发起攻击,攻击的目的或是通过控制物联网设备达成某个目的,或是以物联网设备为跳板攻击其他设备或系统。

前一种情况如震网病毒,曾经成功袭击了伊朗的纳坦兹铀浓缩工厂等核设施,使得大约900台离心机停止运转。后者有Mirai。这是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击。而更进一步,有心人可以通过分析网络上的物联网设备信息,发现一些机密信息。分析人士发现,从全球定位系统(GPS)追踪公司Strava在网上发布的全球运动热力地图中,能清楚看到美军在中东地区和阿富汗驻地的活动路线,还暴露了此前未对外公布的秘密基地。

对于物联网安全而言,比传统的信息安全,更具挑战性。主要表现在:

1、因为物联网设备的体积,供电,芯片等的限制,导致很多传统的安全防护措施没有办法直接应用到物联网设备上,众多设备是在互联网上裸奔。

2、物联网设备数量巨大,部署物联网设备的企业动辄管理成千上万的分布于不同位置的设备,管理成本巨大。

3、物联网设备功能单一,所以很多企业往往掉以轻心,认为物联网设备没有什么安全隐患。

那么,对于物联网设备,究竟有什么安全风险呢?下面试着列举一部分:

1、使用设备默认管理账户。很多时候,用户购买了设备,不会考虑更改默认的管理员账户,密码。因此,如果攻击者通过扫描获知使用的物联网设备,可以轻易地获得访问权限。

2、部署的物联网设备很少进行固件升级,或者需要大量人力物力进行升级,导致已经发现漏洞的设备持续运行,开门揖盗。

3、在物联网设备的升级中缺少必要的控制,攻击者可以推送注入漏洞的问题固件,从而获得系统控制权。

4、物联网设备的数据传输协议目前常用的有HTTP、websocket、CoaP、MQTT等。为了降低功耗和保证性能,众多协议或者不具备加密功能,或者在使用中不启用加密协议,数据传输以明文进行,非常容易被进行中间人攻击。

5、对物联网设备采集的信息不能正确分类定级。例如,如果部署了电表数据智能采集,对于企业而言一块电表的数据安全级别极低,因此企业可能不采取任何防护措施。但黑客如果知道电表对应的用户级住址,可以直接通过监控电表用电量掌握用户是否在家,确定是否上门盗窃。有或者黑客出于某种目的,可以篡改物联网采集设备发送的数据,导致在中央看到的是虚假的数据,采取不合适的行动或不采取行动进行干预,导致设备运行异常。震网病毒就是采用的这种方式。

6、泄露隐私数据,甚至带来人身伤害。现在众多的APP,可以收集用户各方面的信息。从物联网的角度,可以采集到用户的物理地址、心跳、血压。某些智能设备可以通过监控上面的信息控制胰岛素泵或心脏起搏器等。这些信息在一定程度上都是用户的隐私信息。目前已经有概念验证的实例,攻击者可以远程攻击某些型号的心脏起搏器。如果黑客掌握了相关技术,完全可以做到“十步杀一人,千里不留行”。

物联网除了传统信息安全的所有可能风险之外,还包括自身特有的风险。上面只是其中很少的一部分风险。在物联网建设过程中,我们建议的是“secure by default”和“secure by design”原则,安全必须与功能同步实现,防患于未然。

更多

分享到微信 ×

打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。